Nachdem der erste Schock über den schwerwiegenden Programmierfehler in der Verschlüsselungssoftware OpenSSL verdaut war, begann in der vergangenen Woche eine Debatte über die Sicherheit von Open Source Software. Charakteristisch waren Aussagen wie jene des Kommentators Patrick Beuth von der Wochenzeitung "Die Zeit". Er sieht ein vermeintliches Heilsversprechen in Open Source Software. Beuth schreibt:

Aber, so der Tenor des Kommentars, das Heilsversprechen kann Open Source Software nur erfüllen, wenn genug Geld und Arbeitskraft für die Projekte da ist. Zum Ende seines Kommentars hin fordert Patrick Beuth, dass "Open-Source- Projekte professionalisiert werden" müssten. Sie sollten Unternehmen ähnlicher werden und eine „stabile finanzielle Basis" bekommen. Und wenn dafür nicht die Nutzer aufkommen wollen, dann sollten die Projekte eben mithilfe von Unternehmen und staatlichen Stellen gestützt werden. Eben hier liegt ein heute noch weit verbreiteter Irrtum. Nämlich der, dass Open Source Software von Hobby-Programmierern in der Freizeit gebaut werde. Unter welchen Bedingungen sie tatsächlich entsteht, das hat der Schweizer Ökonom und Informatiker Urs Lerch untersucht. Er kommt dabei zum Schluss:

"Die Beteiligung der Firmen und der Einsatz in Firmen hat sich zunehmend verstärkt und ist zur Zeit völlig selbstverständlich und wird nicht diskutiert. Was aber überraschend ist, man hängt immer noch den Gedanken des Idealismus und des Individuums, das da beiträgt. Es ist immer noch die Vorstellung, das sind alles freiwillige, die das machen. Eben Non-Profit-Bereich. Man weiß es, dass es anders ist, aber man geht immer noch davon aus, dass das alles Einzelpersonen sind, die das in ihrer Freizeit machen."

Urs Lerch hat am Beispiel des Linux Kernels detailliert aufgeschlüsselt, welchen Anteil private und nicht private Programmierer an den Code-Einreichungen haben.

"Also von der Größenordnung kann man sagen, dass rund 20 Prozent das als Hobby machen und rund 80 Prozent das in einem bezahlten Arbeitsverhältnis machen. 75 Prozent kommen von Firmen, von profitorientierten Firmen und fünf Prozent von Non-Profit-Organisationen. Das sind Universitäten. Und es gibt zum Beispiel die Linux Foundation, die zwei, drei Entwickler beschäftigt. Aber die machen das in einem bezahlten Arbeitsverhältnis. Aber 75 Prozent der Beiträge kommen von Firmen."

Urs Lerch zieht aus den Zahlen den Schluss, es ist nicht mehr nur das Herzblut, dass Programmierer zur Mitarbeit an Open Source Software motiviert.

"Man hat immer darüber geredet, was ist die Motivation für die Entwickler beizutragen. Es geht um Idealismus, um intrinsische Motivation. In meiner Studie ist dann herausgekommen, dass rund drei viertel des Linux Kernels durch bezahlte Entwickler geleistet wird, das ist da natürlich diese Motivationsdiskussion eigentlich so hinfällig, weil grundsätzlich sind sie über ihren Arbeitgeber motiviert. Es gibt natürlich andere Aspekte, die vorher nicht diskutiert wurden."

Open Source ist also beileibe kein Gefrickel von Hobby-Programmierern. Viel mehr handelt es sich mittlerweile um eines der erfolgreichsten Modelle für die Entwicklung von Software, gerade auch in der professionellen Programmierung. Zwar lassen sich die Erkenntnisse von Urs Lerch über die Arbeit am Linux Kernel sicher nicht allgemeingültig für alle Open Source Projekte gleichermaßen anwenden. Gerade bei OpenSSL hat sich gezeigt, dass es diesem Projekt trotz seiner extremen Verbreitung und ausgiebigen Nutzung an personeller und finanzieller Unterstützung fehlte. Doch es zeigte sich auch ein zweiter Aspekt: Das Open-Source-Prinzip funktioniert. Ein von Google bezahlter Programmierer hatte den Fehler bei der Durchsicht des Codes entdeckt. Ob er auch bei einem proprietären Produkt hätte in den Quellcode schauen können, ist ungewiss. Dort wäre der Fehler möglicherweise noch weit länger unentdeckt geblieben.