- Anzeigen -

Sie sind hier: Home » Fachartikel » Management

Wenn der Lizenzprüfer zweimal klingelt


Mit 65prozentiger Wahrscheinlichkeit: Software-Audits sind längst kein Phänomen mehr, das nur große Firmen trifft
Softwarelizenz-Compliance: Bei der Installation einer Software gehen Unternehmen automatisch ein Vertragsverhältnis ein, das den Hersteller berechtigt, jederzeit die Einhaltung der Nutzungsrechte zu überprüfen

Autor Christian Dittrich:
Autor Christian Dittrich: Der Grund weshalb so viele Unternehmen ein Software-Audit nicht fehlerfrei bestehen, ist neben offensichtlichem Vorsatz, häufig pure Unwissenheit, Bild: Dittrich & Kollegen

Von Christian Dittrich, Gründer und Geschäftsführer Dittrich & Kollegen GmbH

(23.08.13) - Die Anzahl der Lizenz-Audits hat sich in den vergangen Jahren jeweils verdoppelt. Allein 2012 wurden durch Hersteller, die in der Business Software Alliance (BSA) organisiert sind, 6.000 Audits durchgeführt. Microsoft bekam 430 Mio. Euro für anfällige Nachlizenzierungen und Schadensersatzansprüche. Ein lukrativer Markt für Softwarehersteller, denn die meisten Unternehmen sind falsch lizenziert.

Laut dem Marktforschungsunternehmen Gartner Group liegt die Wahrscheinlichkeit für ein Unternehmen, einem Software-Audit unterzogen zu werden, bei 65 Prozent. Software-Audits sind also längst kein Phänomen mehr, das nur große Firmen trifft. Microsoft überprüft beispielsweise immer häufiger Mittelständler mit 300 bis 500 PCs. Aber wie werden diese Unternehmen ausgewählt?

Hersteller wie Microsoft bekommen aus verschiedenen Quellen, z.B. von investigativen Unternehmen, Tipps und Informationen, sodass sie gezielt Audits anordnen können. Und das mit Recht: Denn bei der Installation einer Software gehen Unternehmen automatisch ein Vertragsverhältnis ein, das den Hersteller berechtigt, jederzeit die Einhaltung der Nutzungsrechte zu überprüfen. Bei Vertragsformen wie "Open Licence" ist dabei eine Auskunftspflicht, in Großkundenverträgen wie "Select Plus" oder "Enterprise Agreement" (EA) typischerweise ein Überprüfungsrecht per Audit ausdrücklich gegeben.

Anders macht es die BSA, das Sprachrohr der weltweiten Softwarebranche. Sie ruft auf ihrer Startseite im Internet dazu auf, Lizenzmissbrauch zu melden. Laut eigenen Angaben bekommt sie dabei 99 Prozent der Tipps von entlassenen Mitarbeitern oder enttäuschten Consultants und kann dann, genau wie die Hersteller selbst, gezielt eine Überprüfung anordnen.

Recht auf Nachprüfung
Die Überprüfung startet zunächst harmlos: Der erste Schritt des Herstellers – hier Microsoft – ist, das Unternehmen aufzufordern, eine angefügte Excel-Tabelle mit dem gesamten Softwarebestand auszufüllen und an Microsoft zurück zu schicken. So kann das Unternehmen praktisch eine Selbstauskunft über die eingesetzte Software geben. Geschieht das nicht in der vorgegeben Zeit, macht der Hersteller in einem zweiten Schreiben auf sein Recht auf Nachprüfung nach Paragraph 96 Urhebergesetz aufmerksam und fordert die Angaben erneut ein. Wird dem wieder nicht Folge geleistet, kündigt Microsoft im letzten Schritt ein Audit an.

