Sie sind hier: Home » Fachartikel » Administration

Compliance und Software-Audits


Software-Audits könnten überflüssig sein - Denn: Software kann "compliance-aware" gemacht werden
Software-Auditing gilt ganz nüchtern als das, was es ist: ein Beziehungskiller


Von Michael Costa (*)

(25.11.11) - Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

In letzter Zeit scheinen sich Nachrichten über lizenzrechtliche Verstöße durch Unternehmen zu häufen. Aber diese Meldungen sind nur die Spitze des Eisbergs. Selbst Unternehmen, die sich an die Richtlinien der Hersteller halten, machen unangenehme Erfahrungen mit Software-Audits. Und leider nimmt der Trend zu Audits sogar deutlich zu, je mehr innovative Lizenzmodelle und effiziente IT-Infrastrukturen auf den Markt drängen.

Es gibt zahlreiche Lizenz- und Computing-Modelle, wie beispielsweise ohne oder mit Laufzeitbeschränkung, Abo-Verfahren, Nutzungsabrechnung, Peak-/Burst-Modelle, Pay-per-Use-Modelle, Cloud Computing, Virtualisierung, X-as-a-Service und eine Vielzahl weiterer neuer Wege zur Messung der Lizenznutzung. Sie bieten Anbietern und Endkunden gleichermaßen handfeste Vorteile, wenn es um Flexibilität, Zugriff und Effizienz geht. Die Kehrseite ist allerdings eine Zunahme der Audit-Aktivitäten. Vermutlich wird sich die Situation noch verschlechtern, je stärker Softwareanbieter versuchen, ihre Umsatzerlöse zu optimieren und je komplizierter die Compliance-Programme für Endkunden werden.

Die Ironie besteht darin, dass Audits für die meisten Softwareanbieter oder Endkunden gar nicht nötig sind. Denn Software kann "compliance-aware" gemacht werden. Software lässt sich so konzipieren, dass sie selbsttätig erkennt und handelt, wenn sie nicht konformitätsgetreu eingesetzt wird. Software kann sich also selbst überprüfen. Das Gleiche gilt für Hardware, in die Software integriert ist oder die ans Netzwerk angeschlossen ist.

Tatsächlich wird dies im CAD-Bereich und in anderen Marktsegmenten für technische Software und Hardware seit über 20 Jahren praktiziert, womit Audits nahezu völlig wegfallen. Diese Vorgehensweise wird als elektronisches Lizenzmanagement, Compliance-Management oder elektronische Lizenzierung bezeichnet. Die Basisfunktionalität ist stets gleich: Die Software speichert die Nutzungsrechte, misst und verfolgt die tatsächliche Nutzung, vergleicht Nutzungsrechte mit der tatsächlichen Nutzung und reagiert nach den Vorgaben des Softwareanbieters. Softwareanbieter können die Grundfunktionalität entweder selbst entwickeln oder sie kaufen stabile Lizenzmanagementsysteme von kommerziellen Anbietern ein und integrieren diese. Angesichts dieser Möglichkeiten stellt sich die Frage, warum die allermeisten Softwareanbieter diese Grundfunktionalität nicht zur Verfügung stellen und warum sie von den Endkunden nicht verlangt wird, wie das bei anderen Funktionen durchaus der Fall ist.

Es lohnt sich, dieser Frage nachzugehen. Einige Anbieter finden offenbar regelrecht Gefallen daran, ihre Kunden einem Audit zu unterziehen. Andere Anbieter scheinen ihren Kunden den Eindruck vermitteln zu wollen, dass Auditing zu ihren Kernkompetenzen gehört. Dabei betreiben sie Lizenzmodelle, die eine unbeabsichtigte Überbeanspruchung praktisch fördern.

Die meisten Anbieter sehen Auditing allerdings ganz nüchtern als das, was es ist: ein Beziehungskiller. Manche der eben genannten Anbieter betrachten sogar das elektronische Lizenzmanagement (ELM) als Störfaktor für ihre Kunden. Sie führen auch dann kein Audit durch, wenn sie deutliche Hinweise darauf haben, dass der Kunde die Lizenzbestimmungen überstrapaziert. Dabei können Softwareanbieter ELM ganz nach ihren Vorstellungen implementieren: von der reinen Informationserfassung in einer Log-Datei bis hin zur Sperrung bei Überbeanspruchung. Andere Anbieter setzen Dashboards ein, wie man sie aus dem IT-Asset-Management kennt, um ihre Angebote ernsthaft abzugrenzen. Es ist schwer zu verstehen, warum die meisten Softwareanbieter ihre Compliance-Mechanismen nicht vereinfachen.

Die überwiegende Mehrzahl der Endkunden will compliant sein und unternimmt alles, um es auch zu bleiben. Ein allgemeines Problem ist, dass viele Unternehmen mit den wachsenden Komplexitäten, die sich durch Innovationen bei den Lizenzmodellen und IT-Infrastrukturen ergeben, kaum Schritt halten können. Software und "intelligente Hardware" kann und muss Lizenznutzungsrechte beinhalten und verwalten und somit die Kunden dabei unterstützen, die Compliance-Auflagen im täglichen Betrieb einzuhalten. Softwareanbieter sollten diesen Aspekt der Kundenerfahrung unbedingt verbessern. Und die Kunden sollten sicherstellen, dass diese Grundfunktion in jedem erworbenen Softwareprodukt enthalten ist. Compliance-Audits können und sollten überflüssig werden.

Der Autor

Michael Costa
Michael Costa Audits für die meisten Softwareanbieter oder Endkunden gar nicht nötig, Bild: Flexera Software

(*) Michael Costa
Michael Costa ist Principal Solution Architect bei Flexera Software. Sein Fokus liegt darauf, den Kunden zu helfen, ihre kurzfristigen und strategischen Geschäftsziele zu verbessern, indem innovative Preis- und Lizenz-Modelle durch elektronische Software für Lizenzierung und Berechtigungsmanagement. Michael Costa hat viele Jahre Erfahrung im Definieren, Implementieren und Optimieren von Software Preis- und Lizenz-Modellen. Dies beinhaltet notwendiges Wissen um Kunden- und Verkäufer-Prozesse und die Infrastruktur, um maßgebliche und fortlaufende Geschäftsziele zu erreichen.
(Flexera Software: ra)

Flexera Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen