Aus Linux-Magazin 04/2026

FOSDEM 2026: Zwischen Schlachtfeld und Burnout

© FOSDEM

Die drei Keynotes der FOSDEM in Brüssel zeichneten ein ernüchterndes Bild der Open-Source-Welt. Geopolitische Konflikte, ausgebrannte Maintainer und KI-generierter Müll bedrohen ein Ökosystem, auf dem die gesamte digitale Infrastruktur aufbaut.

Den Auftakt am Samstagmorgen übernahm Michiel Leenaars [1], Strategiedirektor der NLnet Foundation. Sein Vortrag las sich wie eine Zustandsbeschreibung der freien Softwarewelt in Krisenzeiten. Leenaars These: Die goldene Ära, in der FOSS entstand und florierte, ist vorbei – und die Community ist auf die neuen Realitäten nicht vorbereitet. Leenaars erinnerte daran, dass die Open-Source-Bewegung in einer Phase geopolitischer Ruhe groß wurde. Nach dem Fall der Berliner Mauer 1989, im selben Jahr, in dem Tim Berners-Lee am CERN das World Wide Web erfand, sprachen Philosophen wie Francis Fukuyama vom “Ende der Geschichte”. Vor dem Hintergrund der damaligen Aufbruchstimmung konnte eine globale, auf Zusammenarbeit ausgelegte Bewegung gedeihen.

Heute sieht Leenaars freie Software als Schlachtfeld. Billige Überwachungstechnik, die auf FOSS basiert, ermöglicht autoritären Regimen neue Formen der Kontrolle. Soziale Medien, angetrieben von Open-Source-Infrastruktur, verbreiten Desinformation und fördern Polarisierung. Truth Social etwa basiert auf einem Fork von Mastodon – eine bittere Ironie für eine Community, die Menschen ermächtigen wollte.

Eindringlich schilderte Leenaars die Verwundbarkeit der Softwarelieferkette. Ein durchschnittliches europäisches Unternehmen zählt rund 25 000 Softwareabhängigkeiten, jede einzelne ein potenzielles Einfallstor. Er verwies auf den XZ-Angriff als Paradebeispiel: Ein Angreifer baute über Jahre Vertrauen in einem Projekt auf, um schließlich eine Hintertür einzuschleusen. Auch der Pager-Angriff im Libanon, bei dem Israel manipulierte Pager von Hisbollah-Mitgliedern zur Explosion brachte, verdeutliche, wie verheerend Supply-Chain-Attacken sein können.

Zum Thema KI fand Leenaars deutliche Worte. Er bezeichnete Large Language Models als “La-La-Modelle” und warnte davor, sie in vertrauenswürdige Codebasen einzuladen. Forschung zeige, dass gezielte Manipulation über sprachliche Trigger möglich sei, Angreifer könnten bestimmte Begriffe in Trainingsdaten einschleusen, um für spezifische Nutzergruppen schadhaften Code zu erzeugen. Als aktuelles Beispiel nannte er ein von Cloudflare angekündigtes Matrix-Server-Projekt, das als post-quantensichere Turnkey-Lösung beworben wurde. Die entscheidenden Interoperabilitätsfunktionen waren allerdings schlicht nicht implementiert.

Leenaars Appell richtete sich außerdem an die Verteidigungspolitik: Die Milliarden, die in Rüstung fließen, sollten auch dem Schutz der FOSS-Infrastruktur zugutekommen, denn diese sei längst Teil der kritischen Verteidigungsinfrastruktur.

Wer zahlt eigentlich?

Am Sonntagmorgen widmete sich Marga Manterola [2] von der Arbeiter-Kooperative Igalia und langjährige Debian-Entwicklerin einer Frage, die trotz jahrzehntelanger Diskussion ungelöst bleibt: Wie lässt sich Open-Source-Arbeit nachhaltig finanzieren? Manterola zeichnete die Entwicklung nach: Als Richard Stallman 1984 das GNU-Projekt startete, gab es etwa tausend Knoten im Internet. Software wurde auf Bändern und Disketten verschickt, jeder Nutzer war zugleich Beitragender. Heute ist Open Source überall, laut einer Studie enthalten 97 Prozent der untersuchten Software mindestens eine Open-Source-Abhängigkeit. Doch der Erfolg hat eine Schattenseite: Nutzer wurden zu Konsumenten, die Qualität, Service-Level-Agreements und Sicherheitsfixes erwarten, ohne etwas zurückzugeben. Das Ergebnis ist Burnout. Manterola zitierte eine weitere Studie, die zwei Hauptfaktoren identifiziert: den Kampf ums wirtschaftliche Überleben und toxisches Verhalten aus der Community. Beides wurzele im selben Problem: Unternehmen entnehmen dem Ökosystem enormen Wert, ohne angemessen beizutragen.

Die bestehenden Finanzierungsmodelle bewertete Manterola nüchtern. Support und Feature-Entwicklung als Dienstleistung funktioniere, sei jedoch schwer zu verstetigen. Open Core, ein offener Kern mit proprietären Zusatzfunktionen, ernähre zwar Unternehmen, sei aber eben kein Open Source. Der Fall HashiCorp illustriere die Risiken: Nach zehn Jahren als Open-Source-Projekt stellte das Unternehmen 2023 Terraform auf eine proprietäre Lizenz um. Die Community reagierte mit dem Fork OpenTofu. Plötzlich waren Unternehmen bereit, Entwicklerkapazitäten beizusteuern.

Spenden über Plattformen wie GitHub Sponsors oder Open Collective funktionieren für einige Projekte, erfordern allerdings permanentes Werben. Staatliche Förderung durch Programme wie NLnet oder den Sovereign Tech Fund hilft, deckt aber typischerweise Neuentwicklung ab, nicht laufende Pflege. Den Open Source Pledge, eine freiwillige Selbstverpflichtung von Unternehmen, 2000 US-Dollar pro Entwickler und Jahr zu spenden, hielt Manterola für vielversprechend, aber ungenügend.

Ihr provokantester Punkt: Alle bisherigen Modelle bezahlen erfahrene Entwickler, die bereits Kernprojekte pflegen. Das schließe Menschen aus, die es sich nicht leisten können, unbezahlt in ihrer Freizeit Open Source zu entwickeln. Darunter finden sich überproportional viele Frauen. Manterola plädierte für bezahlte Teams aus erfahrenen und Nachwuchsentwicklern und schlug einen Open Source Employment Pledge vor: Pro 20 Entwickler in einem Unternehmen solle eine halbe Stelle für freie Open-Source-Arbeit bereitgestellt werden.

Sicherheit trotz KI

Den Schlusspunkt setzte Daniel Stenberg [3], Schöpfer und Hauptentwickler von Curl. Mit geschätzten 20 bis 30 Milliarden Installationen weltweit gehört Curl zur kritischsten Infrastruktur des Internets. Und damit zu den bevorzugten Zielen von Sicherheitsforschern. Stenbergs Befund dazu ist eindeutig: KI-generierte Schwachstellenmeldungen überschwemmen sein Projekt. Im Lauf des Jahres 2025 sank die Quote echter Treffer von einem Sechstel auf etwa einen von 20 bis 30 Berichten.

Die KI-generierten Berichte erkenne man an typischen Merkmalen: übertrieben höfliche Sprache, durchgehende Großschreibung von Titeln, M-Dashes, Emojis in Codebeispielen, aufgeblähte Texte mit endlosen Aufzählungen und das unweigerliche “You’re absolutely right, I apologize” bei Nachfragen. Ein besonders dreistes Beispiel zeigte Stenberg im Detail: Ein vermeintlicher HTTP/3-Exploit inklusive Proof-of-Concept-Code und GDB-Debugging-Session – komplett erfunden. Die referenzierte Funktion existierte nicht, die Registerinhalte waren unmöglich, die gesamte Analyse nichts als eine Halluzination.

Die Motivation der Einsender vermutet Stenberg im Bug-Bounty-Programm: Bis zu 10 000 US-Dollar für einen bestätigten kritischen Fehler. Doch viele Abgewiesene reagierten nicht mit Einsicht, sondern mit Empörung. Scheinbar glaubten sie tatsächlich, etwas Nützliches gemeldet zu haben. Als Konsequenz stellte das Curl-Projekt sein Bug-Bounty-Programm zum Tag des Vortrags ein.

Gleichzeitig betonte Stenberg die positiven Seiten von KI-Werkzeugen. Mit leistungsfähigen Analyse-Tools habe er über 100 echte Fehler in Curl gefunden, die kein herkömmlicher Code-Analyzer aufspürte. Ein Tool erkannte etwa, dass Curl-Code ein ungültiges Telnet-Oktett verwendete. Das Werkzeug hatte wohl die Telnet-Spezifikation “gelesen”. Stenbergs Fazit brachte das Dilemma auf den Punkt: KI bringe gleichzeitig das Beste und das Schlechteste hervor. Das Problem seien letztlich nicht die Werkzeuge, sondern die Menschen, die sie unreflektiert einsetzen. Und Menschen, so Stenberg trocken, ließen sich auch mit KI nicht reparieren. (csi)

Infos

  1. “FOSS in times of war, scarcity and (adversarial) AI”, Michiel Leenaars: https://fosdem.org/2026/schedule/event/FE7ULY-foss-in-times-of-war-scarcity-and-ai/
  2. “Free as in Burned Out: Who Really Pays for Open Source?”, Marga Manterola: https://fosdem.org/2026/schedule/event/L3BK7S-free-as-in-burned-out/
  3. “Open Source Security in spite of AI”, Daniel Stenberg: https://fosdem.org/2026/schedule/event/B7YKQ7-oss-in-spite-of-ai/
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben