Tipps für den Fall des Falles

Software-Audits sind kein Grund zur Panik

Susanne Franke ist freie Fachjournalistin in München.
Wer ein paar Regeln beherzigt, kann die Compliance-Prüfung gelassen angehen.

Software-Compliance-Audits bedeuten für die betroffenen Unternehmen immer Unannehmlichkeiten. Insbesondere stehen sie für Zeit- und Geldaufwand. Softwareanbieter hingegen nutzen die Gunst der Stunde zur Umsatzverbesserung.

Infolge der Virtualisierung von IT-Umgebungen und der vermehrten Nutzung von Cloud-Lösungen, bedingt aber auch durch den "Bring-your-own"-Trend, setzen Unternehmen und Organisationen Software oft anders ein als ursprünglich gedacht. Daraus resultiert ein veränderter Lizenzbedarf. Das Risiko, gegen Lizenzbedingungen zu verstoßen, steigt. Das wissen Softwareanbieter und lassen den Einsatz der lizenzierten Software gezielt überprüfen. Es ist ein offenes Geheimnis, dass die großen Softwarehersteller einen Großteil ihres Lizenzumsatzes auch solchen Audit-Einkünften zu verdanken haben.

Das Ziel ist die Einigung

Die eigentliche Überprüfung wird einer Beratungsfirma, dem Auditor, übertragen. Der fordert von den Kunden, sprich: Vertragspartnern, zahlreiche Informationen und Einblicke in ihre Systeme ein.

Abweichungen zwischen den Lizenzdaten beider Parteien sind quasi unvermeidlich. Das liegt nicht nur an der Interpretierbarkeit der Lizenzbedingungen, sondern auch daran, dass die Hersteller aufgrund von Umstrukturierungen, Zukäufen oder Zusammenschlüssen häufig nur unvollständige Informationen zum Lizenzbestand der Kunden haben. Die Herausforderung bei einem Audit liegt deshalb darin, eine zufriedenstellende Einigung mit dem Prüfer zu erzielen.

Das beste Audit ist jenes, das sich verhindern lässt.
Das beste Audit ist jenes, das sich verhindern lässt.
Foto: apops, Fotolia.com

Auf Augenhöhe mit dem Anbieter

Der Einsatz eines Lizenz-Management-Systems (LMS) bietet Unternehmen die Möglichkeit, vorhandene Lizenzen und zugrunde liegende Nutzungsrechte zentral zu verwalten. So können sie im Falle eines Software-Audits auf Augenhöhe mit dem Anbieter verhandeln.

Darüber hinaus bietet jede Phase eines Audits Möglichkeiten, um die internen Aufwände und externen Kosten möglichst gering halten zu können. Wie aber sehen erfolgreiche Verhandlungsstrategien aus?

Ein offizielles Schreiben des Softwareherstellers kündigt dem Kunden die Prüfung an. Darin werden der Auditor, Start- und Enddatum sowie der ungefähre Umfang des Audits genannt. Das betroffene Unternehmen sollte in dieser Situation Ruhe bewahren und in keinem Fall kurzfristig weitere Lizenzen kaufen. Diese wären für das Audit-Ergebnis nicht relevant. Auch von Änderungen an den Systeminstallationen wie einer Deinstallation von Software ist dringend abzuraten. Der Auditor könnte ein solches Vorgehen erkennen, was juristische Konsequenzen zur Folge hätte.

Das beste Audit ist jenes, das sich verhindern lässt. Daher sollte das Unternehmen erst einmal klären, ob der benannte Auditor für die Prüfung tatsächlich geeignet ist. Ein Angriffspunkt kann eine zu enge Verbindung zum Softwarehersteller sein, wenn beispielsweise der Auditor dort eine Funktion als Wirtschaftsprüfer bekleidet.

Auch kommt es vor, dass für ein Audit keine rechtliche Grundlage gegeben ist. Das ist zum Beispiel der Fall, wenn der entsprechende Passus in einem der Verträge fehlt.

Rahmenbedingungen selbst setzen

Ist das Audit nicht zu vermeiden, so gilt es, die Rahmenbedingungen zu setzen: Zunächst sollte das Unternehmen oder die Organisation einen einzigen Sprachkanal zum Prüfer festlegen und keinesfalls Vorabinformationen an den Auditor oder Hersteller weitergeben.

Vom Hersteller darf ruhig eine klare Aussage zum Umfang des Audits eingefordert werden: Welche Produkte und Systemumgebungen in welchem (Teil-)Unternehmen sind konkret betroffen? Handelt es sich beim auditierten Unternehmen um einen globalen Konzern mit zahlreichen legalen Einheiten und Gesellschaften, kann die Sondierungsphase mehrere Monate in Anspruch nehmen. Und erst, wenn darüber Klarheit herrscht, wer eigentlich der Kunde ist, lässt sich das Startdatum festlegen.

Dieser Zeitraum gibt dem Unternehmen die notwendige Zeit, um sich auf das Audit vorzubereiten. Der wichtigste Vorbereitungsschritt ist der Aufbau eines internen Audit-Teams: Es empfiehlt sich, zusätzlich zu IT-Mitarbeitern auch Vertreter der Rechtsabteilung und des Einkaufs einzubinden. Zudem sind Lizenzexperten (lokale Lizenz-Manager) gefragt, denn die Lizenzbedingungen verschiedener Hersteller sind so komplex, dass es für einen Mitarbeiter allein schier unmöglich ist, den Überblick zu behalten.

Ein LMS, so vorhanden, bietet hier ebenfalls Hilfestellung. In einem solchen System lassen sich die jetzt benötigten Prozesse, Rollen und Verantwortlichkeiten abbilden.

Das eigene Team übernimmt

Sobald der Umfang des Audits feststeht, definiert das Team, auf welche Informatio-nen der Auditor zugreifen und welche er weiterleiten darf. Es ist notwendig, diese Vereinbarung auf der Grundlage eines Nondisclosure-Agreements vertraglich zu regeln. Hier wird auch der Zeitpunkt genannt, zu dem die Daten an den Auftraggeber übergeben werden dürfen.

"Es ist unbedingt empfehlenswert, am Ende der Prüfung lediglich die Compliance-Bilanz ohne die zugrunde liegenden Rohdaten an den Auftraggeber zu übergeben", ergänzt Christoph Beaupoil, President der auf Lizenz-Management spezialisierten Aspera Technologies.

Softwarehersteller und Auditor sind daran interessiert, einen möglichst weitreichenden Zugriff auf die Daten des Kundenunternehmens zu erhalten. In der Praxis bieten sie daher "Unterstützung" in Form von Skripten an. Diese scannen alle Quellen, aus denen der Auditor Informationen ziehen möchte. Diese "Workbooks" fordern tiefe Einblicke in die Konfigurationen der Systeme. Ein Unternehmen ohne eigene Informationsquellen ist auf derartige Informationsquellen des Auditors angewiesen.

Eine eigene Lizenzbilanz erstellen

Ein LMS ermöglicht es, solche Informationen über definierte Prozesse selbst zu gewinnen. Etablierte Workflows stellen verlässliche und revisionssichere Daten hinsichtlich Wartungsverlängerungen, Upgrades und Erneuerungen zur Verfügung und erzeugen eine eigene Lizenzbilanz. Das Unternehmen kann in diesem Fall den Zugriff durch externe Tools oder Skripte ablehnen. Damit vermeidet es das Risiko, dass die Auditor-Workbooks Informationen sammeln, die den Hersteller nichts angehen, zum Beispiel Informationen über eingesetzte Konkurrenzprodukte.

Der Auditor ist befugt, die Plausibilität der Daten durch Stichproben zu überprüfen. Für Unternehmen, die kein LMS einsetzen, empfiehlt es sich deshalb, Berechtigungen und Einkaufsdaten zu sammeln.

Was wird wirklich eingesetzt?

Ein kritischer Aspekt des Datensammelns betrifft den tatsächlichen Einsatz der Lizenzen. Gerade in größeren Unternehmen mit komplexen IT-Architekturen macht sich bemerkbar, dass die Metriken kompliziert und nicht immer nach demselben Schema zu interpretieren sind. Auditoren könnten infolge der vom Hersteller gelieferten, unvollständigen Informationen den Lizenzbedarf zu hoch ausweisen. Ein Katalog mit Informationen zu Lizenzbedingungen und Regeln für die Berechnung der notwendigen Lizenzen ermöglicht es, den Bedarf für jedes Softwareprodukt anhand der Artikelnummer (SKU-Nummer) zu bestimmen.

Während der Prüfung sind immer wieder Daten nachzuliefern, die der Auditor verarbeitet und zur Abnahme zurückgibt. Der Kunde sollte diese Zwischenergebnisse nicht immer ohne Diskussion akzeptieren, so die Erfahrungen der Aspera GmbH. "Quality Gates" hätten sich als sinnvoll erwiesen: Eine neue Phase im Audit beginnt hierbei erst, wenn beide Seiten das Ergebnis der vorangegangenen akzeptiert haben.

Am Ende des Audits steht die Compliance-Bilanz, die der Auditor meist manuell erstellt. Sie beruht auf den vom Hersteller gelieferten Lizenzdaten und den Nutzungsdaten des Kunden - mit den Informationen, die er in der Sammelphase geliefert hat.

Kluge Kunden haben ein As im Ärmel. "Als Vorbereitung auf die abschließende Diskussion mit dem Auditor können sich Counter-Audits als nützlich erweisen", weiß Beaupoil. Dabei erstellt das Unternehmen eine eigene Lizenzbilanz und vergleicht sie mit der des Auditors. Die Schwellenwerte möglicher Differenzen sind zu klären, bevor der Kunde die Compliance-Bilanz anerkennt und unterschreibt. Und der Softwareanbieter erhält nur die endgültige Bilanz.

Lizenz-Management als Kreislauf

Bisweilen ergibt sich aufgrund von Compliance-Defiziten der Bedarf für weitere Lizenzen, die eventuell sogar rückwirkend erworben werden müssen. Jetzt sollte der Kunde mit dem Hersteller eine produktübergreifende Einigung anstreben, statt jede Software einzeln zu verhandeln.

Lizenz-Management ist immer als Kreislauf zu verstehen: Vereinbarungen als Ergebnis von Absprachen mit Softwareanbietern fließen in die Berechnung künftiger Compliance-Bilanzen ein. Dies betrifft auch vereinbarte Ausnahmeregeln, etwa bei der Metrikauswahl oder im Bundling. (qua)