Risiken bei indirekter Nutzung von Software vermeiden

Es gibt nur wenig, was CIOs mehr Kopfzerbrechen bereitet als das Thema Softwarelizenzierung und anstehende Audits großer Softwarehäuser. Die Angst vor Compliance-Verstößen und hohen Nachzahlungen ist nicht ganz unbegründet, wie der Fall Diageo vs. SAP in Großbritannien zeigt. [...]

Softwarelizenzverträge sind komplex. Anders als bei physischen Assets wie Computer, Bürostuhl oder Kaffeemaschine sind Softwareanwendungen nicht immer einfach zu inventarisieren und ihre Nutzung oft nur schwierig nachzuverfolgen. Der Trend zu mobilen Geräten und die immer stärkere Verlagerung in die Cloud schafft zusätzliche Komplexität. Wer nach Fusionen, Akquisitionen oder Neueinstellungen daher die Frage stellt, wer welche Softwareprodukte eigentlich noch aktiv nutzt, erhält nicht immer eine befriedigende Antwort.
Auch die Softwareanbieter machen es den CIOs mit ihren vielschichtigen Lizenzierungsmodellen nicht leicht, den richtigen Lizenztyp zu finden und die Lizenzrichtlinien bis ins Detail zu befolgen. Die Vertragsbedingungen und Nutzungsrechte sind komplex. In manchen Fällen befinden sich Nutzer in einer rechtlichen Grauzone oder sind sich des Risikos nicht bewusst und verstoßen so – oft unbeabsichtigt – gegen Lizenzbestimmungen. Wer welche Software wie und wo nutzen darf, wird dabei auf Basis unterschiedlicher Lizenzparameter festgelegt. Dazu zählen etwa die Zahl der Geräte, der Prozessoren in einem Server oder auch die Anzahl der sogenannten „Named-User“.
Nutzungsrichtlinien – direkt, indirekt oder beides
Named-User-Lizenzen werden an eine begrenzte Anzahl von Nutzern namentlich vergeben. Die so lizenzierte Software kann dadurch von der eingetragenen Person vollumfänglich genutzt werden – egal ob diese beispielsweise von seinem Desktop-PC, seinem Smartphone oder Tablet darauf zugreift. In vielen Fällen entfällt zudem die Mindestabnahme von Lizenzen während die Nutzung der Software zudem kann die Einhaltung der Richtlinien besser rückverfolgt werden.
Prinzipiell verrät das Named-User Konzept sehr schnell, wenn eine Anwendung über die vereinbarten Vertragsbedingungen hinaus genutzt wird. In der Praxis herrscht jedoch nach wie vor oft Unsicherheit – vor allem wenn es um die indirekte Nutzung von Software geht. Sie führt immer wieder zu Differenzen zwischen Kunden und großen Softwarehäusern. Die Unternehmen sehen im Zugriff über Drittanbieter oft keine vertragserhebliche Nutzung oder eine Nutzung durch Drittsysteme, die nicht ausdrücklich im Lizenzvertrag ausgeschlossen ist.
Die Anbieter argumentieren anders: Zwar können Named User mit direktem Zugang auch über indirekte Anwendungen auf die Daten zugreifen. Alle weiteren Nutzer jedoch, die indirekt bzw. über Anwendungen von Drittanbietern Zugang erhalten, müssen dementsprechend zusätzlich lizenziert werden. Wenn die namentlich registrierten Nutzer mehrere indirekte Anwendungskonten besitzen, ist jedoch wiederum nur eine einzige Named-User-Lizenz für den Zugriff auf alle Systeme nötig.
Schnell wird klar: Für direkte und indirekte Nutzungsmodelle gibt es vielschichtige und komplexe Compliance-Vorgaben, die im Einzelfall Fragen aufwerfen, die nicht klar zu beantworten sind.
Einmal Nachzahlen bitte – unklare Lizenzmodelle bergen gefahren
Eine vorläufige Antwort erhielt Anfang dieses Jahres der britische Getränkehersteller Diageo. Das Unternehmen, das unter anderem Marken wie Guinness, Johnnie Walker und Smirnoff vertreibt, lizenziert seit 2004 mySAP Business Suite anhand einer bestimmten Anzahl von Named-Usern. 2011 bot Diageo schließlich seinen Kunden zwei Dienste von Salesforce.com an, die über die Schnittstelle SAP Process Integration (SAP PI) auf die mySAP-Implementierung des Getränkeherstellers zugreifen konnten. Diese Schnittstelle wurde lizenziert.
SAP jedoch argumentierte, dass für den Zugriff zusätzliche Lizenzen und Wartungsgebühren anfallen. Die geforderten Nachzahlungen der über 5.800 indirekten Nutzer beliefen sich auf insgesamt 54 Millionen Dollar – eine Summe, die nahezu der Gesamtsumme aller vorherigen Softwareprodukte und Services von SAP entspricht.
Dabei ging es um eine grundsätzliche Frage: Hatten mit der Zahlung der Lizenzgebühr für SAP PI die Vertriebsmitarbeiter und Kunden von Diageo das Recht, über Salesforce-Anwendungen auf SAP-Daten zuzugreifen? Oder benötigten sie dafür eine eigene Named-User-Lizenz von SAP?
Das Gericht bestätigte mit seinem Urteil letztendlich das indirekte Lizenzmodell von SAP und verurteile Diageo zur Nachzahlung. Der Grund: Laut Lizenzvertrag gilt als Abrechnungsgrundlage die Zahl der sogenannter „Named User“. Nur diese dürften direkt oder indirekt auf die SAP-Anwendungen zugreifen. Weitere User, die über Drittanwendungen wie Salesforce zugreifen, fallen jedoch nicht in diese Kategorie und benötigen eine eigene Lizenz.
Welche Folgen das Urteil für andere Anwender hat, bleibt abzuwarten. Es gilt zu prüfen, inwieweit die international einheitlichen Lizenzbedingungen von SAP auch auf lokales Recht zutreffen, auf welchem Weg die indirekte Nutzung erfolgt (zum Beispiel Schnittstelle, SAP-Code) und in welchem Umfang der Zugang genutzt wird. SAP hat auf der diesjährigen Kunden- und Partnerkonferenz SAPphire Now in Florida bereits angekündigt, neue Lizenz-Optionen für indirekte Nutzung zur Verfügung zu stellen. Die Preisgestaltung ist jedoch noch unausgereift und es bleiben essentielle Fragen offen.
Dieses Beispiel verdeutlicht wie vielschichtig und komplex eine Softwarelizenzierung sein kann. Wird sie zudem falsch interpretiert, können hohe Kosten für das Unternehmen entstehen.
Fazit
Grundsätzlich empfiehlt es sich für Unternehmen, genau zu prüfen, ob eine indirekte Nutzung von Software durch nicht-lizensierte Mitarbeiter vorliegt. Dazu gehört eine automatische Optimierung von Named-User-Lizenzen und Business-Paketen in Vorbereitung für etwaige Reports sowie die Definition von Transaktionsprofilen. Letztere kann als Grundlage dienen, um diese Nutzer zum Beispiel in einen anderen Lizenztyp umzuwandeln.
Darüber hinaus sollten beim Einsatz von Drittanwendungen alle indirekten Zugänge offengelegt werden können. Dabei lohnt sich ein ganz genauer Blick in die Rahmenbedingungen, die bei der Einbindung von Produkten Dritter gelten. Sind solche Prozesse erst einmal implementiert, lassen sich Nutzungsdaten genauer und zuverlässiger erfassen. Das verringert nicht nur Unsicherheiten und Risiken bei Fragen der Compliance, sondern erleichtert auch die Planung und Budgetierung. 
* In seiner Funktion als Regional Vice President DACH bei Flexera verantwortet Anton Hofmeier den Bereich Softwarelizenzoptimierung für Deutschland, Österreich und die Schweiz.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*