OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
Pressemitteilung
Wenn die Community kein SLA hat: OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA
Seit DORA und NIS2 gelten, wird Open Source vom technischen Detail zur Governance-Frage. Unternehmen müssen nicht nur wissen, welche Komponenten sie einsetzen – sie müssen Risiken bewerten, Maßnahmen ableiten und Nachweise liefern können.
Geldern, 20.05.2026 – Mit DORA und NIS2 sind zwei zentrale europäische Cybersicherheitsregime endgültig in der Unternehmenspraxis angekommen. DORA gilt seit dem 17. Januar 2025 unmittelbar für den Finanzsektor; das deutsche NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 verkündet und trat laut BSI ab dem Folgetag in Kraft. Beide Regelwerke erhöhen den Druck auf Unternehmen, digitale Risiken nicht nur technisch zu erkennen, sondern organisatorisch zu steuern, zu dokumentieren und im Ernstfall handlungsfähig zu bleiben. (BaFin)
Ein Bereich wird dabei nach Einschätzung von OTTRIA noch immer unterschätzt: Open Source Software. Sie steckt heute in nahezu jeder modernen Unternehmenssoftware – in Frameworks, Bibliotheken, Containern, Build-Systemen, APIs und Infrastrukturkomponenten. Gleichzeitig gibt es bei Open Source häufig keine klassische Lieferantenbeziehung, keinen Vertrag, kein SLA und keinen garantierten Eskalationsweg.
„Open Source ist nicht das Problem. Im Gegenteil: Ohne Open Source gäbe es moderne Software in dieser Form nicht“, sagt Torsten Zühlsdorf, Geschäftsführer von OTTRIA. „Das Risiko entsteht dort, wo Unternehmen kritische Abhängigkeiten nutzen, ohne Zuständigkeiten, Reaktionswege und Nachweise organisiert zu haben. NIS2 und DORA machen genau diese Lücke sichtbar.“
Scanner schaffen Sichtbarkeit – aber noch keine Governance
Viele Unternehmen setzen bereits auf SBOMs, SCA-Tools und Schwachstellen-Scanner. Diese schaffen Transparenz über eingesetzte Komponenten und bekannte Schwachstellen. Aus Sicht von OTTRIA reicht das jedoch nicht aus, um den neuen Anforderungen an Risikomanagement, Lieferkettensicherheit und digitale operationale Resilienz gerecht zu werden.
Denn Scanner beantworten vor allem die Frage: Was ist verbaut? Sie beantworten aber nicht automatisch, welche Komponente geschäftskritisch ist, welches Projekt verwaist, welcher Fix priorisiert werden muss, wer mit Maintainern kommuniziert, wer Backports erstellt oder wie Entscheidungen auditfähig dokumentiert werden.
Gerade bei Open Source entstehen Risiken häufig nicht erst durch eine offiziell registrierte Schwachstelle. Sie können durch ausbleibende Wartung, Maintainer-Ausfall, Projektverfall, unerwartete Lizenzänderungen, kompromittierte Accounts oder Kontrollwechsel entstehen.
„Eine SBOM ist ein wichtiger Anfang, aber sie ist keine Governance“, so Zühlsdorf. „Sie zeigt, was verbaut ist. Aber sie beantwortet nicht, wer bewertet, wer reagiert und wer im Ernstfall nachweisen kann, dass angemessen gehandelt wurde.“
Geschäftsleitungen brauchen belastbare Nachweise
NIS2 und DORA machen Cybersicherheit zur Führungs- und Organisationsfrage. Während NIS2 unter anderem Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten und Lieferkettensicherheit adressiert, richtet sich DORA an den Finanzsektor und fordert digitale operationale Resilienz, IKT-Risikomanagement, Vorfallmanagement und den Umgang mit Drittparteienrisiken. Die BaFin beschreibt DORA als europäischen Rahmen für digitale operationale Resilienz im Finanzsektor. (BaFin)
Auch aus rechtlicher Sicht verschiebt sich damit der Fokus von der rein technischen Einzelmaßnahme hin zur nachweisbaren Organisation von Verantwortung.
