Software-Audit – Keine Panik!

Lizenzmanagement ist keine exakte Wissenschaft. Im weitesten Sinne ist es eine juristische Disziplin, denn die Lizenzbedingungen werden von Juristen formuliert. [...]

Die Abbildung des Formulierten in der Technik ist nicht immer klar und eindeutig. Die Herausforderung besteht dementsprechend darin, das geschriebene Wort abzugleichen mit dem, was an Software im Unternehmen im Einsatz ist. Dieser Abgleich kann auf vielerlei Arten geschehen. Daher bleibt stets eine Unschärfe, die es zu bewerten gilt. Eine 100%ige Genauigkeit ist eine Illusion. Nie können alle technischen Daten wasserdicht abgebildet werden. Stets muss damit gerechnet werden, dass es am Ende zu Diskussionen kommt, schon allein aufgrund der Komplexität der Sachverhalte.

Lizenzmanagement ist kein Alleingang
In vielen Unternehmen versucht der Lizenzmanager, sich allein um die Thematik zu kümmern. Das funktioniert leider nicht. Lizenzmanagement ist eine Querschnittsfunktion, die ein Team benötigt. Die Organisation muss involviert sein; die richtigen Personen müssen identifiziert und ihnen die richtigen Rollen und Verantwortlichkeiten zugewiesen werden. Zudem müssen die Daten und Prozesse des Lizenzmanagements mit der Organisation im Unternehmen verknüpft werden. Insbesondere sämtliche Prozesse, die sich mit Veränderungen beschäftigen. Unternehmen sind ständig in Bewegung und diese Veränderungen sollten mit dem Lizenzmanagement synchronisiert werden. Das ist oft nicht der Fall. D. h. Lizenzmanager sind in solchen Fällen allein auf die Daten angewiesen. Das funktioniert ein Stück weit, nimmt aber zu einem großen Teil die Möglichkeit, proaktiv einzugreifen.

Spielregeln sind notwendig
Ähnlich wie bei einer Buchführung, für die jeder einzelne Beteiligte die Spielregeln kennen und danach agieren muss, gilt auch für das Lizenzmanagement: Die gesamte Organisation muss informiert, beraten und unterstützt werden. Ein Software-Asset-Manager muss die Spielregeln definieren, sie aktuell halten und kommunizieren. Beispiele: Es gilt zu definieren, wie der Prozess für die Anforderung von Software durch die Anwender laufen soll. Auch wie der Einkaufsprozess aussieht, muss geregelt werden. Genauso wie die Frage „Wie werden Lizenzen eingekauft, wer darf das?“ Dies gilt auch für den Umgang mit Stammdaten. Was passiert, wenn die Organisation umstrukturiert wird, wenn es Kostenstellenveränderungen gibt, wenn sich die Beteiligungsverhältnisse ändern? Das Software Asset Management sollte stets eingebunden sein. Und nicht zuletzt, wenn es Spielregeln gibt, ist es eine Überlegung wert, inwieweit die Verletzung der Spielregeln sanktioniert wird.

Prioritäten setzen
Unternehmen haben unzählige Softwareprodukte von unterschiedlichen Herstellern im Einsatz. Der Überblick geht schnell verloren. Eine Roadmap festzulegen ist daher hilfreich, ebenso wie die Klarstellung, welchen Themen man sich nicht widmen will. In der Regel erfolgt die Bearbeitung herstellerspezifisch oder produktspezifisch. Die Prioritäten sind in jedem Unternehmen andere: Vertragsverlängerungen stehen an, zu hohe Kosten bei einem Hersteller, etc. Kleine Schritte zu planen und abzuarbeiten ist besser, als das Vorgehen nach dem Wasserfall-Prinzip: Excel-Listen ungeprüft in ein neues System zu überführen ist riskant. Zu viele nicht validierte Daten in einem SAM-Tool anzuhäufen ist nicht empfehlenswert. Es ist auch sehr schwierig, alle Hersteller und alle Produkte durch aktives Lizenzmanagement abzubilden. Die Praxis zeigt, die Anzahl der Hersteller ist so groß, dass es auch langfristig weiße Flecken geben wird. Durch eine Corporate Governance bleibt der Überblick erhalten; finanzielle Risiken können besser eingeschätzt werden.

Herausforderung Datenqualität
Im Lizenzmanagement werden viele Daten aus unterschiedlichen Quellen zusammen gezogen, technische Daten, kaufmännische Daten, Stammdaten. Dazu kommt: Jede Datenquelle hat ihre Fehler. Wenn man diese zusammenführt, potenzieren sich die Fehler. Benötigt werden aber valide Daten. Daher ist es wichtig, falsche Daten direkt an der Quelle zu bekämpfen und die Verursacher in die Pflicht zu nehmen. Auch nach Veränderungen muss die Datenqualität noch stimmen. Und: Die Bestandsdaten am Beginn eines Projekts sind stets ein großes Problem. Sie stehen nicht umfassend und nicht spezifisch genug zur Verfügung.

Verträge kommen vor der Technik
Verträge definieren die Spielregeln der Bilanzierung der Lizenzen.  Daher kommt das richtige Verständnis über die geltenden Verträge vor der Aufarbeitung der Beschaffungshistorie. Erst wenn klar ist, wie und was gezählt wird, sollte man sich den technischen Daten widmen und diese mit den Verträgen in Einklang bringen. Obwohl Lizenzmanagement überwiegend aus Organisation besteht, sind Werkzeuge ein Muss, um dem großen Datenvolumens und der Dynamik im Unternehmen Herr zu werden. Allerdings: Die falschen Werkzeuge sind Zeitverschwendung. Ein SAM-Tool muss flexibel anpassbar und prozessunterstützend sein und eine umfassende Erfassung der Softwarewelten ermöglichen.

Weiße Flecken
Software findet auf Desktops, auf mobilen Geräten, in Rechenzentren, in der Cloud statt. SAM-Tools sollten daher diese ganze Vielfalt abdecken. Auch private und Geräte externer Lieferanten müssen mit einbezogen werden, wenn sie im Unternehmen genutzt werden. Und nicht zuletzt sollte jeder Lizenzmanager mit bislang unerkannter Software in den Fachbereichen rechnen.

Wenn der Audit-Brief kommt
Software-Audits sind zeitaufwendig und teuer. Sie sind mittlerweile zu einem Geschäftsmodell der Anbieter geworden. Rein rechtlich basieren sie auf dem Urheberrecht. Hersteller haben einen gesetzlichen Auskunftsanspruch, aber keinen Besichtigungsanspruch. Das setzt voraus, dass der Rechtsinhaber die Rechtsverletzung durch das Unternehmen glaubhaft machen muss. Zudem muss die Rechtsverletzung durch das Unternehmen in gewerblichem Ausmaß erfolgen. Das Auskunftsverlangen des Herstellers muss verhältnismäßig sein.

Ein verdachtsunabhängiges Audit lässt sich auf gesetzlicher Grundlage in der Regel nicht herleiten. Allerdings kann es sein, dass der Hersteller ein in den Lizenzbedingungen festgeschriebenes Audit-Recht ausübt. Die Audit-Klauseln in den Lizenzverträgen unterliegen jedoch der ABG-Kontrolle. Eine Audit-Klausel darf den Lizenznehmer nicht unangemessen benachteiligen und sie muss klar und verständlich sein. Damit eine Audit-Klausel gilt, muss sie folgenden Kriterien entsprechen:

  • Angemessene Ankündigungsfrist (5 Tage etwa sind zu wenig, 30 bis 40 Tage sind ausreichend)
  • Konkretisierung der Prüfinhalte und des Prüfumfangs – sie müssen erkennen können, was auf sie zukommt
  • Dauer und Anzahl der Audits
  • Beschränkung auf übliche Geschäftszeiten
  • Wahrung der Geschäftsgeheimnisse
  • Einhaltung datenschutzrechtlicher Vorgaben
  • Qualifikation und Verschwiegenheit der Auditoren
  • Regelung der rechtlichen Folgen einer Über- und Unterlizenzierung

Die Erfahrung zeigt, dass praktisch keine Audit-Klausel ausreichend klar formuliert ist und einer AGB-Prüfung standhält. Ist eine AGB-Klausel zum Teil unwirksam, dann wird sie im Ganzen unwirksam. Zu beachten ist dabei aber der sog. Blue-Pencil-Test. Wird der unwirksame Teil weggestrichen, dann ist zu prüfen, ob der verbleibende Rest der Klausel einen eigenen Sinn ergibt. Wenn dem so ist, dann könnte es sein, dass die Klausel fortbesteht.

Reaktionen auf eine Audit-Aufforderung
Sind Unternehmen mit einem Audit konfrontiert, gibt es zwei grundlegende Einstellungen:

  • Volle Abschottung, um das Audit nach Möglichkeit zu verhindern.
  • Volle Kooperation

Besser ist eine Strategie im Sinne von DEFCON 5-1, also eine sanftere Variante des Widerstands. Allerdings ist Vorsicht geboten, wenn eine „kontrollierte Konflikt-Eskalation“ angestrebt wird. Verweigerung kann in massiven Streit ausarten, was nicht förderlich ist.

Software-Audit Strategien:

  • Bei Erhalt des Auditschreibens vollständig ablehnen
  • Erst ablehnen, um dann individuellen Ablauf zu verhandeln
  • Bei Kauf individuelle Audit-Klausel vereinbaren
  • Bei Kauf Audit-Klausel streichen
  • Stets freiwilliges True-Up durchlaufen
  • Verschiedenste Kombinationen davon

Es besteht zudem die Möglichkeit, eigene Audit-Klauseln zu verhandeln bzw. einen individuellen Audit-Ablauf zu vereinbaren, etwa nach dem Grundsatz: Vorrang der Selbstauskunft. Klar ist, nicht alles ist durchsetzbar, aber es geht um die Verhandlungsmasse und um die Ziele der Verhandlung.

Externe Auditoren
Wird das Audit von Dritten durchgeführt, sind diese üblicherweise bevollmächtigt vom Lizenzgeber. Für das auditierte Unternehmen ist es wichtig, Einsicht in den Auftrag zu erhalten, um sicher zu gehen, dass dieser Dritte kein erfolgsabhängiges Honorar erhält. Zu beachten ist auch, dass diese Dritten keinen Vertrag mit dem Unternehmen haben. Ein solcher wäre aber empfehlenswert, um z. B. in Sachen Datenschutz Sicherheit zu schaffen.

Software-Audits bleiben riskant. Sie werden tendenziell zunehmen, auch durch die Cloud. Unternehmen sollten mutig an das Thema herangehen, sich mit anderen austauschen und von den Erfahrungen anderer profitieren.

*Markus Oberg ist Chairman Lighthouse Alliance, Torsten Boch ist Senior Product Manager bei Matrix42.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*