MinIO auf dem Abstellgleis: Was das Aus für Open Source bedeutet

Wie das Ende eines Vorzeigeprojekts Unternehmen zum Umdenken zwingt – und warum digitale Souveränität jetzt wichtiger denn je ist

Bild: Getty Images / Credits: temizyurek

Die Welt der Open-Source-Software befindet sich im ständigen Wandel – besonders im Bereich der Speicherung und Verwaltung großer Datenmengen. Mit MinIO hat sich in den vergangenen Jahren ein leistungsstarker Objektspeicher etabliert, der vor allem durch seine Flexibilität und Skalierbarkeit punktete. Doch die jüngsten Entwicklungen rund um das Projekt werfen Fragen auf: Wie sicher ist die Nutzung von Open-Source-Lösungen, wenn die Community nicht mehr aktiv ist? Und welche Alternativen gibt es für Unternehmen, die auf unabhängige, innovative Technologien setzen?

MinIO ist ein hochperformanter, quelloffener Objektspeicher (Object Storage) und vollständig mit der Amazon-S3-API kompatibel. Konzipiert wurde MinIO für die effiziente Speicherung und Verwaltung großer Mengen unstrukturierter Daten wie Fotos, Videos, Backups und Container-Images und wird gern für KI/ML-Anwendungen sowie Big Data oder als lokale Testumgebung für Cloud-native Apps genutzt. Beliebt ist das Storage vor allem wegen seiner Einfachheit, Skalierbarkeit und Flexibilität – es kann auf eigener Hardware, in der Cloud, Standalone oder verteilt (Distributed) betrieben werden. MinIO ist Bestandteil zahlreicher Integrationen – u. a. in TrueNAS.

MinIO wird von der Firma MinIO Inc. entwickelt, einem im November 2014 gegründeten Technologie-Startup mit Sitz in Palo Alto, Kalifornien. Am 13. Februar wurde das Projekt von MinIO-Co-Founder und CTO Harshavardhana archiviert.

Image
Description
Quelle: GitHub

Der erste Freitag, der 13 im Jahr 2026 war nicht nur das Aus für eines der Open-Source-Vorzeigeprojekte. Es war weltweit ein Unglückstag für zahlreiche Kunden, Betreiber abhängiger Projekte und Integratoren.

In der Kritik steht vor allem die Art der Umstellung: ohne große Ankündigung wurde das GitHub-Repository innerhalb weniger Wochen archiviert. Interessenten werden auf die Enterprise-Produkte des Herstellers verwiesen.

Image
Description
Quelle: GitHub

Analysten bemängeln die Transformation von einem Community-getriebenen Projekt hin zu einem Vendor-Lock-in. Es sieht fast so aus, als würde MinIO seine Open-Source-Wurzeln nutzen, um Nutzer in das kostenpflichtige AIStor-Ökosystem zu drängen. Das ist umso tragischer, als dass das Unternehmen MinIO den Grundgedanken von Open Source damit ad absurdum führt.

Wenn aus Software Abandonedware wird

Open-Source-Software (OSS) bietet Organisationen viele strategische Vorteile, u. a. sind sie nicht an die Preispolitik oder das Schicksal eines einzelnen Herstellers gebunden. Sie können die Software selbst betreiben oder zu einem anderen Anbieter migrieren.

Theoretisch.

Wenn ein Projekt wie MinIO nicht mehr aktiv gepflegt wird, birgt das unternehmenskritische Gefahren: Schwachstellen werden nicht mehr systematisch behoben und die Infrastruktur bleibt ungeschützt. Ohne Updates geht die Kompatibilität zu aktuelleren Betriebssystemen, Cloud-Umgebungen (wie neue Kubernetes-Versionen) oder Hardware-Standards verloren. Ohne eine aktive Community oder Herstellergarantien gibt es bei Systemausfällen keinen Ansprechpartner. Dies kann in produktiven Umgebungen zu langen Stillstandszeiten führen. Unternehmen müssen Fehler (Bugs) selbst korrigieren und eigene Forks (Abspaltungen des ursprünglichen Projektes) pflegen.

Letzteres klingt einfacher als es tatsächlich ist. Abgesehen davon, dass dies teure Entwicklerressourcen bindet und die langfristigen Betriebskosten massiv erhöht werden, drohen auch rechtliche Unsicherheit – und Konsequenzen.

2021 wurde das Projekt unter die restriktivere GNU AGPLv3 gestellt. Die GNU Affero General Public License v3 (AGPLv3) ist eine Copyleft-Lizenz. Das bedeutet, dass alle abgeleiteten Werke oder Erweiterungen unter derselben Lizenz stehen müssen. In Kombination mit der Netzwerk-Klausel könnten sich Organisationen gezwungen sehen, auch proprietären Code (Intellectual Property, IP) offenlegen zu müssen, wenn er eng mit AGPL-Komponenten verknüpft ist.

Wo Regulierung hilfreich wäre

Es gibt zwar Bestrebungen in der Community, MinIO zu forken, um das Projekt am Leben zu erhalten. Warten sollten Unternehmen darauf nicht – und sie sollten sich auch nicht darauf verlassen.

Fernando Adrian Garcia Marc, Open-Source Strategist bei Fossity, kritisiert: “Die meisten OSS-Audits konzentrieren sich darauf, was verwendet wird: Lizenzen, Versionen, bekannte Schwachstellen. Weitaus weniger konzentrieren sich darauf, wer die Software wartet und wie gesund das Projekt-Ökosystem wirklich ist. Der Zustand des Projekts wird selten dokumentiert, geschweige denn geprüft. … Dies sind keine akademischen Fragen. Sie wirken sich direkt auf die operative Widerstandsfähigkeit aus.”

Eine Software Bill of Materials (SBOM) allein genügt nicht. Organisationen müssen im Rahmen ihres ISMS selbst eine Risikoeinschätzung der beteiligten Hersteller und Communities vornehmen und Anbieterprofile erstellen bzw. kontinuierlich aktualisieren.

Marc wirbt dafür, auch die Hersteller und Communities in den Auditprozess aufzunehmen. “Ein ausgereiftes OSS-Audit sollte über Lizenzen und CVEs hinausgehen. Es sollte die Vitalität des Projekts als erstklassiges Risikosignal behandeln“, schreibt er weiter.

Plädoyer für den Europastack

Für Nutzer bedeutet dies, dass sie entweder auf das kommerzielle Modell umsteigen oder zu Alternativen wie Ceph migrieren müssen. Allerdings ist der Umstieg von MinIO auf Ceph herausfordernd, da beide Systeme sich hinsichtlich Komplexität, Architektur und Hardware fundamental unterscheiden. Während MinIO auf Einfachheit optimiert wurde, ist Ceph ein mächtiger Alleskönner und erfordert eine steile Lernkurve. Experten raten dazu, auf Projekte zu setzen, die von Stiftungen wie der CNCF oder der Apache Foundation verwaltet werden.

So oder so ist das Ende von MinIO mit Aufwand verbunden. Da kann doch gleich die Gelegenheit genutzt werden, sich künftig souveräner aufzustellen. Eine europäische Alternative gibt es mit dem Object Storage der französischen Garage.