16.04.2014, 10:40 Uhr
Das Lizenz-Problem
Technologien wie BYOD, Cloud und Virtualisierung machen eine korrekte Software-Lizenzierung immer komplizierter und undurchschaubarer. Wo liegen die Gefahren?
Schweizer Anwenderunternehmen drohen Millionenbussen wegen fehlerhafter Auslegung von Lizenzbestimmungen. «Es gibt Firmen in der Schweiz, die nach einem Audit dichtmachen mussten», berichtet Nicolas Bolliger, CEO beim Lizenzierungsberatungsunternehmen GSPC. Andererseits habe es aber auch Unternehmen gegeben, die bis zu 50 Prozent weniger bezahlen mussten, als vorher veranschlagt. Aus beiden Gründen – Rechtsrisiko und Sparpotenzial – steht Software Asset Management (SAM) bei vielen Schweizer CIOs auf der To-do-Liste. Als stärkster Motivator für SAM wirken allerdings die Software-Anbieter selbst. Regelmässig alle zwei bis vier Jahre prüfen sie den Lizenzbestand ihrer Kundschaft.
Lizenzdschungel
Was auf den ersten Blick wie ein trivialer Vergleich zwischen eingekauften Lizenzen und benutzter Software aussieht – der sich in zwei bis vier Jahren kaum dramatisch verändert –, entpuppt sich bei genauerem Hinsehen jedoch als ein nahezu undurchdringlicher Dschungel aus Bestimmungen und Nutzungsszenarien. Dazu ein Beispiel. Ein Unternehmen hat Software von zehn Herstellern im Einsatz. Die Programme laufen auf herkömmlicher Hardware, die IT-Abteilung erwägt die Einführung von Virtualisierung und auch das Outsourcing geschäftsunkritischer Lösungen. Ausserdem werden Mitarbeiter-PCs bei einem Defekt standardmässig durch neuere Mehrkern-Notebooks ersetzt. Die Software-Umgebung bleibt dabei immer die gleiche, schliesslich müssen die Angestellten wie gewohnt weiterarbeiten können. Aus der SAM-Perspektive gibt es bei diesem Szenario mehrere kritische Faktoren: die Virtualisierung, das Outsourcing und der Hardware-Austausch durch leistungsfähigere Systeme. Hinzu kommt, dass sich die Lizenzbestimmungen bei jedem der zehn verschiedenen Software-Anbieter laufend ändern. «Die teilweise monatlichen Updates der Lizenzregeln verunmöglichen es dem Kunden, den Überblick zu halten», sagt Bolliger. «Wenn es nur ein Anbieter wäre, könnte sich der Kunde einlesen. Jedoch haben auch Mitarbeiter des Software-Herstellers selbst teilweise Mühe, sich auszukennen.» So kann eine SAM-Inventarisierung immer nur eine Momentaufnahme sein. Will oder muss der Kunde – etwa wegen eines drohenden Audits – mehr als nur einen aktuellen Überblick haben, ist er gezwungen, seine Lizenzbestände stetig nachzuführen. Hier kommen dann spezialisierte Beratungsunternehmen wie GSPC oder Comparex ins Spiel.
Veränderungsmanagement
Der Schweizer Comparex-Chef Kurt Bylang addiert eine weitere Komplexitätsdimension: Ein Lehrling durchläuft während seiner Ausbildung unterschiedliche Abteilungen eines Unternehmens. In jedem Bereich setzt er die fachspezifischen Anwendungen ein. Wenn er am Ende seiner Ausbildung angelangt ist, hat er womöglich Lizenzen für alle Anwendungen des Unternehmens. Im Software-Inventar muss dieses Nutzungsszenario ebenfalls nachgeführt werden. «Häufige Compliance-Herausforderungen sind in der Praxis der Abgang oder der Abteilungswechsel von Angestellten, Unternehmensübernahmen und Tests von BYOD-Nutzungsszenarien», so Bylang. Lesen Sie auf der nächsten Seite: mobile Mitarbeiter
Mobile Mitarbeiter
Der Trend zu mehr Mobilität im Geschäftsalltag erhöht die Komplexität beim Lizenzenmanagement noch zusätzlich. «BYOD-Projekte sorgen für mehr Nachfrage bei Compliance-Beratungen», berichtet Comparex-CEO Bylang. Ähnliches beobachtet auch Nicolas Bolliger von GSPC: «Mit der Option, dass Mitarbeiter ihre privaten Geräte zur Arbeit mitbringen, hat sich das potenzielle Risiko einer Falschlizenzierung beträchtlich erhöht.» In den neuen Nutzungsszenarien werde noch viel zu selten die Frage gestellt, welche zusätzlichen Lizenzen für private Software auf privaten Computern erworben werden müssen. Selbst wenn der Angestellte nur kurz eine Folie in PowerPoint verändert, benötigt er laut Lizenzrecht eine Office-Lizenz. Anders herum muss ebenfalls abgeklärt sein, welche Konsequenzen eine private Software in einer Unternehmensinfrastruktur hat. Während eines automatisierten Audit-Scans wird diese Software gefunden. Dann läuft die Firma Gefahr, wegen fehlender Lizenzen belangt zu werden. Problematisch ist auch, wenn ein Angestellter mit Firmen-Software auf seinem privaten Computer das Unternehmen verlassen muss. Falls die Trennung nicht in gütiger Einvernahme geschieht, ist es dem Mitarbeiter unter Umständen gleichgültig, ob noch Software auf seinem Rechner installiert ist. Im ärgsten Fall entwendet der Angestellte die Programme bewusst oder verkauft die Lizenzen sogar weiter. Auf alle Szenarien muss das Unternehmen vorbereitet sein, wenn es die Einführung von «Bring Your Own Device» erwägt.
Gebrauchte Software
Bei Secondhand-Software müssen die Anwender unter Umständen auf moderne Funktionen verzichten, dafür sind die Lizenzen günstiger. «Einige wenige Schweizer Anwenderunternehmen setzen auf gebrauchte Software», sagt Comparex-Chef Bylang. Die Lizenzen seien bei 1 von 50 Firmen im Einsatz, meist aus dem Mittelstand. Comparex selbst habe keine Kunden mit Gebrauchtlizenzen. Die Lizenzberater von GSPC beschränken sich auf das Consulting und überlassen dem Kunden das Beschaffen von Software. CEO Bolliger kritisiert, dass es bei Gebrauchtware weder klare noch einfach einzuhaltende Richtlinien gibt. «Die mit Secondhand-Software verbundenen Risiken überwiegen meist die Ersparnis, mit der anfänglich gerechnet wurde», sagt er. Die Original-CD genüge bei keinem Hersteller als Nachweis. Meistens sei ein Deinstallationsnachweis (beim Vorbesitzter) nötig, der vom Software-Anbieter bestätigt werden muss. Dieses Zertifikat geben die Hersteller typischerweise nicht freiwillig und auch nicht kostenlos ab. Lesen Sie auf der nächsten Seite: Risiko Cloud
Risiko Cloud
Von den Sorgen der Lizenz-Compliance befreit sind auf den ersten Blick die Unternehmen, die sich in eine Cloud einmieten. Dort wird pro Funktion, pro Mitarbeiter und pro Zeitraum abgerechnet – eine Fehllizenzierung ist theoretisch nicht möglich. Allerdings sieht das in der Praxis doch etwas anders aus. In einem hybriden Szenario, in dem beispielsweise Microsoft Office 365 gemietet ist und Office 2013 auf den Desktop gestreamt wird oder eine Option auf eine installierte Software existiert, ist auch die Cloud kein Freifahrtschein für Compliance-Verantwortliche. Wenn sich Kunden entscheiden, in Clouds zu arbeiten, müssen sie sich von Anfang an vergewissern, wer Lizenzen einbringen darf und haftbar ist. Auch hier gibt es, aufgrund der technischen Möglichkeiten, keine allgemeingültige Lösung. Lizenzexperte Bolliger rät dazu, unbedingt mit dem Provider zusammen die Konditionen schriftlich zu fixieren. Anbieter, die Cloud-Anwendungen selbst platzieren, geben damit auch die Nutzung gemäss den Lizenzbestimmungen vor. Allerdings weiss Bolliger auch vom umgekehrten Fall: Der Provider stellt Applikationen bereit und lässt den Kunden gewähren. Dann folgt am Ende des Abrechnungszeitraums das böse Erwachen. Es stelle sich die Frage, ob die Anbieter ihren Kunden bewusst freie Hand lassen, um anschliessend ordentlich abzukassieren, so Bolliger.
Sonderfall App-Store
Das Lizenzmodell des App-Stores kommt im Expertenurteil besser weg: Wie auf dem Handy ist auch im unternehmensinternen Einsatz klar, welcher Mitarbeiter welche Apps wie intensiv verwendet. Dann sind personen-, geräte- oder auch nutzungsabhängige Lizenzierungen möglich. Mithilfe einer App-Store-Lösung können die Compliance-Wächter kontrollieren, ob die genutzten Anwendungen korrekt lizenziert sind. Allerdings, meint der GSPC-Chef, ist «ein firmeninterner App-Store wohl nur eine Option für grosse Unternehmen».