Software-Audits

Zusätzliches Geschäftsmodell für Software-Industrie?

Software-Audits sind bei den Lizenznehmern nicht besonders populär, sind sie doch zeitaufwendig und enden im besten Falle mit der Absolution durch den Software-Anbieter. Da insgesamt die Anzahl der Audits zunimmt, liegt die Vermutung nahe, dass diese Absolution in vielen Fällen ausbleibt und sich die Prüfungen für die Anbieter rechnen. Und zwar in einem Maße, dass einige Marktbeobachter ein gut laufendes, zusätzliches Geschäftsmodell dahinter vermuten.

  • Georg Herrnleben von der Business Software Alliance

    Georg Herrnleben von der Business Software Alliance empfiehlt Software Asset Management.

  • Peter Rattey vom IT-Beratungshaus Voquz

    Peter Rattey vom IT-Beratungshaus Voquz glaubt, die Software-Industrie könne die Lizenzregularien sehr wohl vereinfachen.

Wenn die Anzahl der Audits zunimmt, heißt dies für die Anwenderunternehmen mehr denn je, jederzeit auf eine Prüfung vorbereitet zu sein. Am besten gelinge dies mit der Implementierung eines Software-Asset-Managements (SAM), das nicht nur die Korrektheit des aktuellen Lizenzbestands, sondern dank zentraler Verwaltung auch die schnelle Kontrolle der Lizenzen gewährleiste. So jedenfalls der knappe Rat des Vertreters der Interessensvereinigung der Software-Industrie, Georg Herrnleben. Doch ist es wirklich so einfach, wie es die „Business Software Alliance“ darstellt?

Zweifel sind angebracht. Dass laut einer Studie von Flexera Software („Key Trends in Software Pricing & Licensing“) 75 Prozent der befragten Unternehmen angaben, gegen Compliance-Richtlinien ihrer Software-Verträge verstoßen zu haben, zeigt zunächst, dass in puncto Lizenzmanagement wohl noch erheblicher Nachholbedarf besteht. Doch es wäre wohl ein Trugschluss, anzunehmen, dass mit einer Lizenzmanagement-Lösung alles wie von selbst von der Hand ginge. Denn um zu eruieren, ob man die erworbenen Programme entsprechend der meist hochkomplexen und komplizierten Herstellerbestimmungen in korrektem Umfang einsetzt, müssen zuerst sämtliche Lizenzen, Lizenzmodelle und -metriken akkurat erfasst sein. Und damit beginnt das Problem, schließlich werden die wenigsten Mittelständler willens sein, einen Mitarbeiter dafür abzustellen, sich mit den ständig verändernden Regelungen der Hersteller zu befassen.

Unwissenheit schützt vor Strafe nicht

Im Grunde müssten sie jedoch genau dies tun. Sie müssten sich schulen lassen. Alleine schon deshalb, um die Lizenzmanagement-Software richtig parametrisieren und befüllen zu können. Den Durchblick durch die verschiedenen Lizenzmodelle haben sie damit aber noch lange nicht. Heißt: Sie sollen Geld ausgeben für eine Lizenzmanagement-Software, die, ähnlich wie Sicherheits-Software, vordergründig nichts zur Umsatzsteigerung beiträgt. Zusätzlich sollen sie für externe Beratung und Schulungen bezahlen, die die Mitarbeiter von ihren eigentlichen Tätigkeiten fernhält.

Dass Verweigerung und Ignorieren allerdings keine guten Ansätze sind, zeigen die Fälle, in denen Unternehmen bis zu 1,2 Mio. Euro an Ausgleichszahlungen entrichten mussten. Sich also darauf zu verlassen, es werde schon irgendwie gutgehen, kann folglich richtig teuer werden. Auch das Motto „Was ich nicht weiß, macht mich nicht heiß“ zieht nicht, denn Unwissenheit schützt bekanntlich vor Strafe nicht.

Es soll nicht unterschlagen werden, dass sich manche Anwender entweder schlitzohrig auf eben jene Unwissenheit verlassen oder auch absichtlich versuchen, Lizenzkosten zu unterschlagen. Doch zu alledem tragen die Anbieter in nicht unerheblichem Maße bei, weil relativ unstrittig ist, dass die Lizenzbedingungen häufig extrem kompliziert sind. Stellt sich die Frage, ob nicht exakt diese Kompliziertheit gewollt ist, um in den Audits feststellen zu können, dass nicht richtlinienkonform lizenziert wurde. Was ebenso schlitzohrig wäre.

Fakt bei alledem ist, dass die Software-Anbieter am längeren Hebel sitzen. Sie diktieren die Nutzungsformen, was in erster Linie ihr gutes Recht ist, um sich ihr geistiges Eigentum schützen und bezahlen zu lassen. Andererseits sei der Hinweis auf fehlende Transparenz und mangelnde Kundenfreundlichkeit erlaubt – bei aller zunehmenden Komplexität und den damit einhergehenden Anpassungen der Lizenzregularien an technische Errungenschaften wie virtualisierte Server-Infrastrukturen und Multi-Core-Prozessoren.

Neue Umsatzfelder gesucht

Man kann sich des Eindrucks nicht erwehren, dass diese Argumente immer dann angeführt werden, wenn es um Gründe geht, warum eine Simplifizierung der Lizenzbestimmungen eben nicht möglich ist.

Dazu vertritt man im Arbeitskreis Lizenzierung der Deutschen Oracle-Anwendergruppe (DOAG) eine recht unmissverständliche Meinung. Dort sieht man die Audits der Hersteller als mittlerweile gut laufendes Geschäftsmodell. Grund sei die Sättigung des Marktes, infolge der neue Umsatzfelder gefunden werden müssten. Schätzungen gehen davon aus, dass Audits inzwischen bei 20 bis 30 Prozent des Neulizenzumsatzes liegen.

Zudem sei das Cloud-Geschäft deutlich weniger margenträchtig als das On-Premise-Lizenzgeschäft. Auch hier brauchen die Hersteller laut DOAG einen Ausgleich und führen neue (alte) Diskussionen, wie die indirekte Nutzung bei SAP. Die sei jahrelang kein Thema gewesen und werde nun wieder intensiv diskutiert. Als weiteres Beispiel führt der Arbeitskreis den Einsatz von VMware auf Oracle-Datenbanken an: Hier würden die Kunden bewusst im Ungewissen gelassen. Es gebe keine Lösungsvorschläge, wie der technische Fortschritt mit den „alten“ Lizenzmodellen in Einklang gebracht werden könne. Gerade hierbei zeige sich, dass eigentlich einfache Lizenzmodelle durch den technischen Fortschritt kompliziert würden.

Die Lizenzmetrik von Oracle war bei ihrer Einführung im Juni 2001 sehr simpel. Kompliziert wurde es dann im Laufe der Zeit durch Partitionierung, Multi-Core-Prozessoren, Virtualisierung, Hosting und Cloud. Auf diese technischen Entwicklungen mussten die Hersteller mit Spezialregeln reagieren, die dann in Summe das Lizenzregelwerk umfangreich und komplex werden ließen. Aber auch die Software-Nutzer schließt die Interessenvereinigung der Anwender in die Kritik mit ein, wenn nämlich die Kunden einerseits die häufige Änderung der grundlegenden Lizenzmetriken monierten, selbst aber gerne und manchmal ohne Berücksichtigung der Lizenzimplikationen neue Technologien einführten.

Alleinstellungsmerkmal der Softwarebranche?

Der Vorwurf, die Anwender bewusst im Unklaren zu lassen und Profit aus der Kompliziertheit der Vertragswerke zu schlagen, steht aber dennoch im Raum. Grund genug, einmal zu ergründen, ob ähnliche Prüfszenarien auch in anderen Branchen und Bereichen existieren. Bei der BSA zieht man den Vergleich mit der Versicherungs- und Bankenbranche, die sich durch umfangreiche Regelwerke und Bedingungen hinsichtlich der Nutzung von Waren- und Dienstleistungen auszeichne. Nur wird dabei außer Acht gelassen, dass es im Finanzumfeld um die Prüfung der Anbieter dieser Dienstleistungen geht, beispielsweise hinsichtlich der korrekten Beratung in Anlagefragen. Natürlich prüft ein Finanz­unternehmen im Vorfeld selbst eher sorgfältig, zu welchen Konditionen es Kredite vergibt. Dann aber nicht mehr, solange die Rückzahlung ordnungsgemäß läuft.

