Rechtliche Querelen rund um Lizenzen lösen wohl nur bei Juristen Begeisterungsstürme aus. Bei Opentofu und Terraform aber liegt der Fall etwas anders: Es geht um relevante Produkte, überschaubaren Code und ganz praktische Fragen für den Einsatz der Infrastructure-as-Code-Tools.
Auszug aus der Antwort auf die Unterlassungsaufforderung seitens HashiCorp.
Ausgangspunkt einer aktuellen Open-Source-Lizenz-Misere ist Terraform, ein Infrastructure-as-Code-Werkzeug, mit dem sich zum Beispiel virtuelle Rechenzentren konstruieren lassen. Was die Software leistet, soll, ist in der Debatte aber völlig nebensächlich. Wichtiger war und ist die Entscheidung von HashiCorp, Terraform ab April 2024 mit einer neuen Lizenz auszustatten.
Bis dahin stand die Software unter der Mozilla Public License 2.0 (MPL-2.0), einer permissiven, von der Open Source Initiative (OSI) bestätigten Open-Source-Lizenz. Doch wie das bei kommerziellen Open-Source-Projekten nicht selten der Fall ist, sah sich HashiCorp wohl genötigt, gegen direkte Konkurrenz vorzugehen und hat darum auf die Business Source License (BSL) umgestellt. Redis ist mit der Server Side Public License (SSPL) einen ähnlichen Weg gegangen.
In Kürze: Die SSPL ist im Wesentlichen eine minimal abgewandelte GNU Affero GPL. Die AGPL ist nicht permissiv, sondern hängt am Copyleft-Prinzip (hier mehr zur allgemeinen Unterscheidung freier Lizenzen). Als Quasi-SaaS-Variante der regulären GPL greift die AGPL bereits, wenn eine lizenzierte Software über das Netz verfügbar gemacht wird – nicht erst bei der traditionellen Distribution.
Die SSPL weitet dieses Recht nun auf alle Produkte/Services aus, die bei der Leistungserbringung eingesetzt werden, sofern es sich um die Kernfunktionalität der Software selbst handelt. Schriebe man also beispielsweise für eine SSPL-Datenbank ein eigenes Frontend, müssten alle dabei zum Einsatz kommenden Tools ebenfalls unter die SSPL fallen – Frontend, Server, Bibliotheken etc.
Praktisch heißt das: Die freie Nutzung von Redis ist weiterhin gestattet, macht man allerdings den kommerziellen Redis-Services direkte Konkurrenz, wird es problematisch. Später folgt eine weitere Referenz auf diesen kleinen SSPL-Ausflug, kehren wir aber zunächst zur Problemstellung zurück.
Einem entsprechenden Zweck dient die BSL. Unter der BSL wird immer noch der Quellcode geliefert, es dürfen Derivate hergestellt und Produkte distribuiert werden – allerdings keine „competitive offerings“ zu HashiCorps bezahlten Varianten. Solche Entscheidungen führen in Open-Source-Projekten immer wieder zum gleichen Ergebnis: Es wird geforkt – und OpenTofu wurde geboren.
OpenTofu unter der MPL-2.0
Dies ist ein ganz normaler Vorgang: Terraform wechselt auf eine Nicht-Open-Source-Lizenz, also wird auf Github ein Fork erstellt und schon ist der letzte Open-Source-Status der Software die Basis für ein neues Produkt; dass HashiCorp das nicht gerne gesehen hat, dürfte verständlich sein – Handhabe dagegen gibt es aber freilich nicht.
Anschließend kam aber eine neue Funktion in die neue Terraform-Version, eine ähnliche oder identische (diese Frage ist des Pudels Kern!) Funktion in OpenTofu und folglich der in den USA recht beliebte Cease-and-Desist-Brief (Unterlassungsaufforderung). Die Anschuldigung: OpenTofu habe den BSL-lizenzierten Quellcode der neuen Funktion geklaut und in OpenTofu unter der MPL-2.0 zur Verfügung gestellt.
Erfreulicherweise kann man sich all die Materialien selbst anschauen, da OpenTofu die Unterlassungsaufforderung, die eigene Antwort sowie eine Code-Analyse veröffentlicht hat. Und hier wird der Fall einigermaßen greifbar.
Zwei Aspekte werden immer wieder angesprochen, in der Berichterstattung und von HashiCorp selbst. Zum einen diverse konkret betroffene Funktionen im Code und zum anderen die Copyright-Hinweise in den Dateien. Bezüglich der Copyright-Hinweise geht es laut Hashicorp um Dateien mit folgendem Hinweis:
// Copyright (c) HashiCorp, Inc. // SPDX-License-Identifier: MPL-2.0
Nach OpenTofus Darstellung wurde daraus dann diese Version für die OpenTofu-Dateien, um den Original-Autoren ebenfalls Tribut zu zollen:
// Copyright (c) The OpenTofu Authors // SPDX-License-Identifier: MPL-2.0// Copyright (c) 2023 HashiCorp, Inc. // SPDX-License-Identifier: MPL-2.0
Schaut man in die von OpenTofu als Grundlage aufgeführte Version 1.5.5, finden sich freilich die MPL-Referenzen. Diesbezüglich dürfte es lediglich ein wenig Fleißarbeit im Detail benötigen, um die wirklich relevanten Versionen und Daten für eine weitere juristische Auseinandersetzung festzulegen.
Auf der anderen Seite geht es aber natürlich vor allem um Code. Die Entscheidung, inwiefern sich Funktionen urheberrechtlich wirklich voneinander abgrenzen, welche Code-Versatzteile schlicht der Programmiersprache geschuldete Standards sind, wo überhaupt eine relevante Schöpfungshöhe erreicht wird – all das mögen Experten in einer Verhandlung argumentieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Spannend ist aber, sich hier mal Beispiele anzuschauen, um zu verstehen worum es bei Copyright-Problemen mit Code denn in der Praxis überhaupt geht. OpenTofu geht in seinem 49-seitigen Dokument auf etliche Funktionen ein, die ersten stark zusammengekürzten Beispiele finden sich auf Seite 8 – hier ein Auszug:
" Moved (OpenTofu, MPL-2.0): func findMoveStatements(cfg *configs.Config, into []MoveStatement) []MoveStatement { Removed (OpenTofu, MPL-2.0): func findRemoveStatements(cfg *configs.Config, into []*RemoveStatement) []*RemoveStatement { Removed (Terraform, BUSL-1.1): func findRemoveStatements(cfg *configs.Config, into addrs.Map[addrs.ConfigMoveable, RemoveStatement]) addrs.Map[addrs.ConfigMoveable, RemoveStatement] {"
Grundsätzlich ist der Vorwurf, OpenTofu haben die neue Funktion im „removed“-Block (Mitte) von der „removed“-Funktion der BUSL-Terraform-Variante (unten) abgeleitet. OpenTofu wiederum sagt, die Funktion sei von der alten MPL-Terraform-Variante „moved“ abgeleitet.
Hier dürfte es also jede Menge Argumentationen geben. In diesem ersten – auf eine Zeile gekürzten – Beispiel dürften aber auch Laien erkennen, dass die Ähnlichkeiten von Removed/MPL zu Moved/MPL deutlich größer sind als zu Removed/BUSL.
Auswirkungen
Noch mehr Spannung liefert die Berichterstattung über den Konflikt. Im Open-Source-Lager ist die Aufregung natürlich groß, der Vergleich zu Redis liegt nahe, SCO-vs-Linux wird hervorgekramt. Aber auch die Gegenseite hat sich schnell gemeldet.
Interessant ist vor diesem Hintergrund ein Kommentar von Matt Asay auf InfoWorld.com, in dem der Autor OpenTofu ziemlich heftige Vorwürfe macht. Mittlerweile ist dem Artikel ein Update-Hinweis vorangestellt, der Bezug nehmend auf OpenTofus C&D-Antwort erklärt, OpenTofu sei vermutlich doch nicht der Teufel.
Matt Asay? Ja, richtig, das ist ein Mitarbeiter von MongoDB – dem Erfinder der oben im Redis-Abschnitt erwähnten SSPL sowie der von HashiCorp adaptierten BSL. Hier kommt leider die Hybris durch: Firmen, die von Open-Source-Lizenzen auf „Source-Available-Lizenzen“ wechseln, möchten für sich selbst weiterhin den Nimbus einer Open-Source-Firma beanspruchen, sich aber gleichzeitig nicht an die dort geltenden Regeln halten. Die Gründe mögen nachvollziehbar sein, die Auswirkungen für die meisten Nutzer gering.
Ob sich das Risiko, durch einen Fork ersetzt zu werden, wirklich lohnt, wird die Zeit zeigen. Nun, vielleicht auch nicht: Mittlerweile hat IBM HashiCorp übernommen. Einst war IBM in einer ähnlichen Situation wie OpenTofu heute, als SCO ihnen Urheberrechtsverletzungen vorwarf – der Ausgang ist bekannt.
Ob IBM sich nun den Spott zuziehen möchte, seinerseits mit OpenTofu zu streiten? Die Community hofft eher auf eine Rückkehr zu einem ungeforkten Open-Source-Terraform beim traditionell Open-Source-freundlicheren Unternehmen IBM. Eines ist sicher: Open-Source-Lizenzen waren lange nicht mehr so spannend und relevant.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dc/97/dc97ed326b76484a3969a4cf13978ed8/0122635598v1.jpeg "Noch setzen viele Firmen zunächst auf eine Single-Cloud-Lösung, Multicloud-Strategien werden aber die Zukunftsmodelle sein: Kubernetes und Terraform sind da die Schlüsseltechnologien. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/a0/f2a0088856a9bf4e11daf32f4156c730/0127304344v1.jpeg "Mit dem Ende der SPLA-Nutzung auf Hyperscalern wie AWS, Azure oder Google verschieben sich Macht und Marge im Cloud-Ökosystem – zulasten offener Infrastrukturen. (Bild: © Another Galaxy - stock.adobe.com)")