Torsten Zühlsdorf ordnet die Situation aus seiner Sicht weiter ein:
„Für Geschäftsleitungen wird entscheidend sein, ob Cyberrisiken nicht nur technisch erkannt, sondern organisatorisch beherrscht und nachvollziehbar dokumentiert wurden. Gerade bei Open-Source-Komponenten reicht ein Verweis auf automatisierte Scans oder auf die Community nicht aus, um belastbare Governance darzustellen. Wer Zuständigkeiten, Bewertungen und Maßnahmen nicht dokumentiert, verliert im Streitfall das wichtigste Entlastungsinstrument: den Nachweis.“
OTTRIA: Open Source nicht nur sichtbar, sondern beherrschbar machen
OTTRIA setzt genau an dieser operativen Lücke an. Das Unternehmen versteht sich nicht als weiteres Dashboard und nicht als Ersatz für bestehende IT-Security-Strukturen, sondern als spezialisierter Governance- und Eingriffspartner für Open-Source-Lieferketten.
Der Ansatz besteht aus drei Säulen:
-Risk Intelligence: OTTRIA bewertet Risiken in Open-Source-Komponenten, erkennt Projektverfall, kritische Abhängigkeiten, Maintainer-Risiken und sicherheitsrelevante Entwicklungen frühzeitig.
-Operational Support: OTTRIA unterstützt bei Upstream-Koordination, Patches, Backports und Maßnahmen für kritische oder verwaiste Projekte.
-Compliance Enablement: OTTRIA erstellt auditfähige Nachweise, Maßnahmenhistorien, Risikodokumentationen und Entscheidungsvorlagen für interne Governance, Prüfer, Kunden und Aufsichtsanforderungen.
„Wir nehmen Unternehmen nicht die Verantwortung ab – das wäre regulatorisch auch gar nicht möglich“, sagt Zühlsdorf. „Aber wir machen Verantwortung erfüllbar: durch Bewertung, Eingriffsfähigkeit und Nachweise.“
Open Source wird zur Managementfrage
Nach Einschätzung von OTTRIA wird Open-Source-Governance künftig nicht nur für unmittelbar regulierte Unternehmen relevant. Auch Dienstleister, Softwareanbieter und Zulieferer geraten stärker unter Druck, weil Kunden, Auditoren, Versicherer und Auftraggeber zunehmend belastbare Nachweise zur Software-Lieferkette verlangen.
Die zentrale Frage lautet daher nicht mehr nur: Welche Open-Source-Komponenten nutzen wir? Sondern: Wer ist operativ dafür zuständig?
„Wenn die Antwort „die Community“ lautet, ist das keine Governance“, so Zühlsdorf. „Es ist Hoffnung. Und Hoffnung ist kein NIS2- oder DORA-Prozess.“
Über OTTRIA
OTTRIA – die Open Source Trust, Threat and Risk Intelligence Alliance – ist ein spezialisierter Partner für Open-Source-Governance. Das Unternehmen unterstützt Organisationen dabei, Open-Source-Abhängigkeiten nicht nur sichtbar, sondern operativ beherrschbar und auditfähig zu machen. OTTRIA verbindet tiefes Cybersecurity- und Open-Source-Know-how mit einem Netzwerk von über 600 vertraglich gebundenen Entwicklern, um relevante Programmiersprachen, Ökosysteme und Abhängigkeiten abdecken zu können.
Weitere Informationen: www.ottria.eu
Pressekontakt
neusite GmbH
Andrej Rappe
Kapellenplatz 14
52457 Aldenhoven
anfrage@ottria.eu
www.ottria.eu
Agentur für Kommunikation.
Firmenkontakt
neusite GmbH
Andrej Rappe
Kapellenplatz 14
52457 Aldenhoven
02464-9749505
http://www.neusite.de
Pressekontakt
neusite GmbH
Franziska Biermann
Kapellenplatz 14
52457 Aldenhoven
02464-9749504
http://www.neusite.de
- Compliance (Wikipedia)
Compliance (englisch für „Einhaltung, Befolgung“) steht für: Compliance (BWL), Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes durch Unternehmen Compliance (Recht), Einhaltung von Regeln in Form von Recht und Gesetz Compliance (Medizin), Deckungsgleichheit von ärztlichem Planen und patientlichem Handeln Compliance (Physiologie), Maß für die Dehnbarkeit von Körperstrukturen Compliance (Film), US-amerikanischer Thriller von Craig Zobel (2012) Compliance (Lied), Lied der britischen Rockband Muse, siehe Muse (Band)#Will of the People (2022–2024) Siehe auch: Material Compliance komplientes System Liste aller Wikipedia-Artikel, deren Titel Compliance enthält - DORA (Wikipedia)
Dora ist der Rufname von: Sister Dora (Dorothy Wyndlow Pattison, 1832–1878), anglikanische Nonne und Krankenschwester Dora oder Dóra ist der Familienname folgender Personen: André Dora (* 1970), deutscher Kommunalpolitiker (SPD), Bürgermeister von Datteln Cornel Dora (* 1963), Schweizer Historiker, Stiftsbibliothekar von St. Gallen Dhurata Dora (* 1992), albanische Popsängerin Erol Dora (* 1964), aramäischer türkischer Anwalt und Parlamentarier Johann-Georg Dora (* 1948), deutscher General Josefine Dora (1867–1944), österreichische Schauspielerin Marian Dora (* um 1970), deutscher Regisseur, Drehbuchautor und Filmproduzent Max Dora (1921–1995), Schweizer Filmfirmenmanager und Filmproduzent Miki Dora (1934–2002), ungarischer Surfsportler Ottó Dóra (1962–2015), ungarischer Politiker Dora steht für: Dora (Vorname), weiblicher Vorname Deckname von Sándor Radó (1899–1981), ungarischer Spion Dora (Oper), Oper von Bernhard Lang (2024) Dora (Sängerin) (* 1966), portugiesische Sängerin Dora (Singer-Songwriterin) (* 1999), russische Singer-Songwriterin Dora (Schiff, 1925), ein Fahrgastschiff in Berlin Dora (Schiff), ein Rettungsboot Dora, zwischenzeitlicher Name des Alsterdampfers Nixe (Schiff, 1875) BVG-Baureihe D, ein Triebwagen der Berliner U-Bahn ein Eisenbahngeschütz, siehe 80-cm-Kanone (E) Dora (Zeichentrickserie), US-amerikanische Zeichentrickserie, Originaltitel Dora the Explorer (2000–2019) Dora (Zeichentrickserie, 2024), US-amerikanisch-kanadische Zeichentrickserie, Originaltitel Dora Dora (kroatisches Festival), Musikfestival Fall Dora, Fallbericht Sigmund Freuds über seine Patientin Ida Bauer (Patientin) Unternehmen Dora der Wehrmacht 1942 Dora, Spitzname des deutschen Jagdflugzeugs Focke-Wulf Fw 190 D die Umkehrwalze Dora (UKW D) der Enigma, siehe Umkehrwalze D KZ Mittelbau-Dora, Konzentrationslager mit Rüstungsbetrieb U-Boot-Bunker Dora in Trondheim, Norwegen (668) Dora, Asteroid DORA steht für San Francisco Declaration on Research Assessment Digital Operational Resilience Act, Verordnung (EU) 2022/2554 (DORA) Verschiedene tropische Stürme: im Atlantischen Ozean: Tropischer Sturm Dora (1956), zog über die Bahía de Campeche hinweg Hurrikan Dora … - governance (Wikipedia)
Governance (von französisch gouverner, „verwalten, leiten, erziehen“, aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen) – oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet. Der Begriff Governance wird häufig unscharf verwendet. - NIS2 (Wikipedia)
