Software Asset Management im Mittelstand

Gefahr durch Lizenz-Audits

Den Überblick über den tatsächlichen Einsatz lizenzpflichtiger Software zu erhalten, ist schwierig. Im Interview erklärt Roland Lötzerich, Geschäftsführer der Schmidt’s Login GmbH, was sich hinter der Gefahr durch Audits verbirgt und wie Software Asset Management (SAM) konkret aussehen kann.

Roland Lötzerich, Schmidt’s Login GmbH

„Es genügt nicht, am Tag X des Audits die Hälfte der PCs ausgeschaltet zu lassen, um dann bei einem Netzwerkscan zeigen zu können, dass kaum Lizenzen verbraucht werden", so Roland Lötzerich, Geschäftsführer der Schmidt’s Login GmbH.

ITM: Regelmäßig sehen sich Unternehmen mit Lizenz-Audits konfrontiert. Warum überhaupt?
Roland Lötzerich:
Lizenzprüfungen sind fester Bestandteil des unternehmerischen Kalküls der Software-Hersteller. Schließlich sollen die Kunden für die Software bezahlen, die sie nutzen. Die Hersteller verfolgen handfeste vertriebliche Interessen und generieren einen erheblichen Teil ihres Umsatzes mit den Audits. Die BSA-Statistik vom Mai 2016 zeigt, dass immer noch mehr als 20 Prozent der Software in Deutschland unlizenziert genutzt wird. Weltweit waren es 2015 fast 40 Prozent. Das stellt einerseits ein erhebliches Sicherheitsrisiko dar, andererseits entgehen den Software-Herstellern so auch enorme Einnahmen. Das Recht ein Audit durchzuführen – auch unangekündigt – ist in der Regel in den Software-Lizenzbedingungen festgeschrieben.

ITM: Mit welchen Herausforderungen muss aktuell umgegangen werden, um die Lizenzbedingungen zu erfüllen?
Lötzerich:
Gerade durch die zunehmende Beliebtheit, Infrastrukturen zu virtualisieren und Terminal-Server einzusetzen, sind auch die Lizenzgeber kreativ geworden. Am Anfang war es klar: Ein Betriebssystem war an die Hardware gebunden, zur Virtualisierung brauchte ich eine Lizenz. Inzwischen wird differenziert, wie viele virtuelle Server mit welcher Betriebssystem-Version über die physischen Server laufen, von denen man genau wissen muss, mit wie vielen Cores welche Prozessoren laufen. Das sieht bei Windows Server 2012 R2 ganz anders aus als mit Windows Server 2016.

Dazu kommen Fragen wie: Wie ist es um die hardware-gebundene OEM-Lizenz bestellt? Reicht eine Volume-Lizenz oder muss man zusätzlich im PC-Handel zusätzliche Full Packaged Products kaufen? Was ist mit dem Recht zur Mehrfachnutzung? Und ist ein Fail-Over-Cluster komplett mit abgedeckt? Die Komplexität, dies alles über die korrekte Metrik-Konfiguration im Lizenzmanagement rechtlich einwandfrei abzubilden, ist enorm gestiegen. Den Unternehmen ist häufig überhaupt nicht klar, wer wie viele Lizenzen tatsächlich verbraucht. Im Zuge unserer Arbeit äußerten Unternehmensverantwortliche häufiger, es gar nicht so genau wissen wollen, weil sie sich vor dem Aufdecken von Unterlizensierung fürchten.

ITM: Diese Unterlizensierung wird dann erst beim Audit aufgedeckt?
Lötzerich:
Leider ja, und das kann dann zu empfindlichen Strafzahlungen und erzwungenen Lizenznachkäufen führen. Deshalb raten wir den Anwendern stets, nicht auf die Ankündigung eines Audits zu warten, sondern im Vorhinein selbst tätig zu werden. Es ist enorm wichtig, Verantwortlichkeiten und Pflichten zu delegieren, damit Lizenz-Vorschriften und -Richtlinien großer Hersteller wie Microsoft, IBM, SAP, Oracle eingehalten werden. Gerade im Mittelstand scheut man die vermeintliche Bürokratie und Mehrkosten, wenn es um die Lizenz-Compliance geht. Um „compliant“ zu werden und zu bleiben, ist aber gar kein großer Aufwand erforderlich. Insbesondere dann nicht, wenn man die richtigen Tools einsetzt, um geforderte Compliance-Anforderungen zu gewährleisten.

Hinzu kommt: Liefert ein Tool, das der Auditor für seine Prüfung eventuell mitbringt, auch wirklich neutrale Daten? Oder sollte man dem doch eine gesunde Portion Misstrauen entgegenbringen, gerade weil es das Tool des Auditors ist, der schließlich im Herstellerauftrag arbeitet. Sollte man die damit gewonnenen Daten nicht besser mit den eigenen vergleichen?

