Hat Automattic Open-Source-Diebstahl begangen?

• Stellen wir uns vor, Apple betrachtet Spotify als Bedrohung und ergreift unfaire Maßnahmen, und Spotify verklagt Apple deswegen. Was wäre, wenn Apple daraufhin Folgendes täte?
  • Spotify aus dem Entwickler-Ökosystem aussperren und App-Updates im App Store unmöglich machen
  • erklären, dass „etwas unternommen werden muss“, weil Spotify notwendige Updates nicht bereitstellen könne
  • die Eigentümerschaft der Spotify-App im App Store stillschweigend auf Apple übertragen
  • den Code so ändern, dass die Möglichkeit entfernt wird, von einer kostenlosen App auf bezahlte Funktionen upzugraden
  • bestehende Spotify-Nutzer im App Store wären nun Nutzer von Apple. Nur Nutzer, die die Spotify-App auf Plattformen außerhalb des App Store verwenden, blieben Spotify-Nutzer
  • auf Fragen zur Fairness antworten, das App-Store-Team handle unabhängig von Apple
• Natürlich würde so etwas niemals passieren. Das wäre nicht nur wettbewerbswidrig, sondern auch rechtlich fragwürdig
• Ersetzt man jedoch Apple durch Automattic, den App Store durch WordPress.org und Spotify durch eines der beliebtesten WordPress-Plugins, wird dem CEO von Automattic vorgeworfen, etwas sehr Ähnliches organisiert zu haben
• Es geht darum, dass sich Automattic die Eigentümerschaft des Plugins Advanced Custom Fields (ACF) angeeignet hat, das von seinem größten Wettbewerber WP Engine entwickelt wurde
• Dieser Vorfall ist eine beispiellos beschämende Angelegenheit in der Geschichte von Open Source im Web

Zusammenfassung des Unternehmensstreits zwischen Automattic und WP Engine

• Automattic ist der Hersteller des Open-Source-CMS WordPress, das auf 43 % aller Webseiten und bei 65 % aller CMS zum Einsatz kommt
• Die Popularität von WordPress beruht auf der permissiven GPL-Lizenz, starken Themes, vielen Anpassungsoptionen, einer starken Marke, enormen Entwicklungsinvestitionen und seiner über 20-jährigen Geschichte
• Automattic ist das VC-finanzierte Unternehmen hinter WordPress, der größte Contributor des Projekts und das Unternehmen, das die kommerzielle WordPress-Marke kontrolliert
• WP Engine ist ein führender Anbieter von Managed WordPress Hosting, mit einem geschätzten Jahresumsatz von etwa $400M, während der Jahresumsatz von Automattic bei rund $500M liegen soll
• Automattic nahm 2021 Venture-Kapital in Höhe von $980 Mio. auf und wurde dabei mit $7,5 Mrd. bewertet; WP Engine erhielt 2018 ein Private-Equity-Investment von $250 Mio. von Silver Lake Partners

Automattic und WP Engine befinden sich in einem offenen Unternehmenskonflikt, und in den vergangenen zwei Wochen hat Automattic die folgende Serie von Angriffen gestartet:

• Beleidigung/Gegenreaktion: Auf öffentliche Beleidigungen von Automattic reagierte WP Engine mit einer Unterlassungsaufforderung
• Unterlassungsaufforderung/Befolgung: Automattic verschickte eine Unterlassungsaufforderung unter Berufung auf Markenrechtsverletzungen, worauf WP Engine die Markennutzung offenbar auf Fair Use umstellte
• Blockade/Workaround: Die WordPress Foundation (WordPress.org) blockierte den Zugriff von WP Engine auf das Plugin-Verzeichnis von WordPress.org, worauf WP Engine eine Lösung entwickelte, die nicht vom Plugin-Verzeichnis von WordPress.org abhängt
• Gegenklage: WP Engine reichte Klage gegen Automattic ein und bezeichnete den Fall als „eine Geschichte von Machtmissbrauch, Erpressung und Gier“. Das Unternehmen behauptet, Automattic habe verschwiegen, dass die WordPress-Markenrechte heimlich an Automattic übertragen worden seien, und die Handlungen von Automattic hätten WP Engine und der WordPress-Community wirtschaftlichen Schaden zugefügt
• Blockiert auf WordPress.org: Die Klage von WP Engine richtet sich gegen Automattic und dessen CEO, aber WordPress.org untersagte allen mit WP Engine verbundenen Personen den Zugriff auf die Website und das Aktualisieren von Plugins. Das Plugin-Verzeichnis von WordPress.org ist für die meisten WordPress-Websites der Weg, Plugins zu aktualisieren

Die WordPress Foundation und Automattic sind vollständig miteinander verflochten, und die WordPress Foundation scheint die geschäftlichen Interessen von Automattic zu vertreten. Matt Mullenweg, Gründer und CEO von Automattic, bestätigte kürzlich, dass er WordPress.org persönlich besitzt. Aufgrund dieser Verflechtungen bezeichnet der Rest dieses Artikels Automattic als den „Akteur“, auch wenn es um Handlungen von WordPress.org oder der WordPress Foundation geht. Aus geschäftlicher Sicht werden die aktuellen Ereignisse von den Interessen von Automattic getrieben.

Kontroverse um die Übernahme des Plugins von WP Engine

• Am 13. Oktober kündigte Matt Mullenweg, CEO von Automattic und Eigentümer der WordPress Foundation, im WordPress-Slack an, Advanced Custom Fields (ACF) zu „forken“
• Die Reaktionen darauf waren durchweg negativ. Die Ankündigung begann mit folgendem Wortlaut:

  „Im Namen des WordPress Security Teams geben wir bekannt, dass wir Punkt 18 der Richtlinien des Plugin-Verzeichnisses aktivieren und Advanced Custom Fields (ACF) in ein neues Plugin namens Secure Custom Fields forken. SCF wurde aktualisiert, um kommerzielle Upsells zu entfernen und Sicherheitsprobleme zu beheben.“

• Das ACF-Plugin ist das am häufigsten installierte Plugin von WP Engine und insgesamt das 28.-beliebteste WordPress-Plugin
• Automattic behauptet, diese Änderung sei ein „Fork“, doch das stimmt nicht:
  • Automattic hat das Recht, das Plugin zu forken, und hat das auch tatsächlich getan, ersetzt aber zugleich das Plugin im Verzeichnis und migriert stillschweigend mehr als 2 Millionen ACF-Kunden auf diesen Fork
  • Die URL bleibt unverändert, ebenso die bestehenden Bewertungen. Bewertungen, die auf diesen Vorfall hinweisen, werden aktiv gelöscht
  • Mehr als 2 Millionen Kunden, die dieses Plugin in den vergangenen 10 Jahren installiert haben, gehören nun einem neuen Eigentümer
• Um auf das Beispiel mit Apple und Spotify zurückzukommen: Es ist so, als würde Apple sich die Spotify-App samt aller Nutzer „aneignen“ und Spotify aus dem Ökosystem aussperren
• In der Unterlassungsaufforderung behauptete Automattic, „WP Engine trage so gut wie nichts zu WordPress bei“, doch zugleich eignet sich Automattic 2 Millionen Websites an, die ein WordPress-Plugin von WP Engine nutzen, das seit mehr als einem Jahrzehnt enorm erfolgreich ist
• Das Vorgehen von Automattic ähnelt in gewisser Weise auch einem Supply-Chain-Angriff:
  • Wenn ein Akteur im Plugin-Verzeichnis stillschweigend die Kontrolle über ein Plugin übernimmt und ohne Offenlegung Funktionsänderungen ausliefert, gilt das als Supply-Chain-Angriff — und genau das ist hier passiert
  • Automattic hat sich nicht nur die Eigentümerschaft am ACF-Plugin angeeignet, sondern auch kleine Änderungen an der Business-Logik ausgeliefert, ohne die Kunden zu informieren, wodurch Hunderte Websites kaputtgingen
• Das Handeln von Automattic scheint darauf abzuzielen, die Einnahmen von WP Engine zu verringern:
  • In Matt Mullenwegs Ankündigung stand die Formulierung „um kommerzielle Upsells zu entfernen“
  • WP Engine erzielt erhebliche Umsätze mit dem Plugin ACF Pro

Ist WP Engine nun der einzige Enterprise-taugliche WordPress-Hosting-Anbieter?

• Jeder WordPress-Anbieter, der das Plugin-Verzeichnis von WordPress.org nutzt, ist Teil eines Supply-Chain-Angriffs geworden, der von Automattic selbst angeführt wurde
  • Eine bemerkenswerte Ausnahme ist WP Engine. Das Unternehmen wurde bereits vor einigen Wochen blockiert und gehört daher zu den wenigen Managed-Anbietern, die für Plugin-Updates nicht das Plugin-Verzeichnis von WordPress.org verwenden
  • Infolgedessen sahen Kunden von WP Engine die stillschweigende Übernahme des ACF-Plugins nicht
• Für Unternehmen, die Supply-Chain-Sicherheit ernst nehmen, ist dieser Vorfall ein Albtraumszenario
  • Automattic hat gezeigt, dass es bereit ist, sich beliebige Plugins anzueignen, und dass es stillschweigende Änderungen mit kaum Tests ausliefert
  • Das bedeutet, dass es unverantwortlich ist, wenn Unternehmen und Behörden sich auf das Plugin-Verzeichnis von WordPress.org verlassen
• Ironischerweise könnte Automattic im Krieg gegen WP Engine gerade die beste Werbung für seinen größten Wettbewerber geschaffen haben
  • WP Engine hat nun den Beleg, gegen unautorisierte Plugin-Übernahmen immun zu sein
  • Nicht nur das ACF-Plugin, sondern auch mehrere Pakete wie Nitropack können keine Updates mehr im WordPress-Plugin-Verzeichnis einreichen. Nur die Kunden von WP Engine sind die Ausnahme!

Ausblick

• Vor zwei Wochen habe ich darüber spekuliert, wie dieser Konflikt enden könnte, aber ich hätte nie gedacht, dass Automattic den WordPress-Plugin-Manager nutzen würde, um sich Plugins anderer Unternehmen anzueignen und 2 Millionen Nutzer zu übernehmen
• Automattic scheint sich nicht dafür zu interessieren, wie viel Schaden es sich selbst oder dem breiteren WordPress-Ökosystem zufügt, und wird die WordPress Foundation nutzen, um seine Agenda durchzusetzen. Daraus könnten folgende Entwicklungen resultieren:
  • Unternehmens- und Behördenkunden zögern, auf WordPress zu setzen
  • WordPress-Konkurrenten profitieren
  • WP Engine versucht, sein Enterprise-Geschäft auszubauen
  • Automattic wirkt zunehmend unberechenbar
  • Für die meisten WordPress-Websites ändert sich nichts
• Leider scheint Automattic stillschweigende, aber wertvolle ethische Grundsätze aufgegeben zu haben, um WP Engine zu schaden
  • Doch die Nutzung einer neutralen Plattform (des WordPress-Plugin-Managers) darf kein Weg sein, geschäftlich zu gewinnen
  • Gerade in Open Source darf das nicht sein
• Man stelle sich vor, Microsoft würde auf npm ein beliebtes Paket eines Konkurrenten an sich reißen
  • Wenn so etwas tatsächlich geschehen würde, wären Vertrauen und Nutzung des npm-Paketsystems massiv erschüttert, und da Microsoft selbst ein großer Akteur ist, könnten Wettbewerbsbehörden eingreifen und Sanktionen verhängen
• WP Engine wird sich zwingend juristisch verteidigen und muss vermutlich nichts weiter tun, als sich zivilisiert zu verhalten, um Automattic weiter Marktanteile abzunehmen
• Ich hoffe, dass die Konfliktparteien zur Ruhe kommen und den öffentlichen Schlagabtausch beenden. Jeder Schlag trifft zwar den Gegner, aber auch die Unbeteiligten werden immer stärker mitgetroffen
  • Je länger dieses Drama andauert, desto mehr neutrale Beobachter werden WordPress mit der Absicht verlassen, nie wieder zurückzukehren
• Unabhängig vom Ausgang wird Automattic für immer als das erste Unternehmen in Erinnerung bleiben, das im Bereich von Open-Source-Websoftware eine ethische rote Linie überschritten hat
• Denn um seinem größten Konkurrenten zu schaden, hat es sich ein von einem anderen Team aktiv gepflegtes Plugin angeeignet, eine Non-Profit-Stiftung für einen im Voraus geplanten Angriff genutzt und die Ethik von Open Source missachtet
• „Automattic, jetzt ist es Zeit, fair zu konkurrieren“

Meinung von GN⁺

• Das jüngste Vorgehen von Automattic wirkt wie ein Verrat an wertvollen ethischen Grundsätzen von Open Source, um einem Wettbewerber zu schaden
• Das lässt sich leicht nachvollziehen, wenn man sich vorstellt, Microsoft als Eigentümer von npm würde ein populäres Paket eines Konkurrenten an sich reißen. In einem solchen Fall würde das Vertrauen in npm einbrechen
• WP Engine wird juristisch dagegen vorgehen und könnte allein durch ein zivilisiertes Auftreten weiter Marktanteile von Automattic gewinnen
• Hoffentlich beruhigen sich beide Seiten dieses Konflikts und beenden den öffentlichen Schlagabtausch. Je länger der Streit dauert, desto mehr neutrale Beobachter werden WordPress verlassen
• Automattic wird künftig als das erste Unternehmen in Erinnerung bleiben, das im Bereich von Open-Source-Websoftware eine ethische rote Linie überschritten hat. Denn um seinem größten Konkurrenten zu schaden, nutzte es eine Non-Profit-Stiftung für einen im Voraus geplanten Angriff und missachtete die Ethik von Open Source
• Für Automattic ist jetzt die Zeit gekommen, fair zu konkurrieren