NIS2 oder NiS2 steht für Nickeldisulfid (NiS2) NIS-2-Richtlinie der Europäischen Union betreffend Cybersicherheit (zweite Netzwerk- und Informationssicherheitsrichtlinie) - Open Source (Wikipedia)
Als Open Source (aus englisch open source, wörtlich offene Quelle) wird Software bezeichnet, deren Quelltext öffentlich ist und von Dritten eingesehen, geändert und genutzt werden kann. Open-Source-Software kann unter Einhaltung der Lizenzbedingungen kostenfrei genutzt und verteilt werden. Software kann sowohl von Einzelpersonen aus uneigennützigen Motiven zu Open-Source-Software gemacht werden als auch von Organisationen oder Unternehmen, um Entwicklungskosten zu teilen oder Marktanteile zu gewinnen. Befähigte Endbenutzer können die Software nach eigenen Bedürfnissen anpassen und eventuell als Abspaltung veröffentlichen, als auch mit „Pull Requests“ Verbesserungen beitragen. - OS (Wikipedia)
OS steht als Abkürzung für: Austrian Airlines, österreichische Fluggesellschaft (IATA-Code) Compagnie de l’Ouest Suisse, schweizerische Bahngesellschaft Oberflächenschutzsystem in Konstruktionen Oberschlesien Oberschule Oberstufen-Kolleg Bielefeld (Versuchsschule an der Universität Bielefeld) Oculus Sinister (medizinische Bezeichnung des linken Auges) Offizielle Sammlung der Zürcher Gesetzessammlung Offizierschule der Schweizer Armee Offiziersschüler der NVA die Anweisung „OS“ in Drehbüchern, um gesprochenen Text oder ein Geräusch zu kennzeichnen, dessen Ursprung nicht im Blickwinkel der Kamera liegen soll Ohne Schaffner, Wagenkennzeichnung bei der Straßenbahn Dresden, siehe Straßenbahn Dresden #Zeit der DDR Open Service (Offener Dienst), siehe Galileo (Satellitennavigation) #Dienste Open Skies, siehe insbesondere Vertrag über den Offenen Himmel Open Source, Software mit frei verfügbarem Quelltext Operating System, englisch für Betriebssystem Optionsschein On Sight (ETCS), eine Betriebsart des europäischen Zugbeeinflussungssystems ETCS Ordnance Survey, nationale Landesvermessungsbehörde Großbritanniens Organisation Spéciale, historische algerische Terrororganisation Orientierungsstufe, eine Schulform OS (Automarke), ehemalige japanische Automarke Syrien (ICAO-Code) OS als Unterscheidungszeichen auf Kfz-Kennzeichen: Deutschland: kreisfreie Stadt Osnabrück und Landkreis Osnabrück Kroatien: Osijek Niederlande: Sattelauflieger Tschechien: Okres Ostrava-město, deutsch: Ostrau-Stadt (auslaufend) os ist eine Abkürzung für: die Ossetische Sprache nach ISO 639-1 Siehe auch: Os - SLR (Wikipedia)
SLR steht für: Satellite Laser Ranging, Distanzmessung mit Laserteleskopen zu Erdsatelliten Scalable Linear Recording, Bandspeicherformat von Tandberg Data Self-loading rifle und semi-automatic rifle, englischsprachige Bezeichnung für Selbstladegewehr SLR (Gewehr), britisches Selbstladegewehr Single-Lens Reflex, einäugige Spiegelreflexkamera, siehe Spiegelreflexkamera #Einäugige Spiegelreflexkamera SLR-Parser, simple scanning from the left, using right reductions parser, ein spezieller LR-Parser Sri Lanka Railways, die staatliche Eisenbahngesellschaft Mercedes-Benz SLR McLaren, ein Supersportwagen Sobelair (ICAO-Code), ehemalige belgische Charterfluggesellschaft Silverstone Air Services (ICAO-Code), kenianische Fluggesellschaft slr steht für: Salarische Sprache (ISO-639-3-Code)
