Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel - Markus Oberg, Lighthouse Alliance & Torsten Boch, Matrix42

Software-Audit – Keine Panik!

Lizenzmanagement ist keine exakte Wissenschaft. Stets muss damit gerechnet werden, dass es am Ende zu Diskussionen kommt.

Lizenzmanagement ist keine exakte Wissenschaft. Im weitesten Sinne ist es eine juristische Disziplin, denn die Lizenzbedingungen werden von Juristen formuliert. Die Abbildung des Formulierten in der Technik ist nicht immer klar und eindeutig. Die Herausforderung besteht dementsprechend darin, das geschriebene Wort abzugleichen mit dem, was an Software im Unternehmen im Einsatz ist. Dieser Abgleich kann auf vielerlei Arten geschehen. Daher bleibt stets eine Unschärfe, die es zu bewerten gilt. Eine hundertprozentige Genauigkeit ist eine Illusion. Nie können alle technischen Daten wasserdicht abgebildet werden. Stets muss damit gerechnet werden, dass es am Ende zu Diskussionen kommt, schon allein aufgrund der Komplexität der Sachverhalte. 

Lizenzmanagement ist kein Alleingang

In vielen Unternehmen versucht der Lizenzmanager, sich allein um die Thematik zu kümmern. Das funktioniert leider nicht. Lizenzmanagement ist eine Querschnittsfunktion, die ein Team benötigt. Die Organisation muss involviert sein; die richtigen Personen müssen identifiziert und ihnen die richtigen Rollen und Verantwortlichkeiten zugewiesen werden. Zudem müssen die Daten und Prozesse des Lizenzmanagements mit der Organisation im Unternehmen verknüpft werden. Insbesondere sämtliche Prozesse, die sich mit Veränderungen beschäftigen. Unternehmen sind ständig in Bewegung und diese Veränderungen sollten mit dem Lizenzmanagement synchronisiert werden. Das ist oft nicht der Fall. D. h. Lizenzmanager sind in solchen Fällen allein auf die Daten angewiesen. Das funktioniert ein Stück weit, nimmt aber zu einem großen Teil die Möglichkeit, proaktiv einzugreifen. 

Spielregeln sind notwendig

Ähnlich wie bei einer Buchführung, für die jeder einzelne Beteiligte die Spielregeln kennen und danach agieren muss, gilt auch für das Lizenzmanagement: Die gesamte Organisation muss informiert, beraten und unterstützt werden. Ein Software-Asset-Manager muss die Spielregeln definieren, sie aktuell halten und kommunizieren. Beispiele: Es gilt zu definieren, wie der Prozess für die Anforderung von Software durch die Anwender laufen soll. Auch wie der Einkaufsprozess aussieht, muss geregelt werden. Genauso wie die Frage "Wie werden Lizenzen eingekauft, wer darf das?" Dies gilt auch für den Umgang mit Stammdaten. Was passiert, wenn die Organisation umstrukturiert wird, wenn es Kostenstellenveränderungen gibt, wenn sich die Beteiligungsverhältnisse ändern? Das Software Asset Management sollte stets eingebunden sein. Und nicht zuletzt, wenn es Spielregeln gibt, ist es eine Überlegung wert, inwieweit die Verletzung der Spielregeln sanktioniert wird.

Prioritäten setzen

Unternehmen haben unzählige Softwareprodukte von unterschiedlichen Herstellern im Einsatz. Der Überblick geht schnell verloren. Eine Roadmap festzulegen ist daher hilfreich, ebenso wie die Klarstellung, welchen Themen man sich nicht widmen will. In der Regel erfolgt die Bearbeitung herstellerspezifisch oder produktspezifisch. Die Prioritäten sind in jedem Unternehmen andere: Vertragsverlängerungen stehen an, zu hohe Kosten bei einem Hersteller, etc. Kleine Schritte zu planen und abzuarbeiten ist besser, als das Vorgehen nach dem Wasserfall-Prinzip: Excel-Listen ungeprüft in ein neues System zu überführen ist riskant. Zu viele nicht validierte Daten in einem SAM-Tool anzuhäufen ist nicht empfehlenswert. Es ist auch sehr schwierig, alle Hersteller und alle Produkte durch aktives Lizenzmanagement abzubilden. Die Praxis zeigt, die Anzahl der Hersteller ist so groß, dass es auch langfristig weiße Flecken geben wird. Durch eine Corporate Governance bleibt der Überblick erhalten; finanzielle Risiken können besser eingeschätzt werden. 

Herausforderung Datenqualität

Im Lizenzmanagement werden viele Daten aus unterschiedlichen Quellen zusammen gezogen, technische Daten, kaufmännische Daten, Stammdaten. Dazu kommt: Jede Datenquelle hat ihre Fehler. Wenn man diese zusammenführt, potenzieren sich die Fehler. Benötigt werden aber valide Daten. Daher ist es wichtig, falsche Daten direkt an der Quelle zu bekämpfen und die Verursacher in die Pflicht zu nehmen. Auch nach Veränderungen muss die Datenqualität noch stimmen. Und: Die Bestandsdaten am Beginn eines Projekts sind stets ein großes Problem. Sie stehen nicht umfassend und nicht spezifisch genug zur Verfügung. 

Verträge kommen vor der Technik

Verträge definieren die Spielregeln der Bilanzierung der Lizenzen.  Daher kommt das richtige Verständnis über die geltenden Verträge vor der Aufarbeitung der Beschaffungshistorie. Erst wenn klar ist, wie und was gezählt wird, sollte man sich den technischen Daten widmen und diese mit den Verträgen in Einklang bringen. Obwohl Lizenzmanagement überwiegend aus Organisation besteht, sind Werkzeuge ein Muss, um dem großen Datenvolumens und der Dynamik im Unternehmen Herr zu werden. Allerdings: Die falschen Werkzeuge sind Zeitverschwendung. Ein SAM-Tool muss flexibel anpassbar und prozessunterstützend sein und eine umfassende Erfassung der Softwarewelten ermöglichen.

Weiße Flecken

Software findet auf Desktops, auf mobilen Geräten, in Rechenzentren, in der Cloud statt. SAM-Tools sollten daher diese ganze Vielfalt abdecken. Auch private und Geräte externer Lieferanten müssen mit einbezogen werden, wenn sie im Unternehmen genutzt werden. Und nicht zuletzt sollte jeder Lizenzmanager mit bislang unerkannter Software in den Fachbereichen rechnen. 

Wenn der Audit-Brief kommt

Software-Audits sind zeitaufwendig und teuer. Sie sind mittlerweile zu einem Geschäftsmodell der Anbieter geworden. Rein rechtlich basieren sie auf dem Urheberrecht. Hersteller haben einen gesetzlichen Auskunftsanspruch, aber keinen Besichtigungsanspruch. Das setzt voraus, dass der Rechtsinhaber die Rechtsverletzung durch das Unternehmen glaubhaft machen muss. Zudem muss die Rechtsverletzung durch das Unternehmen in gewerblichem Ausmaß erfolgen. Das Auskunftsverlangen des Herstellers muss verhältnismäßig sein. 

Ein verdachtsunabhängiges Audit lässt sich auf gesetzlicher Grundlage in der Regel nicht herleiten. Allerdings kann es sein, dass der Hersteller ein in den Lizenzbedingungen festgeschriebenes Audit-Recht ausübt. Die Audit-Klauseln in den Lizenzverträgen unterliegen jedoch der ABG-Kontrolle. Eine Audit-Klausel darf den Lizenznehmer nicht unangemessen benachteiligen und sie muss klar und verständlich sein. Damit eine Audit-Klausel gilt, muss sie folgenden Kriterien entsprechen:

  • Angemessene Ankündigungsfrist (5 Tage etwa sind zu wenig, 30 bis 40 Tage sind ausreichend)
  • Konkretisierung der Prüfinhalte und des Prüfumfangs – sie müssen erkennen können, was auf sie zukommt
  • Dauer und Anzahl der Audits
  • Beschränkung auf übliche Geschäftszeiten
  • Wahrung der Geschäftsgeheimnisse
  • Einhaltung datenschutzrechtlicher Vorgaben
  • Qualifikation und Verschwiegenheit der Auditoren
  • Regelung der rechtlichen Folgen einer Über- und Unterlizenzierung

Die Erfahrung zeigt, dass praktisch keine Audit-Klausel ausreichend klar formuliert ist und einer AGB-Prüfung standhält. Ist eine AGB-Klausel zum Teil unwirksam, dann wird sie im Ganzen unwirksam. Zu beachten ist dabei aber der sog. Blue-Pencil-Test. Wird der unwirksame Teil weggestrichen, dann ist zu prüfen, ob der verbleibende Rest der Klausel einen eigenen Sinn ergibt. Wenn dem so ist, dann könnte es sein, dass die Klausel fortbesteht.

Reaktionen auf eine Audit-Aufforderung

Sind Unternehmen mit einem Audit konfrontiert, gibt es zwei grundlegende Einstellungen:

  • Volle Abschottung, um das Audit nach Möglichkeit zu verhindern. 
  • Volle Kooperation

Besser ist eine Strategie im Sinne von DEFCON 5-1, also eine sanftere Variante des Widerstands. Allerdings ist Vorsicht geboten, wenn eine "kontrollierte Konflikt-Eskalation" angestrebt wird. Verweigerung kann in massiven Streit ausarten, was nicht förderlich ist.

