Thought Leadership
Mit fünf Milliarden US-Dollar und 20.000 Ingenieurkräften starten IBM und Red Hat eine Initiative zur automatisierten Absicherung von Open-Source-Software.
Der US-amerikanische Technologiekonzern IBM und seine Tochtergesellschaft Red Hat haben am Donnerstag, den 28. Mai 2026, eine weitreichende gemeinsame Initiative zur Erhöhung der digitalen Sicherheit angekündigt. Unter dem Namen Projekt Lightwell bündeln die beiden Unternehmen finanzielle Mittel in Höhe von fünf Milliarden US-Dollar sowie ein personelles Kontingent von mehr als 20.000 Software-Ingenieuren.
Ziel dieses langfristig angelegten Vorhabens ist es, die wachsenden operationellen Risiken zu minimieren, denen die digitale Infrastruktur von globalen Unternehmen und staatlichen Institutionen durch Sicherheitslücken in frei zugänglichem Quellcode ausgesetzt ist. Da moderne IT-Architekturen zu einem dominierenden Anteil auf quelloffenen Software-Komponenten aufbauen, stellt die Absicherung dieser Lieferketten eine der dringlichsten technischen Herausforderungen dar. Die Besonderheit des Projekts liegt in dem Bestreben, identifizierte Schwachstellen systematisch zu beheben, ohne die Stabilität oder Funktionalität der bereits in Produktion befindlichen Kundensysteme zu beeinträchtigen.
Aufbau eines KI-gestützten Prüfzentrums für Quellcode
Das funktionale Kernstück der Initiative bildet die Einrichtung einer zentralen Prüfstelle, die intern als Enterprise Clearinghouse bezeichnet wird. Diese Plattform nutzt fortgeschrittene Verfahren der künstlichen Intelligenz, um die manuelle Überprüfung und Absicherung von Software-Code auf eine industrielle Skalierung anzuheben. Das KI-gestützte System ist darauf programmiert, weitverzweigte Open-Source-Codebasen kontinuierlich zu scannen, potenzielle Schwachstellen autonom zu identifizieren, diese nach ihrem realen Bedrohungspotenzial zu klassifizieren und entsprechende Priorisierungen für die Fehlerbehandlung vorzunehmen.
Die beteiligten Ingenieurteams arbeiten dabei direkt mit den führenden Köpfen der jeweiligen Open-Source-Entwicklergemeinschaften zusammen. Der Fokus liegt hierbei auf der aktiven Wartung des sogenannten Upstream-Codes, also der ursprünglichen Quellcodes vor deren Verteilung. Durch hochvolumige, KI-unterstützte Schwachstellen-Reviews und die Entwicklung verifizierter, sicherer Patches soll sichergestellt werden, dass Korrekturen direkt an der Quelle einfließen und somit dem gesamten Ökosystem zugänglich gemacht werden.
Relevanz für etablierte Unternehmensplattformen
Die im Rahmen von Projekt Lightwell entwickelten und validierten Software-Patches sowie die begleitenden Funktionen für das Lebenszyklus-Management werden nicht isoliert bereitgestellt. IBM und Red Hat planen, diese Sicherheitsleistungen über bestehende und neue kommerzielle Software-Abonnements direkt an Unternehmenskunden zu distribuieren. Die Initiative baut auf dem bereits etablierten geschäftlichen Ökosystem der beiden Anbieter auf, welches standardmäßig die Validierung für kritische Infrastruktur-Plattformen übernimmt.
Zu den Kerntechnologien, die im Rahmen des Projekts primär betreut werden, gehören das Betriebssystem Linux, die Programmierumgebung Java sowie weitverbreitete Enterprise-Werkzeuge wie Kubernetes für die Container-Orchestrierung und Kafka für die Echtzeit-Datenverarbeitung. Ebenfalls abgedeckt werden Ansible zur Automatisierung, Terraform für das Infrastruktur-Management sowie die Datenbanksysteme Flink und Cassandra. Die enorme Dimension dieser Aufgabe wird durch interne Erhebungen von IBM verdeutlicht. Der Konzern nutzt in seiner eigenen globalen Unternehmensinfrastruktur gegenwärtig mehr als 62.000 unterschiedliche Open-Source-Softwarepakete, was die tiefe Durchdringung und die potenzielle Angriffsfläche veranschaulicht.
Kooperation mit führenden Instituten des globalen Finanzsektors
Die strategische Bedeutung einer resilienten Software-Lieferkette spiegelt sich in der Liste der offiziellen Partner wider, die sich bereits zum Start an Projekt Lightwell beteiligen. Da insbesondere der Finanz- und Bankensektor strengen regulatorischen Compliance-Vorgaben unterliegt und ein primäres Ziel für hochentwickelte Cyber-Angriffe darstellt, kooperieren IBM und Red Hat mit den weltweit größten Finanzinstituten. Zu den initialen Teilnehmern gehören unter anderem die Bank of America, BNY, Citi, Goldman Sachs und JPMorganChase. Ebenfalls vertreten sind Mastercard, Morgan Stanley, die Royal Bank of Canada, State Street, Visa sowie Wells Fargo. Der Vorstandsvorsitzende und CEO von IBM, Arvind Krishna, unterstrich den disruptiven Charakter der Initiative:
„Open-Source ist das Rückgrat der heutigen digitalen Wirtschaft und das Fundament moderner KI, und wir befinden uns an einem Wendepunkt darin, wie es entwickelt, abgesichert und skaliert wird. Mit Projekt Lightwell helfen IBM und Red Hat dabei, ein neues Branchenmodell zu definieren, das KI, technische Expertise und vertrauensvolle Zusammenarbeit zusammenbringt, um Open-Source-Software an ihrer Quelle und über die gesamte Lieferkette hinweg abzusichern. Es geht darum, das Vertrauen in die Systeme zu stärken, die Unternehmen, Regierungen und die Gesellschaft antreiben.“
Arvind Krishna, Vorstandsvorsitzende und CEO von IBM
Implikationen für die IT-Governance und das Software-Lieferkettenmanagement
Für das strategische IT-Sicherheitsmanagement und die übergeordnete IT-Governance in Unternehmen liefert die Ankündigung von Projekt Lightwell wichtige Impulse für das Risikomanagement im Jahr 2026. Bisher gestaltete sich die Überprüfung von Drittanbieter-Code und quelloffenen Bibliotheken oft als fragmentierter und ressourcenintensiver Prozess, der in vielen Organisationen zu erheblichen Sicherheitsrisiken führte. Die Etablierung eines zentralen, herstellergestützten Validierungsmodells ermöglicht es IT-Verantwortlichen, die Einhaltung von Compliance-Vorgaben signifikant zu vereinfachen.
Unternehmen können durch die Integration solcher zertifizierten Software-Abos das Risiko von unentdeckten Zero-Day-Schwachstellen in ihren Produktionsumgebungen minimieren. Ein vorausschauendes Risikomanagement erfordert jedoch auch eine kontinuierliche Evaluation der Abhängigkeiten von einzelnen großen Technologieanbietern. Das Management muss Richtlinien definieren, wie die automatisiert bereitgestellten Patches nahtlos in die bestehende Unternehmensinfrastruktur eingepflegt werden können, ohne logische Konflikte mit proprietären Anwendungen zu riskieren.
