IBM und Red Hat starten das 5-Milliarden-US-Dollar-Projekt Lightwell mit elf globalen Banken gegen Schwachstellen in Open Source

IBM und Red Hat haben am 28. Mai das Projekt Lightwell angekündigt, eine Initiative im Wert von 5 Milliarden US-Dollar und mehr als 20.000 Ingenieuren zur Validierung und Behebung von Schwachstellen in Open-Source-Software, bevor sie in die Unternehmensproduktion gelangen. Elf große Finanzinstitute haben sich als Erstnutzer eingeschrieben: Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa und Wells Fargo, gemäß der gemeinsamen Pressemitteilung der beiden Unternehmen.

Ein Clearinghouse, nicht mehr ein SBOM

Die zentrale Ingenieureingehensweise der Initiative ist eine zentralisierte Validierungsschicht, die IBM als "trusted enterprise clearinghouse" bezeichnet. Das Modell unterscheidet sich von dem, was der Markt zuvor über SBOMs und signierte Paketlisten konsumiert hat: Das Clearinghouse nutzt die agentischen Fähigkeiten von IBM und Red Hat, um Patches zu reproduzieren, Korrekturen im Upstream-Code zu validieren und signierte Fixes in Unternehmensdistributionen zu integrieren. Die Unternehmen beschrieben die Initiative als "ein neues Modell für den Einsatz von Open Source im Unternehmen, vom Upstream-Entwicklungsprozess bis zur Produktion" und verweisen auf Erkenntnisse aus dem Project Glasswing von Anthropic und dem Trust Access for Cyber von OpenAI.

Die Skalierung ist das Argument. Die mehr als 20.000 Ingenieure werden nicht neu eingestellt: Sie werden in eine koordinierte Operation zwischen Red Hat Enterprise Linux, IBM Research und den Incident-Response-Strukturen von IBM Consulting umgeleitet. Für CISOs, die sich darüber beschwert haben, dass die wirtschaftliche Gleichung der Open Source im Upstream seit dem Vorfall mit den xz Utils im Jahr 2024 gebrochen ist, ist dies der erste Vorschlag mit einer klaren Zahl in Capex und einem definierten operationellen Zeitrahmen.

Warum die Banken zuerst kamen

Die konzentrierte Präsenz von Bank of America, JPMorganChase, Goldman Sachs, Morgan Stanley, Citi, Wells Fargo, BNY, State Street, Visa, Mastercard und dem kanadischen Royal Bank of Canada in der Gründerliste ist kein Zufall. Die amerikanischen Zahlungsverkehrs- und Kapitalmarktoperationen stehen seit der Aktualisierung der OCC zu den Risiken von Drittanbieter-Software unter zunehmendem Regulierungsdruck, und das New York Department of Financial Services verlangte im Dezember von den regulierten Unternehmen, einen formellen Plan zur Minderung kritischer Abhängigkeiten von Open Source vorzulegen.

Für europäische Banken, die bei der Bekanntgabe nicht zum Zug kamen, wie Deutsche Bank, UBS, HSBC, BNP Paribas und Barclays, lautet die unmittelbare Schlussfolgerung, dass das DORA-Regime, das seit Januar 2025 in der Europäischen Union in Kraft ist, neben einem faktischen Clearinghouse, das von IBM und Red Hat kontrolliert wird, koexistieren wird. Die unmittelbare Entscheidung wird sein, sich anzuschließen, die Funktion intern zu replizieren oder eine europäische Alternative rund um das Cyber Resilience Act und die Agenda der ENISA zu entwickeln. Für Aiman Ezzat, CEO von Capgemini, war in einem kürzlichen Gespräch mit Analysten, "die Open-Source-Gleichung im Finanzdienstleistungssektor zu einer Gleichung für Versicherungen geworden, und Versicherung benötigt einen koordinierten Risikopool".

Die Kettenwirkung für Integratoren in Indien und Brasilien

Das Projekt Lightwell ändert die Umsatzgleichung der Beratungsunternehmen, die zuvor Dienstleistungen für die Bill-of-Materials, Container-Härtung und Patch-Management für Banken verkauft haben. TCS, Infosys, Wipro und Cognizant, mit Lieferzentren in Bangalore, Pune, Hyderabad und Chennai, die mehr als 60% der im Ankündigung genannten Konten bedienen, werden ihre Angebote zur "Open Source Assurance" als komplementäre Schicht zu den Diensten von IBM und Red Hat repositionieren müssen, nicht als Ersatz. Die Marge bei der Zeile des Upstream-Patch-Managements wird in den nächsten vier Quartalen voraussichtlich komprimiert werden.

In Brasilien betreibt die Struktur von Shared Service Centern von Itaú, Bradesco, Santander und BTG Pactual signifikante Volumina von RHEL und enthält eine installierte Basis von Open Source-Software, die von den Banken selbst genehmigt wurde. Der Beitritt zum Clearinghouse, selbst über die amerikanische Tochtergesellschaft, hat zwei konkrete Auswirkungen: Es erweitert den Auditbereich des Paketparks in von der Zentralbank regulierten Umgebungen und schafft einen Konflikt mit nationalen Anbietern, die bisher äquivalente Programme in Zusammenarbeit mit Stackspot, Falconi und CI&T aufgebaut haben.

Das relevante Signal für CFOs

IBM hat noch keinen Zeitplan für die Aufnahme neuer Mitglieder oder öffentliche Governance-Kriterien des Clearinghouses veröffentlicht. Es ist unklar, ob globale Einzelhändler, das Gesundheitswesen und Versorgungsunternehmen im zweiten Schwung teilnehmen, oder ob das Programm im ersten Jahr auf Finanzinstitute beschränkt bleibt. Die nächste Einschätzung wird aus der Anhörung des Subkomitees für Cybersicherheit des US-Kongresses stammen, die für Mitte Juni angesetzt ist, bei der Führungskräfte von Red Hat und der Bank of America erläutern sollen, wie kritische Abhängigkeiten klassifiziert werden und wer das endgültige Signal für "genehmigten Patch" hat.

Bis dahin ist die Rechnung einfach für Vorstände, die noch diskutieren, ob sie eigene Teams für die Kuratierung von Open Source beibehalten: IBM hat 5 Milliarden US-Dollar und 20.000 Ingenieure auf die andere Seite des Tisches gesetzt. Das Argument "in-house zu machen" musste am 28. Mai eine neue Rechtfertigung erhalten.