„Ich kenne solche Audits eigentlich nur als Lieferant. Unsere großen Kunden schicken uns Auditoren, die überprüfen, dass ihre Rechte beim Umgang mit sensiblen Daten in unseren Rechenzentren und Büros gewahrt bleiben und wir ISO-Normen, Datenschutz etc. beachten“, konstatiert Bastian Brand, Prokurist bei der Fair Computer Systems GmbH aus Nürnberg. Eine andere Art von Audits seien wohl die Prüfungen der Finanzverwaltung und der Sozialkassen, die seinem Unternehmen ebenfalls regelmäßig Besuche abstatteten, um zu überprüfen, dass weder der Staat noch die Mitarbeiter durch falsches Vorgehen bei Steuerabzug oder Sozialabgaben benachteiligt würden.

Tatsächlich wird jedoch auch in anderen Bereichen kontrolliert, nur geht es in der Nahrungsmittel-, Pharma- und Chemieindustrie um Umwelt- und Verbraucherschutz, bei Banken und Energieunternehmen sowie im Automotive- und Luftfahrtsegment um den Schutz und die Sicherheit der Verbraucher. Das Thema Fiskus mit Steuern und Finanzen führt auch Olaf Diehl, Geschäftsführer beim Lizenzmanagement-Anbieter Aspera, an. Umfassende Regelwerke und dazu passende Assessments seien demnach eher die Regel als die Ausnahme. Der große Unterschied aus seiner Sicht besteht jedoch darin, dass bei Software jeder Hersteller sein eigenes Regelwerk gestaltet und im Prinzip jederzeit verändern kann. Also müsse man sich nicht wie die Pharmaindustrie mit dem Paul-Ehrlich-Institut, der FDA und weiteren nationalen Behörden beschäftigen, die jeweils Prüfverfahren fordern. Stattdessen müsse jedes Unternehmen allen Software-Herstellern, deren Produkte es einsetzt, gerecht werden. Dabei steigt der Aufwand mit der Breite des eingesetzten Portfolios, nicht nur mit der Größe des Unternehmens. Auch wenn nicht jeder Hersteller prüft, besteht die Möglichkeit prinzipiell aber immer.

Selbst kleine Regeländerungen verdoppeln Aufwand

Wegen des Fehlens normierter Lizenzbestimmungen verdoppeln selbst kleine Abweichungen in den Definitionen den Aufwand in der Vermessung und Berechnung zweier Hersteller. „Als Software-Hersteller stehen wir selbst vor der Frage, wie wir die Nutzung unserer Produkte angemessen gestatten und gleichzeitig unsere Rechte sichern können. Gäbe es eine normierte Nutzungsdefinition für Software mit einigen definierten Metriken, wir würden sie vermutlich einsetzen“, sagt Diehl. Darüber, ob andere dies auch tun würden oder die hierin liegenden Optionen zur Maximierung des Ertrages verwenden würden, könne man nur spekulieren. Jedenfalls treibe so gut wie kein Hersteller eine Vereinheitlichung voran.

Selbst wenn sich dieser Umstand einfach abstellen ließe, wie manche Experten meinen, warum sollten die Hersteller dies auch tun? Eine undurchsichtige Grundlage bietet eben ungeahnte Möglichkeiten der Kreativität des Verkaufes. Was für die Anwender allerdings nicht nur Nachteile haben muss. Peter Rattey vom IT-Beratungshaus Voquz gibt folgenden Tipp: „Wenn man genau analysieren und sicherstellen kann, dass User nur exakt eingeschränkte Aktivitäten ausführen, kann man SAP wunderbar preiswerte Sonder-User entlocken, die wenig Geld kosten. Aber auch hier bedarf es einer gründlichen Analyse und einer lückenlosen Überwachung der Nutzung, wofür sich erneut eine software-gestützte Behandlung anbietet.“

Da er schon einmal dabei ist, beschreibt Peter Rattey grundsätzlich, wie SAP seiner Erfahrung nach hinsichtlich Lizenzierung vorgeht: Bei SAP-Kunden steht demnach einmal pro Jahr eine Vermessung an, die die Anwender selbst mit SAP-Mitteln vornehmen (dürfen). Dabei vertraut das Walldorfer Unternehmen darauf, dass die Kunden nicht tricksen, die Lizenzen entsprechend der gültigen Preiskonditionen kaufen, auf die Mitarbeiter verteilen und nutzen lassen.
Das klingt erst einmal zuvorkommend: ein Software-Hersteller, der seinen Kunden die Verteilung der Lizenzen großzügig selbst überlässt. Nur habe das mit zuvorkommend eher weniger zu tun, vielmehr werde aus der Not eine Tugend gemacht. Denn als die SAP-Software entstand, hatte sich wohl niemand so recht Gedanken darüber gemacht, wie das Lizenzgeschäft einmal laufen solle. So entstand über die Jahre ein Regeldickicht, das für jeden Lizenzverwalter eine echte Herausforderung darstellt. Laut Rattey wäre es für SAP (und andere Anbieter) relativ einfach, eine Vermessungssystematik einzubauen, anhand der Lizenzen klar und transparent verteilt würden – Software-Asset-Management-Software tut ja nichts anderes.

Wissen hilft

„Aber der SAP liegt es fern, hier Klarheit zu schaffen, bietet die Grauzone doch auch Vorteile. Der Vorsichtige lizenziert lieber ein wenig üppiger, um bei Audits keine bösen Überraschungen zu erleben, während der vermeintlich Clevere etwas optimistisch zu seinen Gunsten verteilt und sich dann darauf beruft, die Nutzungsbedingungen seien nicht klar definiert“, fährt der Experte fort. Genau hierin sieht er die Gefahr. Im Rahmen kurzfristiger Vermessungsüberprüfungen würden dann Fehlverhalten diagnostiziert, die grundsätzlich mit saftigen Nachzahlungen endeten, weil die Kunden überfordert seien, die wirkliche Nutzung lückenlos nachzuweisen.

Vorbereitung auf Audits heißt also, relativ genau zu wissen, warum welcher Mitarbeiter welche Lizenz nutzt. Man sollte Wissen in der Lizenzthematik aufbauen oder jemanden zurate ziehen, um die eigene Lizenzverteilung genau darlegen zu können. Üblicherweise schrecken die Unternehmen jedesmal auf, wenn die Aufforderung zur Lizenzvermessung kommt. Oft entstehe dann auch eine gefährliche Lücke zwischen Einkauf bzw. Lizenzverwalter und den Basismitarbeitern, die die Vermessung am besten so durchführen sollen, dass ein ähnliches Ergebnis herauskommt wie im Jahr zuvor. Auf die Schnelle werden dann Lizenzen verschoben, User deaktiviert und getauscht, bis alles regelkonform aussieht. In realen Audits fällt diese Schubserei allerdings schnell auf. Also sollte jedes Unternehmen zu jeder Zeit so gut wie möglich Bescheid darüber wissen, welcher User welche Aktivitäten nutzt, um einerseits den Anbieter nicht zu betrügen, andererseits aber auch kein Geld zum Fenster bzw. in den Rachen des Anbieters zu werfen.

Betrachtet man also das IT-Budget und die Relevanz der Investitionen für Mittelständler, darf man bei der Vorbereitung auf ein Audit und bei der Lizenzverwaltung im Allgemeinen im Vergleich zu Großunternehmen nicht den absoluten, kleineren Betrag sehen, sondern den Anteil am Budget, der durch Audits gefährdet ist. Zudem können Mittelständler meist nicht die gleiche Verhandlungsmacht entfalten, sodass ein Ergebnis kaum abgemildert werden kann. Daher sollte dem Risiko von Audits aktiv entgegengearbeitet werden. Wie genau, hängt von mehreren Faktoren ab: von den betroffenen Herstellern, vom Know-how im Unternehmen und von dem Willen, Software Asset Management selbst zu betreiben oder aus der Hand zu geben. Nicht zu vergessen die Bereitschaft, ob man überhaupt Geld und Zeit für das Lizenzmanagement investieren will.

Bildquelle: Thinkstock /iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok