- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Lizenz-Compliance ernst nehmen


Wenn ein Software-Audit ansteht: Zehn praktische Tipps, um böse Überraschungen zu vermeiden
Nur mit "kontinuierlicher Compliance" können Unternehmen bösen Überraschungen in den unvermeidlichen Hersteller-Audits entgehen

(03.06.15) - Manch Unternehmen sorgt sich um die Steuerprüfung. Aber zunehmend laufen Microsoft, IBM, Adobe, Oracle, SAP und Konsorten dem Finanzamt den Rang ab. Laut einer aktuellen Studie wurde in den letzten 24 Monaten bei 63 Prozent der Unternehmen ein Audit durch einen Softwarehersteller durchgeführt, um die Compliance mit den Softwareverträgen zu überprüfen. Die daraus resultierenden Nachzahlungen – oftmals nicht eingeplant und budgetiert – schmerzen die Unternehmen sehr. 56 Prozent der befragten Unternehmen gaben an, dass sie solche Zahlungen an den Hersteller leisten mussten. 21 Prozenten berichteten sogar, dass sie mindestens eine Millionen US-Dollar bezahlen mussten.

Was können also die Verantwortlichen in den Unternehmen tun, um diesem Schicksal zu entgehen? Hier sind zehn essentielle Tipps von Flexera Software:

1. Effizient und pragmatisch vorgehen
Auch beim Softwarelizenzmanagement gilt die 80/20-Regel. Normalerweise lassen sich die Softwarehersteller, die unternehmenskritische – und damit auch teure – Software liefern, an einer Hand abzählen. Selbst innerhalb des gesamten Software-Portfolios eines Herstellers verlangt nur ein Teil der Produkte nach vorrangiger Aufmerksamkeit. Unternehmen sollten sich daher bei der Implementierung von Prozessen, Werkzeugen und Systemen für das Softwarelizenzmanagement zunächst auf die Anwendungen konzentrieren, die die meisten Softwareausgaben ausmachen. Die weniger wichtigen Anwendungen können später angegangen werden.

2. Lizenzmanagement muss in die üblichen Geschäftsprozesse integriert werden
Solange das Lizenzmanagement nicht Bestandteil der Standard-Geschäftsprozesse ist, wird es nicht umgesetzt. Lizenzmanagement betont den Unterschied zwischen wichtig und dringend. Es ist immer ersteres, aber selten letzteres – außer man ist nach einem Audit mit einer siebenstelligen Nachzahlung konfrontiert. Vernachlässigt man das Lizenzmanagement, wird es größtenteils ignoriert. Daher sollte das Lizenzmanagement in Freigabe-Prozeduren integriert werden, um die Wahrung der Lizenz-Compliance und die Kontrolle der Softwarekosten sicherzustellen.

3. Unternehmen sollten den Herstellern zeigen, dass sie die Lizenz-Compliance ernst nehmen
Ein Audit eines Softwareherstellers kann den Alltag einer IT-Abteilung immens stören. Falls Lizenzmanagement betrieben wird, sollte das den Herstellern mitgeteilt werden. So kann man demonstrieren, dass man das Thema ernst nimmt und Kontrolle über den eigenen Softwarebestand hat. Unternehmen, die Best-Practice-Prozesse für Software Asset Management (SAM) und Lizenzoptimierung implementieren und diese durch entsprechende Lösungen automatisieren, sind für Software-Audits gut aufgestellt – wenn es überhaupt so weit kommt.

4. Eine Strategie der "kontinuierlichen Compliance" verfolgen
Häufig interessieren sich Unternehmen nicht wirklich für ihren genauen Lizenzstatus – außer wenn ein Audit vor der Türe steht, und dann ist es meistens zu spät. Denn dann sind sicherlich bereits einige Positionen bekannt geworden, wo das Unternehmen gegen die Compliance verstößt. Gerade diese Fälle führen zu den nicht eingeplanten Nachzahlungsforderungen.

Best Practices schreiben vor, dass ein Unternehmen stets auf Audits vorbereitet sein sollte. Dies lässt sich mit einer Strategie für "fortlaufende Compliance" erreichen. Dafür werden Personen, Prozesse sowie Automatisierungen benötigt, die den Bestand an Softwarelizenzen, die Nutzungsdaten sowie die Vertragsbedingungen erfassen und diese Daten abgleichen, um einen kontinuierlich ordnungsgemäßen Lizenzstatus zu gewährleisten. Eine Lösung für die Softwarelizenzoptimierung kann diesen Compliance-Report beispielsweise über ein Management-Dashboard abgeben, das den Lizenzstatus und Risikobereiche fortlaufend anzeigt. Nur mit "kontinuierlicher Compliance" können Unternehmen bösen Überraschungen in den unvermeidlichen Hersteller-Audits entgehen.

5. Unterstützung durch die Geschäftsführung
Für ein effektives Lizenzmanagementprogramm müssen zahlreiche Abteilungen im Unternehmen zusammenarbeiten. Wenn die Geschäftsführung das Vorhaben nicht ausreichend unterstützt, droht die Gefahr, dass ein mangelhafter Prozess implementiert wird, da einige Bereiche unter Umständen nicht kooperieren.

6. Lizenzmanagement zentralisieren
Beim Lizenzmanagement sind viele Geschäftsprozesse und sehr viele Daten involviert. Daher müssen Vertragsverhandlungen (und das Vertragscontrolling) möglichst zentralisiert organisiert sein. Best-in-Class-Unternehmen unterscheiden sich von anderen durch ihre unternehmensweit konsolidierten und zentralisierten Lizenz-Aktivitäten.

7. Früh beginnen
Die Vorbereitungen auf Vertragsverhandlungen mit einem großen Softwarehersteller sollten nicht auf dem letzten Drücker beginnen. Um Verhandlungen erfolgreich abzuschließen, sollten Unternehmen drei Dinge beherzigen: vorbereitet sein, informiert sein und die gewünschten Ergebnisse deutlich kommunizieren. Es kann Monate dauern, bis ein bereichsübergreifendes Team aufgestellt ist, alle Informationen für eine faktenbasierte Diskussion gesammelt wurden und eine umfassende Strategie definiert ist.

8. Einsatz von Werkzeugen
Lizenzmanagement umfasst einige Komplexitäten, unter anderem Lizenzierung, IT-Umgebungen und strukturelle Gegebenheiten. Die zahlreichen Verträge, Hersteller, Anwendungen, Seiten und Lizenzinhaber produzieren eine Unmenge an Daten und Informationen. Nur mithilfe von Werkzeugen für das Software Asset Management und die Lizenzoptimierung lassen sich diese Daten sinnvoll verwenden, um Schlüsselprozesse zu automatisieren, die Komplexität handzuhaben und die Lizenz-Compliance zu wahren.

9. Fortschritte erfassen
Wie oben beschrieben, verliert das Lizenzmanagement häufig an Priorität im Unternehmen. Durch das penible Erfassen der Fortschritte basierend auf einem bestimmten Ausgangswert lässt sich nachweisen, wie mittels der Aktivitäten Kosten gesenkt, unnötige Anschaffungen vermieden sowie die Gefahren von Verstößen gegen die Lizenz-Compliance reduziert werden.

10. Erfolge kommunizieren
Die Kommunikation der Erfolge erhöht die Glaubwürdigkeit des SAM-Programms, motiviert andere und bündelt deren Bemühungen. Dies ist ein wichtiger Beitrag, um im Laufe der Zeit ein ausgereiftes Programm zu entwickeln. Die Lizenzmanagementprogramme mit dem höchsten Reifegrad bieten erfahrungsgemäß den größten Return on Investment.
(Flexera Software: ra)

Flexera Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Sensibilisierung und Selbstreflexion

    Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. "Je mehr Informationen zu einem Unternehmen, seinen Mitarbeitern und Prozessen recherchierbar sind, desto gefährdeter ist dieses Unternehmen", sagt Markus Schaffrin, Sicherheitsexperte und Geschäfsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V. Denn mit den Informationen lassen sich gezielte und individuelle Phishing-Mails erstellen oder Mitarbeiter in Social-Engineering-Attacken wie CEO-Fraud unter Druck setzen.

  • Compliance: Integraler Teil der Geschäftsstrategie

    Compliance-Verstöße können ernsthaftere Auswirkungen haben: Bisher machten vor allem Strafzahlungen in Rekordhöhe, wie die 870 Millionen im Fall des Daimler-Dieselskandals, Schlagzeilen. Erste Präzedenzfälle zeigen jedoch, dass auch Geschäftsführern kleinerer Unternehmen eine sofortige Kündigung drohen kann, wenn sie beispielsweise gegen Vorgaben im Bereich Kommissionsvergabe verstoßen, wie ein aktuelles Urteil des Oberlandesgerichts Hamm belegt. Bekannter sind die zahlreichen Fälle, in denen Sicherheitslücken dazu geführt haben, dass Kundendaten in die falschen Hände gerieten. Dies zeigt, dass das Einhalten von Compliance-Vorgaben nicht nur die Management-Ebene, sondern die gesamte Belegschaft betrifft, wenn es beispielsweise um Daten- und IT-Sicherheit geht. Compliance-Richtlinien betreffen aber auch viele weitere Bereiche, wie die Einhaltung von Branchenvorgaben, Transparenz gegenüber Produkteigenschaften, die Arbeitssicherheit, ethische Verhaltensgrundsätze, etc. Compliance-Unterweisungen sind also notwendig, um die haftungstechnischen und rechtlichen Risiken, die ein Unternehmen jeden Tag bewältigen muss, zu minimieren. Aber wie lassen sich diese Compliance-Schulungen in die Geschäftsstrategie des Unternehmens einbinden?

  • Beschwerden zu Analyse-Diensten auf Webseiten

    Vielen Nutzern im Internet ist nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut wird, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten können. Besonders bekannt sind Analyse-Dienste, die das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten ("Tracking"). Nicht jeder Webanbieter hat bei der Einbindung solcher Dienste das Datenschutzrecht im Blick. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht hier Nachholbedarf in der Gestaltung der Angebote: "Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten - das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben."

  • Drei häufige Fehleinschätzungen bei der DSGVO

    Da DGSVO-Verstöße mit hohen Geldbußen belegt werden, könnte man annehmen, dass verantwortliche Manager sich alle Mühe geben, die Einhaltung der Vorschriften zu gewährleisten. Jedoch ist dies nicht immer der Fall. Zwar haben die Unternehmen ihre Rechenschaftspflicht durch die Ernennung eines Datenschutzbeauftragten verbessert und einen Rechtsrahmen für den Datenschutz erstellt oder überarbeitet. Auch wurden Schutzmaßnahmen gegen Datenschutzverletzungen verbessert und Identitäten sowie Zugänge zu IT-Systemen werden konsequenter kontrolliert. Und dennoch zeigen Untersuchungen von Talend, dass im Rahmen der DSGVO noch immer Fehler gemacht werden: rund 70 Prozent der in Deutschland in einer Stichprobe befragten Unternehmen reagieren nicht auf Anfragen von Verbrauchern zu ihren personenbezogenen Daten innerhalb der vorgeschriebenen Frist von einem Monat.

  • Abfahren von Straßenzügen mit Kamera-Autos

    Apple lässt jetzt in Deutschland Autos mit auf dem Dach montierter Kamera fahren, mit denen Straßenansichten und Gebäudefronten aufgenommen werden. Apple gibt an, dass durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden soll. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion "Apple Look Around" ("Umsehen-Funktion") dargestellt und im Internet veröffentlicht werden. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält das Abfahren von Straßenzügen mit Kamera-Autos nicht nur für kritisch, wenn Menschen auf den Wegen erkennbar sind oder gar in private Häuser hineingefilmt wird: "Apple verspricht zwar, dass Gesichter und Autokennzeichen vor der Veröffentlichung unkenntlich gemacht werden und die dafür eingesetzte Software ziemlich zuverlässig arbeitet. Doch nicht jeder ist damit einverstanden, dass die Aufnahmen vom Privatgrundstück über Jahre abrufbar sind und etwa darauf zu erkennen ist, dass man seinen Vorgarten nicht perfekt gepflegt hat, dass teure Autos vor dem Haus parken oder wo Einbrecher leichtes Spiel haben könnten."