Wenn die Community kein SLA hat
ID: 2252547
OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
OTTRIA Logo (Die Bildrechte liegen bei dem Verfasser der Mitteilung.)(firmenpresse) - Pressemitteilung
Wenn die Community kein SLA hat: OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
Seit DORA und NIS2 gelten, wird Open Source vom technischen Detail zur Governance-Frage. Unternehmen müssen nicht nur wissen, welche Komponenten sie einsetzen - sie müssen Risiken bewerten, Maßnahmen ableiten und Nachweise liefern können.
Geldern, 20.05.2026 - Mit DORA und NIS2 sind zwei zentrale europäische Cybersicherheitsregime endgültig in der Unternehmenspraxis angekommen. DORA gilt seit dem 17. Januar 2025 unmittelbar für den Finanzsektor; das deutsche NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 verkündet und trat laut BSI ab dem Folgetag in Kraft. Beide Regelwerke erhöhen den Druck auf Unternehmen, digitale Risiken nicht nur technisch zu erkennen, sondern organisatorisch zu steuern, zu dokumentieren und im Ernstfall handlungsfähig zu bleiben. (BaFin)
Ein Bereich wird dabei nach Einschätzung von OTTRIA noch immer unterschätzt: Open Source Software. Sie steckt heute in nahezu jeder modernen Unternehmenssoftware - in Frameworks, Bibliotheken, Containern, Build-Systemen, APIs und Infrastrukturkomponenten. Gleichzeitig gibt es bei Open Source häufig keine klassische Lieferantenbeziehung, keinen Vertrag, kein SLA und keinen garantierten Eskalationsweg.
"Open Source ist nicht das Problem. Im Gegenteil: Ohne Open Source gäbe es moderne Software in dieser Form nicht", sagt Torsten Zühlsdorf, Geschäftsführer von OTTRIA. "Das Risiko entsteht dort, wo Unternehmen kritische Abhängigkeiten nutzen, ohne Zuständigkeiten, Reaktionswege und Nachweise organisiert zu haben. NIS2 und DORA machen genau diese Lücke sichtbar."
Scanner schaffen Sichtbarkeit - aber noch keine Governance
Viele Unternehmen setzen bereits auf SBOMs, SCA-Tools und Schwachstellen-Scanner. Diese schaffen Transparenz über eingesetzte Komponenten und bekannte Schwachstellen. Aus Sicht von OTTRIA reicht das jedoch nicht aus, um den neuen Anforderungen an Risikomanagement, Lieferkettensicherheit und digitale operationale Resilienz gerecht zu werden.
Denn Scanner beantworten vor allem die Frage: Was ist verbaut? Sie beantworten aber nicht automatisch, welche Komponente geschäftskritisch ist, welches Projekt verwaist, welcher Fix priorisiert werden muss, wer mit Maintainern kommuniziert, wer Backports erstellt oder wie Entscheidungen auditfähig dokumentiert werden.
Gerade bei Open Source entstehen Risiken häufig nicht erst durch eine offiziell registrierte Schwachstelle. Sie können durch ausbleibende Wartung, Maintainer-Ausfall, Projektverfall, unerwartete Lizenzänderungen, kompromittierte Accounts oder Kontrollwechsel entstehen.
"Eine SBOM ist ein wichtiger Anfang, aber sie ist keine Governance", so Zühlsdorf. "Sie zeigt, was verbaut ist. Aber sie beantwortet nicht, wer bewertet, wer reagiert und wer im Ernstfall nachweisen kann, dass angemessen gehandelt wurde."
Geschäftsleitungen brauchen belastbare Nachweise
NIS2 und DORA machen Cybersicherheit zur Führungs- und Organisationsfrage. Während NIS2 unter anderem Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten und Lieferkettensicherheit adressiert, richtet sich DORA an den Finanzsektor und fordert digitale operationale Resilienz, IKT-Risikomanagement, Vorfallmanagement und den Umgang mit Drittparteienrisiken. Die BaFin beschreibt DORA als europäischen Rahmen für digitale operationale Resilienz im Finanzsektor. (BaFin)
Auch aus rechtlicher Sicht verschiebt sich damit der Fokus von der rein technischen Einzelmaßnahme hin zur nachweisbaren Organisation von Verantwortung.
Torsten Zühlsdorf ordnet die Situation aus seiner Sicht weiter ein:
"Für Geschäftsleitungen wird entscheidend sein, ob Cyberrisiken nicht nur technisch erkannt, sondern organisatorisch beherrscht und nachvollziehbar dokumentiert wurden. Gerade bei Open-Source-Komponenten reicht ein Verweis auf automatisierte Scans oder auf die Community nicht aus, um belastbare Governance darzustellen. Wer Zuständigkeiten, Bewertungen und Maßnahmen nicht dokumentiert, verliert im Streitfall das wichtigste Entlastungsinstrument: den Nachweis."
OTTRIA: Open Source nicht nur sichtbar, sondern beherrschbar machen
OTTRIA setzt genau an dieser operativen Lücke an. Das Unternehmen versteht sich nicht als weiteres Dashboard und nicht als Ersatz für bestehende IT-Security-Strukturen, sondern als spezialisierter Governance- und Eingriffspartner für Open-Source-Lieferketten.
Der Ansatz besteht aus drei Säulen:
-Risk Intelligence: OTTRIA bewertet Risiken in Open-Source-Komponenten, erkennt Projektverfall, kritische Abhängigkeiten, Maintainer-Risiken und sicherheitsrelevante Entwicklungen frühzeitig.
-Operational Support: OTTRIA unterstützt bei Upstream-Koordination, Patches, Backports und Maßnahmen für kritische oder verwaiste Projekte.
-Compliance Enablement: OTTRIA erstellt auditfähige Nachweise, Maßnahmenhistorien, Risikodokumentationen und Entscheidungsvorlagen für interne Governance, Prüfer, Kunden und Aufsichtsanforderungen.
"Wir nehmen Unternehmen nicht die Verantwortung ab - das wäre regulatorisch auch gar nicht möglich", sagt Zühlsdorf. "Aber wir machen Verantwortung erfüllbar: durch Bewertung, Eingriffsfähigkeit und Nachweise."
Open Source wird zur Managementfrage
Nach Einschätzung von OTTRIA wird Open-Source-Governance künftig nicht nur für unmittelbar regulierte Unternehmen relevant. Auch Dienstleister, Softwareanbieter und Zulieferer geraten stärker unter Druck, weil Kunden, Auditoren, Versicherer und Auftraggeber zunehmend belastbare Nachweise zur Software-Lieferkette verlangen.
Die zentrale Frage lautet daher nicht mehr nur: Welche Open-Source-Komponenten nutzen wir? Sondern: Wer ist operativ dafür zuständig?
"Wenn die Antwort "die Community" lautet, ist das keine Governance", so Zühlsdorf. "Es ist Hoffnung. Und Hoffnung ist kein NIS2- oder DORA-Prozess."
Ãœber OTTRIA
OTTRIA - die Open Source Trust, Threat and Risk Intelligence Alliance - ist ein spezialisierter Partner für Open-Source-Governance. Das Unternehmen unterstützt Organisationen dabei, Open-Source-Abhängigkeiten nicht nur sichtbar, sondern operativ beherrschbar und auditfähig zu machen. OTTRIA verbindet tiefes Cybersecurity- und Open-Source-Know-how mit einem Netzwerk von über 600 vertraglich gebundenen Entwicklern, um relevante Programmiersprachen, Ökosysteme und Abhängigkeiten abdecken zu können.
Weitere Informationen: www.ottria.eu
Pressekontakt
neusite GmbH
Andrej Rappe
Kapellenplatz 14
52457 Aldenhoven
www.neusite.de
anfrage@ottria.eu
www.ottria.euWeitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Agentur für Kommunikation.
neusite GmbH
Franziska Biermann
Kapellenplatz 14
52457 Aldenhoven
info(at)neusite.de
02464-9749504
http://www.neusite.de
Datum: 21.05.2026 - 09:15 Uhr
Sprache: Deutsch
News-ID 2252547
Anzahl Zeichen: 7724
Kontakt-Informationen:
Ansprechpartner: Andrej Rappe
Stadt:
Aldenhoven
Telefon: 02464-9749505
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 118 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Wenn die Community kein SLA hat"
steht unter der journalistisch-redaktionellen Verantwortung von
neusite GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Das Aachener Unternehmen NEUSITE hat anlässlich des Genfer Autosalons 2009 eine umfassende Bildergalerie mit über 1.000 hoch auflösenden Photographien angefertigt. Diese Bilder, die zur besseren Übersicht in verschiedene Kategorien unterteilt sind, stellt die Aachener Agentur Interessierten kost
Weitere Mitteilungen von neusite GmbH
DATA REVERSE® Datenrettung: Drei Gaming-Fälle, drei Rettungen ...
Hunderte Stunden Spielzeit. Highscores, die ein ganzes Team zusammengehalten haben. Familienmomente aus gemeinsamen Nintendo-Abenden. Das alles hängt an einem Stück Plastik so groß wie ein Fingernagel. Drei sehr unterschiedliche Kunden wandten sich an DATA REVERSE®: ein leidenschaftlicher Xbox-S
Hochkompakter 8-Bay E1.S NVMe Speicher in einem einzelnen 5,25" Schacht ...
Der ToughArmor MB218E5P-B ist ein hochkompakter E1.S (EDSFF) NVMe SSD Wechselrahmen, der für einen standardmäßigen 5,25" Laufwerksschacht entwickelt wurde und bis zu acht E1.S SSDs mit 9,5 mm oder 15 mm Höhe unterstützt. Entwickelt für PCIe Gen5 Speicherplattformen unterstützt jeder Slot
Spectra erweitert das Portfolio um Kommunikationslösungen von Teltonika ...
Mit Teltonika Networks erweitert Spectra sein Portfolio um industrielle Netzwerk- und Kommunikationslösungen für anspruchsvolle Automatisierungs- und IIoT-Anwendungen. Der europäische Hersteller mit Sitz in Litauen entwickelt robuste Router, Gateways, Switches und IoT-Plattformen für den zuverlÃ
inray veröffentlicht Whitepaper zur OEE-Implementierung ...
Anlagenoptimierung beginnt mit Transparenz: Die Overall Equipment Effectiveness (OEE) macht Stillstände, Leistungsverluste und Qualitätsprobleme in der Produktion sichtbar. Gerade in anlagenintensiven Unternehmen dient die Kennzahl als wichtiges Werkzeug, um den täglichen Betrieb zu überwachen u
