- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Lizenz-Compliance ernst nehmen


Wenn ein Software-Audit ansteht: Zehn praktische Tipps, um böse Überraschungen zu vermeiden
Nur mit "kontinuierlicher Compliance" können Unternehmen bösen Überraschungen in den unvermeidlichen Hersteller-Audits entgehen

(03.06.15) - Manch Unternehmen sorgt sich um die Steuerprüfung. Aber zunehmend laufen Microsoft, IBM, Adobe, Oracle, SAP und Konsorten dem Finanzamt den Rang ab. Laut einer aktuellen Studie wurde in den letzten 24 Monaten bei 63 Prozent der Unternehmen ein Audit durch einen Softwarehersteller durchgeführt, um die Compliance mit den Softwareverträgen zu überprüfen. Die daraus resultierenden Nachzahlungen – oftmals nicht eingeplant und budgetiert – schmerzen die Unternehmen sehr. 56 Prozent der befragten Unternehmen gaben an, dass sie solche Zahlungen an den Hersteller leisten mussten. 21 Prozenten berichteten sogar, dass sie mindestens eine Millionen US-Dollar bezahlen mussten.

Was können also die Verantwortlichen in den Unternehmen tun, um diesem Schicksal zu entgehen? Hier sind zehn essentielle Tipps von Flexera Software:

1. Effizient und pragmatisch vorgehen
Auch beim Softwarelizenzmanagement gilt die 80/20-Regel. Normalerweise lassen sich die Softwarehersteller, die unternehmenskritische – und damit auch teure – Software liefern, an einer Hand abzählen. Selbst innerhalb des gesamten Software-Portfolios eines Herstellers verlangt nur ein Teil der Produkte nach vorrangiger Aufmerksamkeit. Unternehmen sollten sich daher bei der Implementierung von Prozessen, Werkzeugen und Systemen für das Softwarelizenzmanagement zunächst auf die Anwendungen konzentrieren, die die meisten Softwareausgaben ausmachen. Die weniger wichtigen Anwendungen können später angegangen werden.

2. Lizenzmanagement muss in die üblichen Geschäftsprozesse integriert werden
Solange das Lizenzmanagement nicht Bestandteil der Standard-Geschäftsprozesse ist, wird es nicht umgesetzt. Lizenzmanagement betont den Unterschied zwischen wichtig und dringend. Es ist immer ersteres, aber selten letzteres – außer man ist nach einem Audit mit einer siebenstelligen Nachzahlung konfrontiert. Vernachlässigt man das Lizenzmanagement, wird es größtenteils ignoriert. Daher sollte das Lizenzmanagement in Freigabe-Prozeduren integriert werden, um die Wahrung der Lizenz-Compliance und die Kontrolle der Softwarekosten sicherzustellen.

3. Unternehmen sollten den Herstellern zeigen, dass sie die Lizenz-Compliance ernst nehmen
Ein Audit eines Softwareherstellers kann den Alltag einer IT-Abteilung immens stören. Falls Lizenzmanagement betrieben wird, sollte das den Herstellern mitgeteilt werden. So kann man demonstrieren, dass man das Thema ernst nimmt und Kontrolle über den eigenen Softwarebestand hat. Unternehmen, die Best-Practice-Prozesse für Software Asset Management (SAM) und Lizenzoptimierung implementieren und diese durch entsprechende Lösungen automatisieren, sind für Software-Audits gut aufgestellt – wenn es überhaupt so weit kommt.

4. Eine Strategie der "kontinuierlichen Compliance" verfolgen
Häufig interessieren sich Unternehmen nicht wirklich für ihren genauen Lizenzstatus – außer wenn ein Audit vor der Türe steht, und dann ist es meistens zu spät. Denn dann sind sicherlich bereits einige Positionen bekannt geworden, wo das Unternehmen gegen die Compliance verstößt. Gerade diese Fälle führen zu den nicht eingeplanten Nachzahlungsforderungen.

Best Practices schreiben vor, dass ein Unternehmen stets auf Audits vorbereitet sein sollte. Dies lässt sich mit einer Strategie für "fortlaufende Compliance" erreichen. Dafür werden Personen, Prozesse sowie Automatisierungen benötigt, die den Bestand an Softwarelizenzen, die Nutzungsdaten sowie die Vertragsbedingungen erfassen und diese Daten abgleichen, um einen kontinuierlich ordnungsgemäßen Lizenzstatus zu gewährleisten. Eine Lösung für die Softwarelizenzoptimierung kann diesen Compliance-Report beispielsweise über ein Management-Dashboard abgeben, das den Lizenzstatus und Risikobereiche fortlaufend anzeigt. Nur mit "kontinuierlicher Compliance" können Unternehmen bösen Überraschungen in den unvermeidlichen Hersteller-Audits entgehen.

5. Unterstützung durch die Geschäftsführung
Für ein effektives Lizenzmanagementprogramm müssen zahlreiche Abteilungen im Unternehmen zusammenarbeiten. Wenn die Geschäftsführung das Vorhaben nicht ausreichend unterstützt, droht die Gefahr, dass ein mangelhafter Prozess implementiert wird, da einige Bereiche unter Umständen nicht kooperieren.

6. Lizenzmanagement zentralisieren
Beim Lizenzmanagement sind viele Geschäftsprozesse und sehr viele Daten involviert. Daher müssen Vertragsverhandlungen (und das Vertragscontrolling) möglichst zentralisiert organisiert sein. Best-in-Class-Unternehmen unterscheiden sich von anderen durch ihre unternehmensweit konsolidierten und zentralisierten Lizenz-Aktivitäten.

7. Früh beginnen
Die Vorbereitungen auf Vertragsverhandlungen mit einem großen Softwarehersteller sollten nicht auf dem letzten Drücker beginnen. Um Verhandlungen erfolgreich abzuschließen, sollten Unternehmen drei Dinge beherzigen: vorbereitet sein, informiert sein und die gewünschten Ergebnisse deutlich kommunizieren. Es kann Monate dauern, bis ein bereichsübergreifendes Team aufgestellt ist, alle Informationen für eine faktenbasierte Diskussion gesammelt wurden und eine umfassende Strategie definiert ist.

8. Einsatz von Werkzeugen
Lizenzmanagement umfasst einige Komplexitäten, unter anderem Lizenzierung, IT-Umgebungen und strukturelle Gegebenheiten. Die zahlreichen Verträge, Hersteller, Anwendungen, Seiten und Lizenzinhaber produzieren eine Unmenge an Daten und Informationen. Nur mithilfe von Werkzeugen für das Software Asset Management und die Lizenzoptimierung lassen sich diese Daten sinnvoll verwenden, um Schlüsselprozesse zu automatisieren, die Komplexität handzuhaben und die Lizenz-Compliance zu wahren.

9. Fortschritte erfassen
Wie oben beschrieben, verliert das Lizenzmanagement häufig an Priorität im Unternehmen. Durch das penible Erfassen der Fortschritte basierend auf einem bestimmten Ausgangswert lässt sich nachweisen, wie mittels der Aktivitäten Kosten gesenkt, unnötige Anschaffungen vermieden sowie die Gefahren von Verstößen gegen die Lizenz-Compliance reduziert werden.

10. Erfolge kommunizieren
Die Kommunikation der Erfolge erhöht die Glaubwürdigkeit des SAM-Programms, motiviert andere und bündelt deren Bemühungen. Dies ist ein wichtiger Beitrag, um im Laufe der Zeit ein ausgereiftes Programm zu entwickeln. Die Lizenzmanagementprogramme mit dem höchsten Reifegrad bieten erfahrungsgemäß den größten Return on Investment.
(Flexera Software: ra)

Flexera Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Datenschutz-Zertifizierung nach ISO/IEC 27552

    Die DSGVO sieht vor, dass geeignete Zertifizierungen herangezogen werden können mit denen Auftragsverarbeiter die Sicherheit der Verarbeitung nachweisen können. Eine Zertifizierung macht es einem Auftraggeber damit einfacher den Auftrag zu erteilen. Auch hat ggf. eine Zertifizierung nach Art. 83 DSGVO Einfluss auf die Höhe eines möglichen Bußgeldes nach Zwischenfällen. Leider gibt bis heute aber noch keine Zertifizierung, die den Vorgaben des Gesetzes entspricht. Die ISO/IEC 27552 ist dafür aber ein aussichtsreicher Kandidat.

  • Datenschutz mit Zertifikat

    Zertifizierungen erleichtern das Geschäftsleben. Man weist gegenüber Geschäftspartnern nach, dass man einen hohen Standard einhält. Sollte trotzdem mal etwas schief gehen kann der Geschäftsführer belegen, dass er alles Erforderliche getan hat. Die EU-Datenschutzgrundverordnung sieht die Möglichkeit einer Zertifizierung ausdrücklich vor, aber wie und wo kann man ein solches Zertifikat erhalten?

  • "Stand der Technik": Nicht definiert im Gesetz

    Was ist das eigentlich: der "Stand der Technik"? Wer in Deutschland so genannte "Kritische Infrastrukturen" betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen. [1] Unter "Kritischen Infrastrukturen" versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt. [2] Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende "technische und organisatorische Maßnahmen" treffen zu können (BSI-Gesetz §8 a). Hierbei soll, so fordert es der Gesetzgeber, "der Stand der Technik" eingehalten werden. [3]

  • Beschwerden wegen unerlaubter Telefonwerbung

    Zu einem möglichen Gesetzgebungsvorschlag gegen Telefonwerbung und rein telefonischen Vertragsabschluss von Bundesjustizministerin Katarina Barley äußert sich Matthias Stauch, Vorstand der Intervista AG und Experte für digitalen Vertrieb: "Verbraucherinnen und Verbraucher sollen durch eine Bestätigungslösung im Zusammenhang mit telefonischen Angeboten und Verträgen besser abgesichert werden - in erster Linie geht es dabei um den rein telefonischen Abschluss. So müssen die Unternehmen vom Kunden für die Wirksamkeit zusätzlich eine schriftliche Bestätigung, zum Beispiel per E-Mail, einholen. Insbesondere der Energiemarkt gilt als große Baustelle: Hier gab es 2018 bis zum November knapp 20.000 bei der Bundesnetzagentur eingereichte Beschwerden wegen unerlaubter Telefonwerbung.

  • DSGVO/GDPR: Gold-Standard für Compliance?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?