Open Source wird zur Chefsache. OTTRIA macht sie beherrschbar.

OTTRIA - die Open Source Trust, Threat and Risk Intelligence Alliance - ist der europäische Partner für Ihre Open-Source-Lieferkette. Neue EU-Gesetze verpflichten Geschäftsleitungen persönlich, ihre Software-Lieferkette abzusichern. Das betrifft auch jede Open-Source-Komponente in Ihrem Unternehmen. OTTRIA schließt diese Lücke - mit dokumentierten Prozessen, messbaren Ergebnissen und prüffähigen Nachweisen.

Für Unternehmen - Pflichten verstehen und erfüllen

Für Software-Dienstleister und Agenturen - rechtlich sind Sie Hersteller

Für Open-Source-Projekte - Stabilität und Sichtbarkeit gewinnen

Fünf Gesetze, eine Verantwortung

• DORA verpflichtet Finanzunternehmen zu Open-Source-Analysen (Art. 25 Abs. 1). Persönliche Geschäftsführerhaftung, Zwangsgelder bis 1 % des Tagesumsatzes.
• NIS2 betrifft 18 Sektoren kritischer Infrastruktur. Lieferkettensicherheit ist Pflicht (Art. 21 Abs. 2 lit. d). Bußgelder bis 10 Mio. Euro.
• CRA fordert CE-Kennzeichen, eine vollständige SBOM (Software-Stückliste aller eingesetzten Komponenten) und fünf Jahre Sicherheitsupdates für alle Softwareprodukte. Bußgelder bis 15 Mio. Euro.
• Produkthaftung macht Software erstmals zum Produkt. Keine Haftungsobergrenze, Beweislastumkehr bei fehlender Dokumentation.
• DSGVO verlangt Stand der Technik und dauerhafte Belastbarkeit (Art. 32 Abs. 1). Veraltete oder ungepflegte Open-Source-Komponenten sind ein eigener Bußgeldtatbestand - bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

Open Source steckt in nahezu jeder Unternehmens-Software. Die neuen Gesetze machen Sie verantwortlich - für jede einzelne Komponente.

Bin ich betroffen? Jetzt prüfen

Warum bestehende Lösungen nicht reichen

Scanner sind ein guter erster Schritt. Katalog-Anbieter helfen bei ausgewählten Projekten. Aber eine typische Software-Stückliste enthält hunderte Einträge.

• SCA-Tools finden registrierte Schwachstellen - aber beheben keine einzige. Und sie übersehen Silent Fixes, die vier bis elf Mal häufiger vorkommen als registrierte CVEs. Solange niemand den Fix einspielt, bleibt Ihr System verwundbar - ohne dass Sie es wissen.
• Katalog-Anbieter betreuen ausgewählte Endprodukte - etwa ein End-of-Life-Framework oder eine alte Distribution. Aber nicht deren Abhängigkeiten. Die hunderte Bibliotheken, von denen diese Produkte selbst abhängen, bleiben unbeachtet - obwohl Sie auch für diese haften.
• Enterprise-Support bedient populäre Stacks - aber nicht die tausenden kleinen Bibliotheken, die Ihre Software zusammenhalten. Wenn eine davon ausfällt, steht Ihr Betrieb trotzdem still.

Scanner sind Layer 1: Sichtbarkeit. OTTRIA ist Layer 2 und 3: Eingriff und Governance.

Vollständiger Marktvergleich

Drei Säulen für Ihre Open-Source-Sicherheit

Risk Intelligence

Wir identifizieren Risiken, bevor sie öffentlich werden. Durch unsere aktive Mitarbeit in Open-Source-Projekten erkennen wir Schwachstellen, stille Fixes und Projektverfall frühzeitig - vor der öffentlichen CVE-Veröffentlichung.

Operational Support

Wir lösen Probleme, statt sie nur anzuzeigen. Wenn eine Schwachstelle behoben werden muss, koordinieren wir den Fix mit dem Upstream-Projekt oder erstellen ihn selbst. Bei verwaisten Projekten stellen wir die Wartung sicher.

Compliance Enablement

Wir liefern die Nachweise, die Ihr Auditor erwartet. Risikobewertungen, Maßnahmenhistorien, SBOMs mit Pflegestatus - auditfähig für DORA, NIS2 und CRA.

Leistungen im Detail ansehen

Finden Sie Ihren Einstieg

Finanzsektor - DORA

BaFin-Lizenz? Persönliche Geschäftsführerhaftung und die Pflicht zu Open-Source-Analysen betreffen Sie direkt.

Zur DORA-Seite

Kritische Infrastruktur - NIS2

18 Sektoren, Bußgelder bis 10 Mio. Euro, persönliche Haftung der Geschäftsleitung.

Zur NIS2-Seite

Softwarehersteller - CRA

CE-Kennzeichen, fünf Jahre Sicherheitspflicht, 24-Stunden-Meldefristen.

Zur CRA-Seite

Software-Dienstleister und Agenturen

Sie entwickeln Software für Kunden? Rechtlich sind Sie Hersteller - mit allen Pflichten aus CRA, Produkthaftung, DORA und NIS2. Unabhängig davon, ob das fertige Produkt unter Ihrem Namen oder dem Ihres Kunden vertrieben wird.

Zur Dienstleister-Übersicht

Alle Softwareanbieter - Produkthaftung

Software ist erstmals ein Produkt. Keine Haftungsobergrenze, Beweislastumkehr bei fehlender Dokumentation.

Zur Produkthaftungs-Seite

Alle Unternehmen - DSGVO

Personenbezogene Daten verarbeiten alle. Art. 32 verlangt Stand der Technik und dauerhafte Belastbarkeit - veraltete oder ungepflegte Open-Source-Komponenten sind ein eigenständiger Bußgeldtatbestand. Dokumentierte Sorgfalt wirkt bußgeldmindernd nach Art. 83 Abs. 2 lit. d.

Zur DSGVO-Seite

Über 650 Spezialisten im Netzwerk

OTTRIA arbeitet direkt in den Open-Source-Projekten. Unser Netzwerk umfasst Entwickler, Security-Forscher, Committer und Maintainer aus verschiedenen Technologiebereichen und Programmiersprachen. Diese Nähe zum Code ist die Grundlage für Frühwarnungen, Patches und eine Einbindung ins Ökosystem, die kein Scanner ersetzen kann.

Jetzt Erstgespräch vereinbaren

Factsheet herunterladen

Weiterlesen

• Digitale Souveränität und Open Source
• Open Source hat keinen Vertragspartner
• Alle Hintergrundartikel