Die Reaktion vieler Unternehmen darauf ist laut BSA entweder "Bitten um mehr Zeit", "Hoffen, dass alles in Ordnung ist", "Kauf von mehr Lizenzen" oder sogar das "Blockieren des Audits". Das Ergebnis bleibt gleich: Microsoft wird eine neutrale Prüfgesellschaft – in Deutschland meist die KPMG oder RölfsPartner, international oft PwC – mit einem Audit beauftragen. Und das kann teuer werden. Denn nur rund fünf Prozent der Unternehmen überstehen ein Lizenz-Audit fehlerfrei oder lediglich mit kleineren Mängeln. Bei diesen fünf Prozent übernimmt Microsoft die Kosten für die Prüfung, der Rest muss sie selbst tragen und zudem mit Schadenersatzanforderungen und Nachlizenzierungskosten rechnen. Diese setzen sich üblicherweise zusammen aus dem 2,5 bis 3fachen des Straßenwerts der Software für die Vergangenheit – unabhängig davon, wie lange der Verstoß bereits andauert -, zuzüglich der neuen Lizenz. Bei Office mit einem Wert von rund 500 Euro, ergeben sich etwa 1.500 Euro für die Vergangenheit zuzüglich 500 Euro für die künftig gültige Lizenz. Fehlen 100 Office Lizenzen, kommt auf das Unternehmen eine Rechnung von 200.000 Euro zu – Kosten für das Lizenz-Audit nicht mit inbegriffen. Da können zusätzlich problemlos fünfstellige Summen zusammenkommen.


Wie beim Zahnarzt
Wie läuft ein Audit ab? Ist der Lizenzprüfer im Unternehmen, schaut er sich den gesamten Softwarebestand an. Dabei legt er den Fokus natürlich auf den Bereich des jeweiligen Herstellers, der ihn beauftragt hat. In der Regel dauern solche Audits mehrere Tage, da viele Informationen zusammengetragen werden müssen. Üblicherweise wird zunächst nach der generell eingesetzten Software gefragt. Dabei stehen große Programme, wie Office, das Mailsystem oder der Virenscanner im Fokus. Danach folgen Stichproben. Microsoft wird dabei beispielsweise die SQL-Server-Lizenzen prüfen lassen.

Zum einen sind die Lizenzierungskosten in dem Bereich an sich sehr hoch, zum anderen greifen viele Nutzer häufig indirekt auf die Daten des Servers zu – ohne Lizenz –, weshalb es für das Unternehmen hier schnell teuer werden kann. Je nach Ausfall der Stichproben, bohrt der Prüfer entweder wie ein Zahnarzt, der einen faulen Zahn gefunden hat, immer tiefer – führt also eine Detailprüfung durch – oder verzichtet darauf, weil alle Daten geliefert werden konnten. Am Ende schreibt er einen Bericht, der sowohl an das Unternehmen als auch an den Auftraggeber geht. Fällt der Bericht negativ aus, muss das Unternehmen handeln. Microsoft zeigt sich meist kulant, wenn die Firma Einsicht zeigt und die Lizenzlücken schließen möchte. Wird ein entsprechendes Konzept vorgelegt, bekommt das Unternehmen häufig bis zu einem Jahr Zeit, den Missstand zu beheben.

Unterwegs im Lizenzdschungel
Der Grund weshalb so viele Unternehmen ein Software-Audit nicht fehlerfrei bestehen, ist neben offensichtlichem Vorsatz, häufig pure Unwissenheit. Denn zu einer gültigen Lizenz gehören je nach Lizenzart folgende Komponenten: Rechnung, Zahlungsnachweis, Datenträger, Verpackung und Handbuch. All diese Komponenten müssen bei einem Lizenz-Audit in irgendeiner Form nachweisbar sein. Die Rechnung geht jedoch meist an die Buchhaltung, den Datenträger inklusive Seriennummer bekommt die EDV, die Verpackung wird entsorgt und schon ist die Lizenz zerstückelt oder gar nicht mehr vollständig im Unternehmen vorhanden.

Darum hat Microsoft eine Software Check-in-Checklist mit insgesamt 13 Schritten erstellt, die bei der Ankunft von neuer Software im Unternehmen durchgeführt werden müssen. Neben ganz selbstverständlichen Dingen wie "Open each item" finden sich Punkte wie "Label the documentation with the software title name, date of receipt, and your name and signature" oder "File user manuals and documentation in a central location for user access", was schon weniger selbstverständlich ist und häufig nicht durchgeführt wird. Hinzu kommt, dass sich der Unternehmensbedarf an Software kontinuierlich verändert und mit ihm die Lizenzverpflichtungen: Dem Unternehmer wird stets daran gelegen sein, seinen Mitarbeitern innovative Lösungen bereitzustellen, damit sie ihre Arbeit machen können. Gleichzeitig werden Mitarbeiter eingestellt und entlassen oder wechseln innerhalb der Firma ihren Arbeitsplatz. Trends wie Mobility und Cloud Computing führen dazu, dass sich das Nutzungsverhalten der User schnell ändert.

Und durch Smartphones und Tablets steigt auch noch die Zahl der Endgeräte im Unternehmen immens. All das führt dazu, dass sich Lizenzverpflichtungen verändern können und die Lizenzierung angepasst werden muss.
Und selbst wer seine Lizenzen gut im Griff hat und dem Prüfer eine umfangreiche Excel- Tabelle mit einer Übersicht über die erworbenen und eingesetzten Lizenzen vorweisen kann, erfüllt nicht immer die Anforderungen der Prüfgesellschaft. Zusätzlich muss der Lizenznehmer auch noch nachweisen können, welche Lizenzen welcher Hardware und welchem Benutzer zugeordnet sind, beziehungsweise zu einem beliebigen Zeitpunkt zugeordnet waren. Generell müssen die Informationen für den Auditor richtig, vollständig und validierbar sein. Es kann also passieren, dass die vorgelegte Liste nicht anerkannt wird, weil nicht ersichtlich ist, wie die Zahlen zustande kommen.

Keine Panik mit SAM
Hier kommt das so genannte Software Asset Management – kurz SAM – ins Spiel. Egal ob nach einem Audit oder bereits im Vorfeld implementiert: Mit einem gut aufgesetzten SAM-Prozess können aufgefallene Lizenzmissstände häufig noch behoben und künftigen Audits gelassen entgegen geschaut werden. Denn mit SAM werden Softwarelizenzen effektiv verwaltet und Softwareinvestitionen kontrolliert. Gleichzeitig kann die von Lizenzprüfern eingeforderte Lizenzbilanz – die sogenannte Effective Licence Position (ELP) – erstellt werden. Dazu ist jedoch das richtige Tool notwendig. Denn damit die Lizenzbilanz auch von den Herstellern anerkannt wird, muss der Softwarebestand sowohl technisch – "Was ist installiert?" – als auch kaufmännisch – "Welche Nutzungsrechte sind vorhanden?" – inventarisiert werden. Für die technische Inventarisierung stellt Microsoft mit seinem System Center selbst ein Tool zur Verfügung.

Doch auch andere Hersteller bieten mittlerweile verschiedene Tools mit jeweils unterschiedlichen Features an, sodass jedes Unternehmen abwägen muss, welches für die eigenen Bedürfnisse am besten passt. Bei der Auswahl des Tools und allen folgenden Schritten können die Unternehmen auf die Unterstützung von speziell ausgebildeten Beratern zurückgreifen. Ist das richtige Werkzeug gefunden, läuft es im Hintergrund im Unternehmen mit und inventarisiert den Softwarebestand. Auf Grundlage dieser Ergebnisse wird die ELP erstellt. Steht der Lizenzprüfer vor der Tür, ist das Unternehmen vorbereitet und kann die detaillierte Lizenzbilanz vorlegen.

Insgesamt gibt es drei SAM-Projekttypen: Beim so genannten "SAM-Deployment" wird ein Tool eingeführt, mit der "SAM-BaseLine" wird eine ELP erstellt und mit dem "SAM-Assessment" wird der Reifegrad der SAM Organisation bestimmt.

Reifegrade gibt es vier: Basis, Standardisiert, Rationalisiert und Dynamisch. Kann ein Unternehmen eine ausgeglichene ELP – unterzeichnet von einem Microsoft Certified Professional (MCP) – vorweisen und hat im SAM-Assessment in allen zehn Kernkompetenzbereichen – dazu zählen beispielsweise Ablage der Lizenzen oder Genauigkeit der Inventur – mindestens den Reifegrad zwei erreicht, kann es ein SAM Zertifikat bekommen und muss ein Jahr lang kein Audit fürchten. Die Punkte der Microsoft Software Check-in-Checklist entfallen ebenfalls, da bei einem implementierten SAM, sämtliche Schritte automatisch im Hintergrund abgedeckt werden.

SAM schafft Transparenz und Effizienz
Weil die Softwarelizenzen mit SAM zentral beschafft und verwaltet werden, wird das Risiko vor empfindlichen Nachzahlungen insgesamt erheblich gesenkt. Gleichzeitig kann aber auch der IT-Arbeitsaufwand laut KPMG mit einem proaktiven SAM um bis zu 50
Prozent reduziert werden. Um SAM zu implementieren, sucht sich ein Unternehmen üblicherweise Unterstützung von entsprechenden Beratern. Der Berater zeigt die verschiedenen Möglichkeiten des Systems auf, unterstützt das Unternehmen bei der Wahl des passenden Tools zur Inventarisierung und Verwaltung der Verträge, erkennt die Lizenzmetrik der verschiedenen Lizenzen, erstellt die ELP und entwickelt auf deren Basis optimale Lizenzmodelle. Häufig zeigt SAM dabei auch Einsparpotenziale auf, weil Unternehmen gar nicht unter-, sondern aus Angst überlizenziert sind. So hat eine Studie der Gartner Group ergeben, dass das Einsparpotenzial des eingesetzten Softwarebudgets zwischen 15 und 30 Prozent liegt.

Die SAM-Berater schulen bei Bedarf auch das IT-Personal im Unternehmen und führen im Idealfall regelmäßig Assessments durch, um die Qualität des SAM-Prozesses laufend zu prüfen und zu verbessern. Außerdem überprüfen sie quartalsweise – das ist die von Microsoft akzeptierte Größe – die Softwarebestände. Die Ergebnisse werden in einer Compliance-Mappe gesammelt und können dem Lizenzprüfer bei Bedarf ausgehändigt werden. So wird das Audit im Regelfall erheblich verkürzt. Die Berater können auch bei den Audits selbst vor Ort sein und das Unternehmen unterstützen. Einerseits liefern sie – bei einem implementierten SAM – schnell die gewünschten Ergebnisse und andererseits wissen sie, wozu der Prüfer rechtlich die Erlaubnis hat und an welcher Stelle er sein Mandat überschreitet.


Die Lage in Deutschland
So praktisch und sinnvoll SAM ist, bisher haben längst nicht alle Unternehmen sein Potential erkannt. Meist nur solche, die den Aspekt Compliance ohnehin schon thematisiert haben. Das verwundert, zumal bei einem Lizenzmissbrauch immer der Geschäftsführer haftet – sowohl strafrechtlich als auch zivilrechtlich und die Strafen erheblich sein können. So kann den Unternehmer neben möglichen Unterlassungs-, Auskunfts- und Schadenersatzansprüchen, bei gewerbsmäßiger Urheberrechtsverletzung im schlimmsten Fall sogar eine Freiheitsstrafe von fünf Jahren treffen. Es verwundert auch, dass das Thema bei Banken bisher kaum verbreitet ist, denn eine unterlizenzierte Firma stellt – gerade in Bezug auf die Kreditvergabe – ein hohes geschäftliches Risiko dar.

Insgesamt herrscht in Deutschland noch häufig eine falsche Einstellung gegenüber Software. Die Tatsache, dass ein Lizenz-Nutzungsrecht nicht gleich Urheberrecht ist, ist bisweilen oft unbekannt. Folglich wird auch verkannt, wie wichtig die Einhaltung der Lizenzrechte ist. Mit SAM möchte Microsoft nun das Bewusstsein der Lizenznehmer steigern. Doch obwohl die Kapazitäten noch gering sind und nach Unternehmensangaben derzeit rund 100 SAM-Berater fehlen, ist Deutschland im internationalen Vergleich sehr gut aufgestellt. So die Erkenntnis an einem Roundtable mit sämtlichen SAM- Verantwortlichen im Juli 2013 in Houston bei der jährlichen Microsoft Partnerkonferenz. Die Partnerlandschaft ist vergleichsweise groß und durch die SAM-Akademie, einer deutschen Ausbildungsinitiative – ins Leben gerufen von Ümit Aytekin, Sales Manager SAM Deutschland – wächst die Kompetenz stetig. Natürlich bleibt es ein langer Weg, Lizenzmissbrauch einzudämmen und den Unternehmen mit effektiven Lizenzmanagementlösungen zur Seite zu stehen, doch die Weichen sind gestellt. (Dittrich & Kollegen: ra)

Dittrich + Kollegen: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Management

  • IT-gestützte Compliance ist kein Hexenwerk

    Compliance wird immer wichtiger. Unternehmen müssen umfangreiche gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung auch nachweisen. Bei Rechtsverletzungen drohen empfindliche Strafen und ein erheblicher Imageschaden. Doch viele Firmen sind mit dem Compliance-Management überfordert. Abhilfe schafft hier ein pragmatischer, IT-gestützter Ansatz wie das Compliance-Framework von Computacenter, das die Regularien mit den entsprechenden IT- und Geschäftsprozessen verzahnt und Abweichungen erkennt. Compliance gilt für alle Fachbereiche eines Unternehmens, auch für die IT-Abteilung. In den meisten Unternehmen sind heutzutage alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software abgebildet. Angesichts der zentralen Rolle der IT fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen.

  • Compliance-konforme Datensicherheit

    Die Vertraulichkeit und Integrität von Daten ist unverzichtbar – nicht zuletzt auch aus Compliance-Gründen. Eine Grundlage dafür: Die konsequente Verschlüsselung von wichtigen Informationen. Ein besonders hohes Schutzniveau bieten Hardware-basierte Verschlüsselungssysteme, so genannte Hardware Security Module (HSM). Zur Sicherung von Daten und Transaktionen sind kryptographische Verfahren unverzichtbar. Sie umfassen zwei Bereiche: das Erzeugen, Speichern und Verwalten von Schlüsseln sowie die Anwendung für die Signaturerstellung und Verschlüsselung mit diesen kryptographischen Schlüsseln. Hier kommen Hardware Security-Module ins Spiel: Sie erzeugen hochwertige kryptographische Schlüssel und speichern sie so sicher, dass unautorisierte Personen keinen Zugriff darauf haben.

  • Schutz kritischer Infrastrukturen

    Das IT-Sicherheitsgesetz - das erste seiner Art in Deutschland - ist vom Kabinett verabschiedet worden und liegt nun im Bundestag zur Beratung. Es ist ein Anfang und eine Chance für Unternehmen, um sich vor Angriffen zu schützen. Die Notwendigkeit dieser Gesetzgebung ist offenkundig: Das zivile Leben in Deutschland darf nicht durch Cyberattacken beeinträchtigt werden. Besonders das Thema Wirtschaftspionage soll mit dem Gesetz adressiert werden, denn beinahe jede Woche werden neue Angriffe auf Unternehmens- und Organisationsstrukturen gemeldet. Offensichtlich ist es für Wirtschaftskriminelle, politische Akteure und Cyberterroristen immer noch viel zu einfach, in die Infrastrukturen einzudringen, zu sabotieren und Daten zu entwenden. Vollständig verhindern wird das IT-Sicherheitsgesetz diese Attacken nicht, es soll aber zumindest die gröbsten Sicherheitslücken beseitigen. Es soll unter anderem sicherstellen, dass es ein dokumentiertes Sicherheitsmanagement gibt und dass alle sicherheitskritischen Elemente in der IT-Infrastruktur im Unternehmen identifiziert und ganzheitlich überwacht werden.

  • Verschlüsselung - auch eine Frage der Compliance

    Global tätige Unternehmen aller Branchen sind neben nationalen Regeln auch an landesübergreifende Gesetze gebunden. Innerhalb der EU gehört dazu beispielsweise die European Union Data Protection Directive (EU DPD). Die Datenschutz-Richtlinie 95/46/EG regelt den Schutz der Privatsphäre natürlicher Personen im Zusammenhang mit der Verarbeitung von Daten. Da alle EU-Mitgliedsstaaten zur Umsetzung in nationales Recht verpflichtet waren, sind die Bestimmungen für alle in Europa tätigen Organisationen verbindlich. Darüber hinaus existiert eine Vielzahl unterschiedlicher Regulatorien für einzelne Branchen. So hat sich etwa in der Gesundheitsbranche mit dem Health Information Portability and Accountability Act (HIPAA) ein Standard etabliert.

  • IT-Compliance ist unverzichtbar

    Ob KMU oder Großkonzern: Heute besitzt jedes Unternehmen sensible Daten, die nicht in falsche Hände geraten sollten. Doch Datenklau geschieht nicht nur durch Angriffe von außen - auch intern gibt es eine Schwachstelle: den Umgang mit den Zugriffsrechten. Access Governance geht also alle an, denn gerade hier entstehen Sicherheitslücken. Oft genug wird im Arbeitsalltag "vergessen", eine gegebene Zugriffsberechtigung zurückzunehmen. Das ist zum Beispiel dann der Fall, wenn ein Kollege das Unternehmen verlässt oder ein Externer sein Projekt abgeschlossen hat. Diese vermeintliche "Kleinigkeit" kann im schlimmsten Fall fatale Folgen für das Unternehmen nach sich ziehen.