Software-Audit Strategien:

  • Bei Erhalt des Auditschreibens vollständig ablehnen
  • Erst ablehnen, um dann individuellen Ablauf zu verhandeln
  • Bei Kauf individuelle Audit-Klausel vereinbaren
  • Bei Kauf Audit-Klausel streichen
  • Stets freiwilliges True-Up durchlaufen
  • Verschiedenste Kombinationen davon

Es besteht zudem die Möglichkeit, eigene Audit-Klauseln zu verhandeln bzw. einen individuellen Audit-Ablauf zu vereinbaren, etwa nach dem Grundsatz: Vorrang der Selbstauskunft. Klar ist, nicht alles ist durchsetzbar, aber es geht um die Verhandlungsmasse und um die Ziele der Verhandlung.

Externe Auditoren

Wird das Audit von Dritten durchgeführt, sind diese üblicherweise bevollmächtigt vom Lizenzgeber. Für das auditierte Unternehmen ist es wichtig, Einsicht in den Auftrag zu erhalten, um sicher zu gehen, dass dieser Dritte kein erfolgsabhängiges Honorar erhält. Zu beachten ist auch, dass diese Dritten keinen Vertrag mit dem Unternehmen haben. Ein solcher wäre aber empfehlenswert, um z. B. in Sachen Datenschutz Sicherheit zu schaffen.

Software-Audits bleiben riskant. Sie werden tendenziell zunehmen, auch durch die Cloud. Unternehmen sollten mutig an das Thema herangehen, sich mit anderen austauschen und von den Erfahrungen anderer profitieren.

Torsten Boch ist seit 2006 Produktmanager bei Matrix42 im Bereich "Compliance" mit den Schwerpunkten License, Asset und Contract Management. Markus Oberg ist seit über drei Jahren unter anderem als Oracle Licensing Professional bei der ProLicense GmbH beschäftigt. Seit Dezember 2016 leitet Markus Oberg als Chairman das Start-Up-Projekt "The Lighthouse Alliance". Dahinter verbirgt sich ein neues Modell für den radikalen und detaillierten Erfahrungsaustausch in Bezug auf Software Audits jeglicher Hersteller.

Mehr Artikel zum Thema: IT-Management Tipps

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

Ihr Ticket bitte – Vergleich von vier freien Ticketsystemen (OTRS)

Jedes Unternehmen hat andere Anforderungen, wenn es um die...

Weiterlesen

Digitalisierung der Kommunikation und Zusammenarbeit

Alle 11 Minuten lassen wir uns von E-Mails unterbrechen. Das...

Weiterlesen

Niemand mag "Buzzword-Bingo"

Kryptische technische Fachausdrücke halten laut einer Studie...

Weiterlesen

Optimieren Sie Ihr Suchergebnis

Im letzten Teil unseres Crashkurses haben wir uns damit...

Weiterlesen

"7 Todsünden" von Leadern – auch im digitalen Zeitalter

Welche Eigenschaften und Verhaltensweisen zeichnen eine gute...

Weiterlesen

Unternehmensweite Vertrauenskultur

Vertrauen entsteht nicht auf Zuruf und kann nicht...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

7 Wege aus der Komplexitätsfalle

Field Service Management-Projekte geraten manchmal ob ihrer...

Weiterlesen

Mammutprojekt Umzug der Unternehmens-IT

Der Umzug eines Unternehmens ist nicht nur eine logistische...

Weiterlesen

SAP-Monitoring mit Open Source

Viele IT-Verantwortliche stehen beim Monitoring von SAP...

Weiterlesen

3 Schritte für sichere SaaS-Nutzung

Nicht genehmigte SaaS-Anwendungen bergen Risiken,...

Weiterlesen

Experience Availability: Von 10. – 12. Oktober in Wien, Linz und Graz

Auch in diesem Herbst heißen wir Sie bei VeeamON Tour wieder...

Weiterlesen

5 Funktionalitäten von Self-Service-Analysen

Erfüllt Ihre BI-Lösung sowohl die IT-Anforderungen als auch...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

Security-Awareness spielend fördern

Palo Alto Networks gibt Tipps zur Umsetzung von...

Weiterlesen

USB gehört gemanagt

Konstantin Fröse vom Storage-Security-Spezialisten...

Weiterlesen

In die USA stolpert man nicht

Uwe Beikirch ist Vorstand des Client-Management-Spezialisten...

Weiterlesen

Stadtwerke Gießen: IT-Servicemanagement mit Open Source

Die Stadtwerke Gießen setzen flächendeckend Open Source für...

Weiterlesen

Die Zukunft der IT-Fehlerbehebung

Wie sollte die IT-Fehlerbehebung in der Welt der hybriden IT...

Weiterlesen