Software-Audit – Die Macht der Daten

Ein gutes SAM-System generiert detaillierte Audit-Daten, besitzt alle DQM-Funktionen zur Verteidigung dieser Daten, verkürzt die Audit-Reaktionszeit signifikant und spart enorm Lizenzkosten.

Marktanalysten wie Gartner beobachten seit Jahren eine Intensivierung von Kontrollen der führenden Softwareanbieter. Inzwischen ist jede größere Organisation mit mehreren Software-Lizenzaudits pro Jahr konfrontiert. Der Grund liegt auf der Hand: Softwarehersteller wie Oracle, SAP, Microsoft oder Salesforce möchten ihr geistiges Eigentum schützen und gleichzeitig ihren Umsatz steigern. Vor allem letzteres steht im Fokus. Voraussetzung für das Audit-Geschäftsmodell ist eine möglichst hohe Komplexität der unterschiedlichen Lizenzierungsmöglichkeiten. Die Compliance-Daten der Hersteller sind entsprechend ohne professionelle Unterstützung für Software Asset Management (SAM) nicht zu verstehen. Das führt in vielen Fällen dazu, dass Bedingungen widerstandslos akzeptiert werden. Die Folgen sind teuer. Die Mehrkosten liegen bei großen Unternehmen häufig im 7stelligen Bereich. Pro Jahr.

Vorbereitung ist das A&O. Der größte Fehler, den Unternehmen machen können, ist, die Ergebnisse und Bedingungen von Audits passiv zu akzeptieren, wenn diese ungünstig sind. Entscheidend ist jedoch eine gute Vorbereitung, die lange vor der Audit-Ankündigung beginnt. 

Diese besteht aus drei Teilen: 

  • Entwicklung einer Audit-Reaktionsstrategie (etwa wer auf Audit-Schreiben reagiert, weitere Rollenverteilungen) und Kommunikation an alle Beteiligten, insbesondere IT-Management und Einkaufsabteilung.
  • Ein einsatzbereites Team: Technischer Leiter, Projektmanager, Anwendungsmanager für die Software und Vertreter aus Rechts- und Beschaffungsabteilung. 
  • Einsatz eines professionellen SAM-Tools zur Qualitätsprüfung und Verarbeitung der Daten und zur Erstellung präventiver Konformitätsberichte.

Im Folgenden wird insbesondere der letzte Aspekt als Basis für eine effektive Audit-Abwehr betrachtet. 

Software Asset Management mit System. Wie bestimmen Unternehmen ihre eigene Konformität? Es beginnt mit dem Sammeln von Softwarenutzungsdaten an allen Standorten und geht über die Analyse der Schlüsselstellen und exakte Berichte über Nutzung und Installationen bis zum Abgleich dieser Daten mit Berechtigungen und Verträgen. Ein SAM-Tool wie etwa Aspera SmartTrack automatisiert diesen Prozess und unterstützt bei der Einrichtung einer zentralen, gültigen Datenquelle. Der Datenimport aus einer oder mehreren Inventarquellen liefert einen exakten Bericht über Bereitstellung, Konfiguration, Lizenzierung und Nutzung. 

Mithilfe von Tabellen ist die benötigte Tiefe der Dateninformationen nicht zu erreichen. Ein professionelles SAM-System generiert die detaillierten Audit-Daten, besitzt alle DQM-Funktionen zur Verteidigung dieser Daten und kann damit die Audit-Reaktionszeit um die Hälfte verkürzen. Das ideale SAM-Tool lässt sich auch in den ersten und umfassendsten Stock Keeping Unit (SKU)-Katalog für SAM integrieren. Wichtig ist die Unterstützung durch ein Content-Team, das SKU mit Lizenzbedingungen und anderen Produktnutzungsrechten zu ergänzen.

Sehen wir uns nun die Produktnutzungsrechte und andere wesentliche Daten, die Unternehmen zum Bestehen des Audits benötigen, etwas näher an. Denn das Entscheidende in einem Audit sind die Daten. 

Schlüsseldaten auf 7 Ebenen. Audit-relevante Daten liegen in sieben Ebenen übereinander, die schrittweise die Geheimnisse der Softwarelizenzen freigeben und bei der Audit-Reaktion einen Vorteil verschaffen. 

1. Kommerzielle Daten 

Hier geht es um die erworbenen Lizenzen. Wann? Wie viele? Welcher Geschäftsbereich besitzt was? 

Aber Achtung! Nur das Zählen von Lizenzen reicht in einem Audit nicht aus – Anbieter fordern in der Regel mehr. Daher müssen die Verantwortlichen einen Schritt weiter gehen, die Verträge lesen, Lizenzen wie Metriken notieren und darüber hinaus Produktnutzungsrechte, Wartungsbedingungen, Wartungsdaten sowie Lizenzübertragungen aufzeichnen. 

2. Tatsächliche Lizenzen 

Um zu verstehen, ob die Konformität sichergestellt ist, muss man die effektive Lizenzposition (ELP) herausfinden. Dabei handelt es sich um die Lizenzen, die Organisationen auf Grundlage der tatsächlichen Nutzung benötigen. 

Hierzu sollten die folgenden Fragen zu einer Lizenz beantwortet werden:

  • Handelt es sich um eine Basislizenz, eine Aktualisierungslizenz oder eine reine Wartungslizenz?
  • Berechtigt die Basis- oder Aktualisierungslizenz oder sogar der gesamte Vertrag dazu, eine Wartung durchzuführen?
  • Was gestatten die Produktnutzungsrechte?
  • Welche Lizenzmetrik wird verwendet?

3. Lizenzierbare Software-Inventardaten

Ein wichtiger Tipp vorab: Ein Fund ist nicht dasselbe wie Inventar. Wir sprechen von einem Fund, wenn das SAM-Tool die installierte und laufende Software auf allen Geräten in einer IT-Umgebung »findet«, und zwar sowohl physisch als auch virtuell. Als Inventar hingegen versteht man die Nutzung der Fundinformationen, um die Software und Hardware der Geräte zu zählen.

Man könnte nun annehmen, dass es beim »Finden« um das Sammeln aller ausführbaren Dateien geht. Bei diesem Prozess werden jedoch vielmehr Daten gesammelt, die im Hinblick auf Lizenzierung oder Konformität irrelevant sind. 

Daher ist es wichtig, dass Unternehmen keine Fund-Rohdaten einreichen, da sie viel mehr Informationen enthalten als man gegenüber einem Auditor offenlegen muss. Stattdessen sollten die Inventarberichte geliefert werden. Diese stellen eine organisierte Version der Rohdaten dar, die der Anbieter zur Auditierung der Produktnutzung benötigt. Ein professionelles SAM-Tool sortiert die Daten automatisch und stellt nur die Informationen zu Verfügung, die benötigt werden.

4. IT-Architekturdaten

Hier geht es darum, wo die Software jeweils läuft. Um diese Daten zu ermitteln, helfen folgende wichtige Fragen:

  • Wer besitzt die Geräte, auf denen die Software läuft?
  • Wie ist die Hardware konfiguriert?
  • Wie ist die IT-Architektur gestaltet? Läuft die Software auf einem virtuellen Server mit festen Partitionen oder auf einem Server in einem Cluster?
  • Auf welcher Plattform läuft die Software?
  • Wie wird die Software genutzt?
  • Welche Anwendungen laufen auf welcher Serversoftware?

Auf dieser Ebene kann die Lizenzierung kompliziert und Fehler teuer werden. Die Informationen sind jedoch für die Produktbenutzungsrechte relevant und für bestimmte Metrik-Berechnungen unverzichtbar. Daher ist Gründlichkeit geboten – und der Einsatz eines SAM-Tools.

5. Metriken und tatsächliche Bedarfsdaten

Organisationen müssen den tatsächlichen Inhalt der Lizenzen kennen, da in diesen die Metrik und die Berechnungsmethoden des Anbieters definiert werden. Auf dieser Ebene besteht das Ziel darin, mithilfe der Metrik die Lizenzen zu berechnen, die zur Abdeckung der Softwarenutzung benötigt werden. Das ist der tatsächliche Bedarf.

Im »Serverland« sind die Metrik-Berechnungen für Softwarelizenzen ein Gordischer Knoten, da verschiedene Faktoren wie Hardwaredetails, Konfiguration, Plattform und Virtualisierung berücksichtigt werden. Alle Fragen der IT-Architektur aus der 4. Ebene müssen beantwortet werden – als Basis für komplexe Berechnungen. 

Erschwerend kommt noch hinzu, dass alternative Metriken für dieselbe Softwarenutzung zu mehreren unterschiedlichen Berechnungsergebnissen führen können. Einige sind vielleicht sogar günstiger für den Anbieter als andere.

Ein Beispiel hierfür bietet Oracle – mit teilweise verwirrenden Metriken (siehe Abbildung).

Das manuelle Durchführen der Berechnungen – für Hunderte von Metriken für Serversoftware – würde spezielle Kenntnisse über jede Lizenz und eine erhebliche Menge an Zeit erfordern. Es wäre außerdem sehr fehleranfällig.

 

Beispiel von Oracle-Metriken. Organisationen müssen den tatsäch­lichen Inhalt der Lizenzen kennen, da in diesen die Metrik und die Berechnungsmethoden des Anbieters definiert werden.

 

6. Anwendung von Lizenzdaten

Auf dieser Ebene geht es um das Zuweisen von Aktualisierungs- und Wartungslizenzen zu Basislizenzen und um die Anwendung dieser nützlichen Produktnutzungsrechte. Die Lizenzposition ist korrekt und Lizenzanforderungen ufern nicht aus. Beides bietet potenziell große Kostenüberraschungen. 

Der Auditor befolgt möglicherweise Richtlinien, die besagen, dass die gegenwärtige Lizenznutzung nicht korrekt ist, wenn es »Löcher« im Aktualisierungs- oder Wartungsverlauf einer langjährigen Lizenz gibt. Die korrekte Anwendung von Lizenzdaten erfordert ein Verständnis der Softwarenutzung und Gerätebesitzverhältnisse. Eine SAM-Anwendung kann diese Lücken mit den korrekten und vollständigen Daten schließen.

7. Konformitätsgleichgewicht 

Auf der Kernebene wird schließlich die effektive Lizenzposition (siehe Ebene 2) auf den tatsächlichen Bedarf (siehe Ebene 5) angewandt – also das, was wirklich vorhanden ist auf das, was benötigt wird. Das Ergebnis dieses Vergleichs ist das Konformitätsgleichgewicht des Unternehmens. 

Die in Audits über die Konformität entscheidenden Daten sind vielfältig und es gibt viele – nicht immer leichte – Wege für ein Unternehmen, diese Daten zu entschlüsseln und entsprechende Konsequenzen zu ziehen. Ein SAM-Tool kann diese Datenanforderungen erfüllen und sämtliche hochwertigen Daten sammeln und verarbeiten, deren Informationen in einem Audit sehr vorteilhaft sind.

 

Whitepaper Download

Dieser Artikel ist ein Auszug aus einem umfangreichen Aspera-Whitepaper »Leitfaden zur effektiven Audit-
Vorbereitung«, das hier heruntergeladen werden kann:

http://bit.ly/2TNiPtY

 


Thomas Gerick,
Berater USU Software AG

 

 

 

Illustration: © Spirit Boom Cat /shutterstock.com

 

244 Artikel zu „Software Asset Management“

Software Asset Management von VMware-Lösungen: Der Weg zur risikofreien Lizenzierung ist steinig

Heute kommt nahezu kein Unternehmen mehr an einer Virtualisierung seiner IT-Ressourcen vorbei. Bei VMware, dem Marktführer von Virtualisierungssoftware, verfolgten Anwender bisher meist das Prinzip »für jeden gesteckten Prozessor eine CPU-Lizenz«. Aber durch vertragliche Bestimmungen ist die korrekte Lizenzierung von VMware-Software deutlich komplexer. Durch ein professionelles Software Asset Management (SAM) können Unternehmen Compliance-Risiken vermeiden, die sich…

Regeln für das Software Asset Management

Unter- oder Überlizenzierungen erzeugen hohe rechtliche Risiken und Kostennachteile. Die von Unternehmen genutzten Applikationen sind im Regelfall mit Lizenzverpflichtungen verbunden, weshalb ein Software Asset Management (SAM) benötigt wird. Es dient dazu, über effiziente Verfahren das Software-Inventar kontinuierlich übersichtlich zu halten und die Lizenzen flexibel dem tatsächlichen Bedarf anzupassen. Ansonsten können beispielsweise unnötige Kosten durch Überlizenzierungen…

»Software Asset Management as a Service«: Nicht auslagern, ohne gerüstet zu sein

Outsourcing mit Blindflug-Risiko

Im Markt für Software Asset Management (SAM) herrscht Goldgräberstimmung. Zahlreiche Dienstleister drängen mit »SAM-as-a-Service«-Angeboten auf den Markt, um Unternehmen diese komplexe Aufgabe abzunehmen. Die Nachfrage ist zweifellos vorhanden – allerdings bieten die Anbieter nicht immer das, wonach die Unternehmen suchen, so eine aktuelle Erhebung des Beratungsunternehmens microfin. Bei nüchterner Betrachtung sind die Services häufig noch weit von Commodity-Angeboten entfernt. Damit sind Unternehmen gut beraten, genau wie bei anderen IT-Auslagerungsprojekten zuerst gemeinsam mit Experten ihre »Sourcing-Readiness« zu prüfen. Nur so wird aus der erwarteten Entlastung für die interne IT kein Blindflug.

Software Asset Management: Effizienzeinbußen durch mangelhaft umgesetzes SAM im Mittelstand

Die Studie »Mit Software Asset Management zur dynamischen IT« hat sich zum Ziel gesetzt, einen detaillierten Blick auf das Thema Software Asset Management und auf die damit verbundenen Prozesse in mittelständischen Unternehmen zu werfen [1]. Es sollte herausgefunden werden, wie weit Software Asset Management in der Unternehmenslandschaft strategisch verankert ist. Zusätzlich wurden Aufwände und Risiken…

Effizienzeinbußen durch mangelhaft umgesetzes Software Asset Management

Ein strategisches und ganzheitlich aufgesetztes Software-Asset-Management-Konzept, das sowohl durch definierte Prozesse und Zuständigkeiten sowie den Einsatz von Tools geprägt ist, sorgt für dynamische Strukturen in der IT-Abteilung. Gerade diese Dynamik und Agilität wird von IT-Leitern und CIOs im Zeitalter von Cloud Computing, Mobility und der zunehmenden Vernetzung von Menschen und Objekten benötigt. Die Fähigkeit »vorherzusehen«,…

Software-Security-Trends 2020

Im Zuge von Digitalisierung und IoT wird Software-Security über alle Branchen und Unternehmensgrößen hinweg immer wichtiger. Unternehmen von KMU bis Konzern benötigen leistungsfähige Software-Analyse-Lösungen, um ihre Anwendungen über den gesamten Software Development Lifecycle zuverlässig abzusichern. Dr. Christopher Brennan, Regional Director DACH bei Checkmarx, gibt einen Ausblick auf die Themen, die den Software-Security-Markt 2020 prägen werden.…

Service-Management-Trends 2020: Von klügeren Bots und dem IT-Concierge

Vier Themen, die die Arbeit von ITSM-Organisationen bestimmen werden. Laut Marktanalyst Gartner verantworten CIOs bis 2023 mehr als das Dreifache der Endgeräte als noch 2018. Ohne technologische Unterstützung können sie diese Aufgabe auf Dauer kaum bewältigen. Schon heute sind die IT-Teams gefordert, immer mehr Anwendungen zu unterstützen, zunehmend strategische Beiträge zu leisten und die Kundenzufriedenheit…

Jedes fünfte Unternehmen kann sich den Erwerb gebrauchter Software vorstellen

Jährliche Steigerungsraten zeigen großes Marktpotenzial. Jedes fünfte Unternehmen in Deutschland steht dem Thema Gebrauchtsoftware offen gegenüber. Voraussetzung für den Erwerb ist aus Sicht der Unternehmen aber, dass die Lizenzprodukte alle modernen Anforderungen an Sicherheit und Compliance erfüllen. Das ist das Ergebnis einer Civey-Umfrage im Auftrag von VENDOSOFT, an der mehr als 2.000 Unternehmensentscheider in Deutschland…