Die korrekte Lizenzierung von Software ist eine einfache gesetzliche Vorgabe, die ein Unternehmen wie viele andere Rahmenbedingungen zu erfüllen hat. In der Schweiz ist dieser Rahmen im Urheberrechtsgesetz (URG) und in der Urheberrechtsverordnung (URV) geregelt. Sie beinhalten eine Reihe von Sonderbestimmungen für Computerprogramme wie ein Vermietrecht, ein Recht zum Gebrauch und zur Weiterveräusserung, zur Entschlüsselung bezüglich der Schnittstellen bis hin zum Recht zur Herstellung einer Sicherungskopie. Dieses Recht entsteht und besteht formlos. Somit haben Software-Hersteller das Recht, die korrekte Einhaltung der gesetzlichen Vorgaben zu prüfen. Mit anderen Worten können sie die Einhaltung der bestehenden Nutzungsverträge verifizieren. Zu diesem Zweck führen sie Audits durch. Ein solcher Audit prüft, ob ein Unternehmen die so genannte Software Compliance einhält, also sämtliche Lizenzen im Sinne der vereinbarten Lizenzbestimmungen nutzt.
Audits in Unternehmen nehmen zu
Gemäss der Analystenfirma Gartner nehmen diese Audits zu. Zwei Drittel aller grösseren und 40 Prozent aller mittelständischen Unternehmen haben mindestens ein Audit eines Herstellers von Standardsoftware in diesem oder im nächsten Jahr zu erwarten. Am meisten Audits werden von den Herstellern IBM, Adobe, Microsoft, Oracle und SAP durchgeführt. Interessant ist, aufgrund welcher Kriterien die Hersteller Audit-Kandidaten auswählen. Gemäss der Umfrage «Software audits without tears» der Firma Ernst & Young sind grosse Firmen im Fokus, die bereits einen Audit mit schlechtem Resultat hinter sich haben. Als häufigster Grund lassen sich jedoch inkonsistente Einkäufe beim selben Hersteller bestimmen. Dies war in 75 Prozent der Nennungen der Fall.
Wer also unüberlegt einkauft, wird eher geprüft. Was sind jedoch mögliche Resultate eines solchen Audits? Er kann im besten Fall unangenehm sein – wenn beispielsweise eine Überlizenzierung vorliegt. Dies bedeutet, dass eine Firma weitaus mehr Lizenzen bezahlt, als sie wirklich verwendet. Experten und Statistiken sprechen von 15 bis 30 Prozent Sparpotential aufgrund einer Überlizenzierung von Software. Im ungünstigen Fall muss das Unternehmen Software nachlizenzieren und eine Strafe bezahlen, falls das Verhältnis zwischen Hersteller und Unternehmen nicht besonders gut ist. Dem gilt es vorzubeugen – das Zauberwort heisst hier Software-Lizenz-Management.
Interessen von Lizenzgeber und Lizenznehmer
Software Asset Management (SAM) oder auch Software Asset and License Management (SALM) kann aus zwei Blickwinkeln betrachtet werden; demjenigen des Lizenznehmers und demjenigen des Lizenzgebers. Aus Sicht des Lizenznehmers – des Kunden – ist es wichtig, einen Überblick über die Lizenzrechte zu haben. Somit soll ersichtlich sein, welche Lizenzen wie genutzt werden können. Ausserdem ist zu prüfen, ob die Informationsprozesse über die Anzahl der verwendeten Lizenzen, die Zahlungsflüsse und die Korrektheit der abgelaufenen Lizenzen richtig funktionieren. Aus Sicht des Lizenzgebers – des Herstellers – sind die Einhaltung der bestehenden Verpflichtungen, die Bewertung der Zahlungsflüsse und der korrekten Rechnungsstellungen sowie die Prüfung der Informationsprozesse von Belang. Der Lizenznehmer hat das Ziel, das Unternehmen vor ungeplanten Nachfragen und vor Überraschungen zu schützen. Demgegenüber verfolgt der Lizenzgeber das Ziel, dass die Software-Umsätze entsprechend der den Kunden eingeräumten Lizenzrechte verlaufen. Gemäss der Abteilung Wirtschaftsprüfung der Firma Deloitte & Touche geht ein gutes Software-Lizenz-Management jedoch noch über diese Betrachtung hinaus. Die Transparenz bezüglich eingesetzter Software kann Redundanz und damit unnötige Kosten vermeiden. Sie hilft zudem, die Verhandlungsposition des Lizenznehmers gegenüber dem Lizenzgeber zu stärken.
Der SAM-Standard
Software Asset Management bedeutet zu wissen, welche Software wie eingesetzt wird. Es bedeutet im Weiteren die Sicherstellung, die Aufbereitung und die ständige Aktualisierung dieses Wissens, die Optimierung der Software-Nutzung und das aktive Management des Einkaufs von Software. Dafür sind organisatorische Prozesse und Produkte für die Erfassung und das Reporting notwendig.
Gemäss einer Umfrage der Firma Dell glauben lediglich 32 Prozent aller Unternehmen, gut auf eine allfällige Überprüfung ihrer «Software Compliance» vorbereitet zu sein – also gut über den Stand der eingesetzten Software informiert zu sein. Dies obwohl seit Jahren ein Standard für SAM besteht – der ISO/IEC Standard 19770-1. Dieser Standard sieht die Planung, Kontrolle, Bestandserfassung und Verifizierung für ein SAM vor sowie Abläufe und Prozess-Schnittstellen vor. Die ISO hat ausserdem bereits vor fünf Jahren eine Self Assessment Engine (SAE) veröffentlicht. Diese hat zum Ziel, Firmen auf eine Zertifizierung hinsichtlich des Standards vorzubereiten. Im Klartext heisst das, Firmen auf eine allfällige Prüfung durch einen Hersteller vorzubereiten. Über die isolierte Betrachtung des Standards 19770-1 hinaus wird in vielen grösseren Unternehmen SAM als integraler Bestandteil der IT-Governance oder der ITIL-Prozesse gesehen.
Die Schwierigkeiten des SAM
Obwohl ein Standard und eine Vielzahl von Tools existieren, die diesen Standard unterstützen, ist die Mehrzahl der Unternehmen davon überzeugt, die Software Assets und im speziellen die Lizenzen nicht wirklich im Griff zu haben. Knapp 70 Prozent glauben, dass der Hauptgrund für die Schwierigkeiten komplizierte Verträge sind.
Tatsächlich ist die Vielzahl der bestehenden Lizenzmodelle und der entsprechenden Verträge kaum überschaubar. Nicht weniger als sieben Faktoren wie beispielsweise Lizenzart (Einzel, Mehrplatz) oder auch die Lizenzklasse (Vollversion oder Upgrade) beeinflussen ein Lizenzmodell. Die Cloud-Computing-Technologie und die Virtualisierung erweitern diese Faktoren. Dazu kommt eine Reihe von speziellen Verträgen, die grosse Hersteller gerne mit Grossunternehmen abschliessen. So können sie ganze Produktfamilien global lizenzieren. Auch spielt die Tendenz zu raffinierten Metriken eine bedeutende Rolle — weg von der Nutzung pro CPU oder pro User hin zu Anzahl Transaktionen oder Anzahl gleichzeitig zugreifender Nutzer.
Selbstverständlich existieren kombinierte Modelle und Hersteller wechseln immer wieder die Modalitäten. Darüber hinaus lässt die Akzeptanz für SAM in vielen Unternehmen zu wünschen übrig. Dies obwohl oder vielleicht gerade weil lediglich etwas mehr als ein Drittel der Unternehmen überhaupt die Nutzung von Lizenzen überwacht.
Die Lösung
Software Asset Management ist eine Kombination aus internen Prozessen und unterstützenden Instrumenten. SAM kann in einem grösseren Rahmen als Bestandteil von ITAM (IT Asset Management) verstanden werden. In diesem Fall werden Hardware- und Software-Lizenzen auf dieselbe Art und Weise verwaltet. Es existiert eine Vielzahl von Tools in diesem Markt. Sie reichen von herstellerabhängigen Instrumenten, wie dem SAM von Microsoft, bis hin zu ausgewachsenen Suiten mit umfangreichem Funktionsumfang.
Der einfachste mögliche Fall für ein SAM ist eine Zertifizierung für einen einzigen Hersteller. Es existiert beispielsweise eine Zertifizierung für Microsoft-Lizenzen. Sie wird durch einen autorisierten Microsoft-Partner durchgeführt und ist ein Jahr gültig. Das Prinzip ist denkbar einfach. Es werden die in einem Unternehmen vorhandenen Lizenznachweise erfasst und gegebenenfalls gegen den Microsoft-Produktidentifikationsdienst auf ihre Echtheit hin überprüft. Als nächstes werden sämtliche Rechner und die darauf eingesetzten Software-Pakete inventarisiert. Es werden also alle vorhandenen Installationen aufgelistet und in einer Datenbank gespeichert. Diese Daten werden Microsoft zugänglich gemacht und ein Zertifikat wird vergeben, falls die Lizenznachweise und das Lizenzinventar übereinstimmen. Dieser Prozess wird idealerweise jährlich durchgeführt.
Viele Firmen setzen jedoch Software verschiedener Hersteller ein. Dabei ist es wenig sinnvoll, die Zertifizierung pro Hersteller vorzunehmen. Hier ist der Einsatz einer SAM Suite zu empfehlen. Umfangreiche SAM Suiten funktionieren auf dieselbe Art und Weise wie Monitorings oder Software-Verteilungs-Systeme. Das Prinzip ist immer das gleiche: Auf jedem Rechner eines Unternehmens wird ein so genannter Agent installiert, der ein Inventar sämtlicher Produkte erlaubt, die auf dem Rechner installiert sind. Die Inventarisierung wird durch zentrale SAM Server gesteuert. Es wird nicht nur gezählt, welche Produkte vorhanden sind, sondern auch, welche Produkte tatsächlich genutzt werden und wie. Diese Zählungen erfolgen regelmässig. SAM Suiten erlauben jederzeit eine Prüfung des aktuell verwendeten Produktportfolios sowie ein gutes und detailliertes Reporting inklusive Trend-Analyse und Kostenberechnungsmodelle für alternative Lizenzszenarien.
Was sonst noch zu tun ist
Software Compliance oder auch die korrekte Lizenzierung von Software ist nicht einfach ein defensiver Schutz vor der Bedrohung eines möglichen Audits durch einen Hersteller. Sie ist integraler Bestandteil der Verwaltung des Unternehmenswertes «Software» entsprechend ihrem Wertbeitrag. Daher umfasst es weit mehr als eine einfache Inventarisierung und Trend-Analyse. Eine Gegenüberstellung von Ist- und Soll-Zustand im Einklang mit einer abgestimmten IT-Strategie geht einen Schritt weiter. Die Frage lautet dann nicht mehr «Sind wir unter- oder überlizenziert?» sondern beispielsweise «Entspricht unser Portfolio den Business-Anforderungen?». Ein Inventar bringt in diesem Fall nicht nur die Anzahl der Lizenzen ans Licht, sondern auch ihre Varianz. Es gilt die Regel: Je breiter die Varianz der eingesetzten Software desto grösser der Aufwand für die Wartung und den Betrieb.
Ein anderer Aspekt eines guten Software Asset Management ist die Stärkung der Verhandlungsposition des Kunden gegenüber dem Hersteller. Ein gut informierter Einkauf ist fähig, zwischen Beschaffungskosten und Betriebskosten zu unterscheiden und lässt sich nicht von Rabatten blenden, die sich meist auf die Beschaffungskosten beziehen. Er versteht auch sehr wohl den Unterschied zwischen den budgetierten operativen Kosten und den versteckten Kosten, die je nach Technologiebreite erheblich sein können.
Fazit
Dass jedes Unternehmen die gesetzlichen Vorgaben zu erfüllen hat, um überhaupt seine Tätigkeit in einem stabilen Umfeld ausüben zu können, ist selbstverständlich. SAM ist ein wichtiges Instrument dafür. Jenseits dieser Vorgaben ist es die Pflicht jedes Unternehmens, die zur Verfügung stehenden Ressourcen nach bestem Wissen und Gewissen optimal einzusetzen. Eine zunehmend bedeutungsvolle Ressource sind Software-produkte, mit denen wir täglich arbeiten. Ohne sie ist eine unternehmerische Tätigkeit in vielen Fällen kaum oder nur sehr schwierig auszuüben. Entsprechend ist diese Ressource zu verwalten. Die erschreckenden Zahlen des so genannten Graumarktes sollten keinesfalls auch für Unternehmen gelten: Die nichtlizenzierte private Nutzung von Software beträgt weltweit 42 Prozent gemäss der Business Software Alliance. Auch soll auf jeden Fall vermieden werden, dass angesichts knapper Budgets bis zu 30 Prozent zu viel für Lizenzen ausgegeben werden.
Daniel Liebhart ist Dozent für Informatik an der Hochschule für Technik in Zürich, Autor verschiedener Fachbücher und Solution Manager bei Trivadis.