Die ehrlichen Nachteile eines Open-Source-ISMS
Vertrauen entsteht, indem man die Nachteile benennt, nicht indem man sie versteckt.
Die Gegenrede zum eigenen Modell
Wir bauen quelloffene Compliance-Software, also haben wir einen Grund, ehrlich zu sein, wo sie schwächer ist. Die Nachteile zu benennen, ist der Weg, Vertrauen zu verdienen.
Hier sind die vier, auf die es ankommt, und was wir jeweils dagegen tun.
Wenn Sie selbst hosten, tragen Sie die Betriebslast: Updates, Backups, Verfügbarkeit und Sicherheit des Servers. Viele Mittelstandsunternehmen haben dafür keine freie Kapazität.
Unsere Antwort: Eine gehostete Variante nimmt die Betriebslast ab, während Selbsthosting für alle verfügbar bleibt, die volle Kontrolle über die Daten wollen.
Open Source kommt selten mit einer Enterprise-Supportvereinbarung. Community-Support schwankt im Tempo, und der kostenlose Tarif ist naturgemäß nach bestem Bemühen.
Unsere Antwort: Bezahlte Support- und Hosting-Stufen gibt es für Teams, die eine garantierte Reaktion brauchen, und wir sagen offen, dass der kostenlose Tarif kein SLA ist.
Ein gut finanzierter US-SaaS hat oft mehr zertifizierte Integrationen und mehr Politur. Manche Funktionen, die Entwicklungszeit kosten, gehören zur Premium-Stufe statt zum kostenlosen Angebot.
Unsere Antwort: Für die meisten Mittelstandsunternehmen ist der Engpass unter NIS 2 die Struktur und ein sauberer Audit-Trail, nicht die Zahl der Integrationen. Dafür bauen wir zuerst.
Open Source ist ein Werkzeug, kein Berater. Es strukturiert die Arbeit und erfasst die Nachweise, aber die Urteilsfragen bleiben Ihre: ob ein Risiko vertretbar ist, ob eine Maßnahme nach Art. 21(1) NIS 2 verhältnismäßig ist.
Das gilt für jedes Werkzeug, offen oder geschlossen. Keine Software nimmt Ihnen die Pflicht ab, die § 30 BSIG der Einrichtung auferlegt.
Häufige Fragen
Ist die kostenlose Version wirklich kostenlos oder eine Testphase?
Sie ist kostenlos nutzbar, keine zeitlich begrenzte Testphase. Wir finanzieren das Projekt perspektivisch über Schulungen, Hosting und Partnerangebote statt über Lizenzen pro Platz.
Was passiert, wenn das Projekt eingestellt wird?
Weil der Code offen ist (AGPL), behalten Sie ihn und können selbst hosten oder forken. Sie stehen nicht so im Regen wie bei einem geschlossenen Anbieter, der schließt.
Brauche ich IT-Personal für den Betrieb?
Nur wenn Sie selbst hosten. Die gehostete Variante nimmt die Betriebslast ab; Selbsthosting ist für Teams da, die volle Kontrolle wollen.
Ist es ab Werk auditbereit?
Es erzeugt die Struktur und den Audit-Trail, den ein Prüfer erwartet. Die inhaltlichen Entscheidungen treffen und dokumentieren weiterhin Sie.
Ist Open Source riskanter für sensible Compliance-Daten?
Offener Code bedeutet nicht offene Daten. Die Daten liegen dort, wo Sie sie hosten; mit EU-Hosting oder Selbsthosting bleiben sie vollständig unter Ihrer Kontrolle.