ITM: Was kann ein Unternehmen tun, das feststellt, dass es den Überblick über die Lizenznutzung verloren hat und nun handeln möchte?
Lötzerich:
Dafür muss man zunächst einmal wissen, was die Lizenzgeber von ihren Kunden erwarten. Es genügt nicht, am Tag X die Hälfte der PCs ausgeschaltet zu lassen um dann bei dem Netzwerkscan, der während des Audits durchgeführt wird, zeigen zu können, dass ja kaum Lizenzen verbraucht werden. Die Prüfer wissen auch, dass es sich bei einem solchen einmaligen Scan-Durchlauf nur um eine Stichprobe handelt und verlangen daher etwas anderes: Im Unternehmen muss ein Prozess implementiert sein, der regelmäßig analysiert, wie viele Lizenzen verbraucht werden und der offen darlegt, welche Maßnahmen getroffen werden, um aufgedeckte Über- oder Unterlizensierung zu kompensieren. Zudem muss dokumentiert sein, ob die getroffenen Maßnahmen erfolgreich waren.

ITM: Wer ist in der Regel dafür verantwortlich?
Lötzerich:
Das hängt natürlich von der jeweiligen Unternehmensstruktur ab. Aber zunächst einmal ist dies der Geschäftsführer selbst. In größeren Firmen mit eigenem Compliance-Manager fällt die Überwachung und Dokumentation und der Maßnahmen in dessen Aufgabenbereich. Doch auch wenn diese Aufgabe vollständig delegiert wurde, hat die Führungsebene anschließend immer noch eine Aufsichtspflicht und sollte diese schon im eigenen Interesse regelmäßig wahrnehmen und nach dem Vier-Augen-Prinzip dokumentieren. Kann ein Unternehmen diese lückenlos dokumentierten Analysen und Maßnahmen nachweisen, ist das Audit häufig bereits vor der Mittagspause erfolgreich beendet.

ITM: Das klingt nach sehr viel Arbeit. Wie können denn diese ganzen Daten gewonnen und dokumentiert werden?
Lötzerich:
Mithilfe der entsprechenden Software-Asset-Management-Software (SAM) ist Lizenzmanagement kein Problem. Dazu muss es zunächst möglich sein, gekaufte Lizenzen in der Software zu hinterlegen und dann die Nutzung dieser Lizenzen zu ermitteln.

Daraus lässt sich dann ableiten, ob genügend Lizenzen für die jeweilige Software vorhanden sind. Häufig stellt sich bei diesem Schritt auch heraus, dass viele ungenutzte Lizenzen im Unternehmen vorhanden sind, was natürlich Einsparpotential bietet. Das SAM-Tool sollte nicht nur erkennen, wo ein Software-Produkt vorhanden ist, sondern auch, ob es tatsächlich an diesem Rechner genutzt wird, sogenanntes Usage-Metering. Viele Administratoren kennen das: Fast jeder Mitarbeiter besteht darauf, Photoshop zur Verfügung zu haben, aber die tatsächliche Nutzung ist wesentlich geringer. Bei der Erfassung der statistischen Nutzungsdaten muss ein solches Tool jedoch geltende Datenschutzrichtlinien berücksichtigen.

Wie erwähnt, ist es immer häufiger nötig, auch virtuelle Maschinen in die Betrachtung mit einzubeziehen. Das SAM-Tool muss hierfür diverse Metriken der Lizenzzählung unterstützen, da gängige Hersteller wie Microsoft, Adobe und Symantec pro Core-, pro CPU-, pro User- oder pro Device-Zählung verlangen. Viele SAM-Tool-Hersteller scheitern aufgrund der komplexen Metrik-Bedingungen technisch an der Umsetzung, das Lizenzmanagement auch für virtuelle Umgebungen anzupassen.
Unsere Software Loginventory bietet diese Möglichkeiten und schließt zudem Daten von Laptops, die sich selten oder nie im LAN befinden, sowie Rechner in der DMZ ein.

ITM: Welche Herausforderungen entstehen in der Praxis im Zusammenhang mit Virtualisierung?
Lötzerich:
Recht häufig kommt folgendes vor: Auf zwei oder drei VMware ESX Servern laufen diverse Windows Server als virtuelle Maschinen. Um diese verwalten zu können, muss nicht den VMs, sondern der jeweiligen Host-Hardware eine Windows-Server-Lizenz (z.B. Standard Edition oder Datacenter Edition) fest zugewiesen werden – auch wenn VMware ESX darauf läuft. Das in der Lizenz enthaltene Virtualisierungsrecht (1, 2, 4 oder unbegrenzte Anzahl Windows VMs) vererbt sich dann auf die VMs, die aktuell auf dem Host laufen. Wird eine VM auf einen anderen Host verschoben, verliert sie ihre bisher vererbten Lizenzen und benötigt welche vom neuen Host. Um dies abzubilden, müssen diese Host-VM Beziehungen natürlich stets automatisch und zuverlässig ermittelt werden.

ITM: Würde sich für diese Aufgaben nicht auch Outsourcing anbieten?
Lötzerich:
Viele Unternehmen, die in den letzten Jahren IT-Aufgaben outgesourct haben, mussten feststellen, dass ihnen das außer Kosten nichts gebracht hat. SAM-Tools kosten meist einen Bruchteil und leisten durch ihre Netzwerkscans zusätzliche administrative Aufgaben, etwa die Überwachung von Patch-Rollouts. Mit einem wohldefinierten Prozess und der richtigen Software-Unterstützung kann das Software Asset Management ohne viel Aufwand im Unternehmen etabliert werden, spart gegenüber dem Outsourcing erhebliche Kosten ein und bietet durch die Überwachung des Netzwerks beispielsweise auch noch Schutz vor unautorisiertem Zugriff.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok