Große Unternehmen nutzen auf tausenden von PCs, Notebooks und Terminals Software unterschiedlicher Hersteller mit verschiedenartigen Lizenzmodellen. Täglich, wenn nicht stündlich, wird irgendwo im Konzern auf einem Server oder PC eine Software neu installiert. Da stellt sich die Frage, ob für jede genutzte Software die korrekte Lizenzierung nachgewiesen werden kann. Der CIO ist in die operativen Abläufe nicht involviert, er kann sie auch nicht persönlich überwachen. Trotzdem trägt er letztendlich die Verantwortung. Wie lässt sich dieses Dilemma lösen?
Eher 400 Meter Hürden als Sprint
Ein ausreichendes Lizenz-Management lässt sich nicht im 100-Meter-Sprint umsetzen. Es gilt dabei vielmehr, eine Reihe von Hürden zu überspringen.
Hürde 1: Die RoI-Frage
Ein Lizenzverstoß birgt rechtliche, finanzielle und operative Risiken bis hin zum Ausfall geschäftskritischer Systeme. Diese Risiken sind in der Regel nicht tragbar, lassen sich aber durch ein funktionierendes Lizenz-Management vermeiden. Deshalb stellt sich die Frage nach dem Return on Investment hier nicht.
Hürde 2: Organisatorische Widerstände
Immer wieder zu hören sind Vorbehalte gegen das Lizenz-Management: Es sei ein administrativer Prozess, der operative IT-Prozesse wie die Softwareverteilung so verlangsame, dass die Geschäftsprozesse beeinträchtigt würden. Diese Vorbehalte müssen und können - beispielsweise mit den oben beschriebenen Argumenten - ausgeräumt werden.
Hürde 3: Fehlendes Verständnis
Oft sehen die Fachbereiche nicht ein, warum zu viele unterschiedliche Softwareprodukte oder eine dezentrale Beschaffung von verschiedenen Händlern Prozesskosten verursacht. Wer die Kostenvorteile des Lizenz-Managements verdeutlichen will, muss dieses Verständnis vermitteln.
www.computerwoche.de/
573465: Lizenz-Management schützt vor Strafe;
567369: One Size doen’t fit all
1215452: Vorsicht - die Auditoren kommen.
Hier lesen Sie …
• was das Urheberrecht zu Softwarelizenzen sagt;
• wofür CIOs verantwortlich gemacht werden können;
• welchen Aufwand man treiben muss, um die Gesetze einzuhalten.
Das Urheberrecht schützt auch Software
Software wird vom Urheberrecht geschützt. Seit 1993 ist dort auch der Schutz geistigen Eigentums für Software geregelt: "Computerprogramme werden geschützt, wenn sie individuelle Werke in dem Sinne darstellen, dass sie das Ergebnis der eigenen geistigen Schöpfung ihres Urhebers sind. Zur Bestimmung der Schutzfähigkeit sind keine anderen Kriterien, wie qualitative oder ästhetische Gesichtspunkte, anzuwenden." (Paragraph 69a, Absatz 3 UrhG).
Mit dem Kauf von Softwarelizenzen erwirbt das Unternehmen also lediglich ein - meist unbefristetes - Recht zur Nutzung einer Software. Vervielfältigung, Veränderung oder Verbreitung sind untersagt; gestattet ist nur das Anfertigen einer Sicherungskopie. Detaillierte Rechte und Pflichten des Käufers werden von den Softwareherstellern in den Lizenzbestimmungen geregelt.
Schlimmstenfalls droht das Gefängnis
Für Verstöße gegen dieses Recht kann das Unternehmen im Rahmen der Organhaftung oder des Organisationsverschuldens zur Rechenschaft gezogen werden. Es haften aber auch die am Urheberrechtsverstoß beteiligten Personen sowie Geschäftsführer und Vorstände, sofern sie selbst eine Verantwortung für den Rechtsverstoß trifft. Die rechtlichen Folgen können erheblich sein: In schweren Fällen drohen nicht nur Geld-, sondern Freiheitsstrafen von bis zu fünf Jahren.
Konsequenzen hat das im Ernstfall auch für den IT-Betrieb. Es drohen:
• unangekündigte Durchsuchungen der Geschäftsräume;
• Sachverständige, die über Tage hinweg die installierte Software auf Computern mit den vorhandenen Lizenznachweisen vergleichen und jede Abweichung in einem Gutachten dokumentieren, das als Beweismittel genutzt werden kann;
• Unterlassungsansprüche, die verhindern, dass die Software weiterhin genutzt wird;
• Schadensersatzansprüche - die Lizenzgebühren sind rückwirkend zu entrichten;
• außerordentliche Kündigung bestehender Verträge;
• Beschlagnahme von Geräten, auf denen die illegale Software installiert war.
Hinzu kommen indirekte Folgen wie Anwalts- und Gerichtskosten sowie möglicher Imageschaden für das Unternehmen.
Der Anteil illegaler Software in Deutschland ist im vergangenen Jahr von 29 auf 27 Prozent zurückgegangen. Doch der jährliche Umsatzverlust für die Softwareindustrie entspricht immer noch einem Wert von 1,5 Milliarden Euro, so die Ende Mai veröffentlichte "Pirateriestudie" der Business Software Alliance (BSA), eines internationalen Zusammenschlusses von Software- und Hardwareherstellern. Zudem ist die europäische beziehungsweise globale Entwicklung weniger positiv als die deutsche; die BSA geht von einem weltweiten Umsatzschaden um die 34,3 Milliarden Dollar aus. Die Branche wird daher auch in Zukunft ihre Interessen wahrnehmen.
Zehn Tipps für das Lizenz-Management
Der CIO hat sich um andere Aufgaben zu kümmern als darum, tagtäglich die korrekte Lizenzierung der im Unternehmen genutzten Software sicherzustellen. Er muss aber sehr wohl die Rahmenbedingungen schaffen, mit deren Hilfe er seiner Verantwortung effizient nachkommen kann. Zu diesem Zweck ist es notwendig, ein Lizenz-Management zu etablieren. Folgende Schritte können dabei helfen:
Verantwortlichkeiten zuweisen:
Wenn niemand die Verantwortung übernimmt, bleibt der CIO verantwortlich - ohne sich jedoch selbst des Themas annehmen zu können, weil er dafür keine Zeit hat. Also passiert gar nichts.
Know-how aufbauen:
Die Lizenzmodelle der Hersteller sind komplex und ständigen Veränderungen unterworfen. Distributoren bieten mittleren und großen Unternehmen hier teilweise sinnvolle Unterstützung. Sie brauchen aber einen Ansprechpartner, der die Interessen des Unternehmens wahrnimmt und dessen Anforderungen genau kennt.
Richtlinien formulieren und umsetzen:
Nicht jedes Verhalten der Mitarbeiter kann oder soll durch technische Maßnahmen eingeschränkt oder überwacht werden. Doch das Management sollte Richtlinien zum Umgang mit Software und Lizenzen erstellen und verbreiten. So kommt es seiner Verantwortung nach und wirkt Klagen wegen Organisationsverschulden entgegen. Hier ist es wichtig, den Gesamtprozess im Auge zu haben. Es muss sichergestellt sein, dass alle Mitarbeiter die Richtlinien kennen und formal akzeptieren. Das gilt auch für jeden neuen Mitarbeiter. Und es darf kein Zweifel daran bestehen, dass das Unternehmen diese Richtlinien als wichtig erachtet und die Einhaltung überprüft.
Konsequent in Prozessen denken:
Damit das Lizenz-Management im Unternehmen greift, muss es alle Elemente eines Prozesses enthalten. Dazu gehören nicht nur Input, Output und die Prozessschritte. Vorhanden sein müssen auch die notwendigen Ressourcen sowie die Rollen, die die Zuständigkeiten definieren, und ein Prozesseigner, der mittels Kennzahlen das Erreichen von Prozesszielen und Prozessqualität prüfen und steuern kann.
Governance und interne Audits etablieren:
Die operative Verantwortung für das Lizenz-Management sollte in größeren Unternehmen nicht beim CIO, sondern bei einem dedizierten Lizenz-Manager liegen. Hier verlangt die Governance nach regelmäßigen und aussagefähigen Berichten; zudem ist mindestens alle zwei Jahre ein internes (Teil-)Audit notwendig.
IT-Asset-Management als ein Muss begreifen:
Ein Großteil der bestehenden Lizenzmodelle basiert auf der Zahl der Geräte, auf denen eine Software installiert ist. Deshalb muss das Lizenz-Management die Anzahl und den Status aller Server und PCs während ihres gesamten Lebenszyklus kennen. Sonst werden leicht zu wenige, oft genug aber auch zu viele Lizenzen beschafft.
Software standardisieren und zentral beschaffen:
Meistens ist es besser, ein Problem gar nicht erst entstehen zu lassen, als es aufwändig zu lösen. Deshalb sollte spätestens mit dem Aufbau des Lizenz-Managements auch geprüft werden, ob die eingesetzte Software unternehmensweit standardisiert und der Einkaufsprozess zentralisiert ist. Eine der wesentlichen Herausforderungen im Lizenz-Management besteht darin, die Vertragsinformationen, die Beschaffungsvorgänge und die interne Verwendung der Software miteinander abzugleichen. Um sie zu meistern, sollte die zentrale Erfassung der Daten bereits mit deren Entstehung einsetzen, also bei der Beschaffung. Dazu müssen aber alle Einkäufer über gemeinsame Prozesse und Daten verfügen.
Lizenznachweise archivieren:
Im Fall eines Lizenz-Audits wird überprüft, ob das Unternehmen für alle eingesetzten Softwarekopien die Lizenzierung nachweisen kann. Was als Lizenznachweis gilt, variiert dabei von Hersteller zu Hersteller und von Lizenzmodell zu Lizenzmodell. Grundsätzlich reicht es nicht aus, durch Rechnungen zu belegen, dass genügend Lizenzen gekauft wurden; sie könnten ja theoretisch auch in den Besitz ausgegründeter Firmenteile übergegangen sein. Die korrekte Lizenzierung lässt sich nur unter Beweis stellen, wenn bei jedem Kauf alle Lizenznachweise archiviert werden.
Eventuell externe Ressourcen nutzen:
Der Aufbau eines funktionie-renden Lizenz-Managements ist aufwändiger als der spätere Regelbetrieb. Deshalb sollte der CIO auch prüfen, ob er nicht vielleicht einen auf Lizenz-Management spezialisierten Dienstleister mit dieser Aufgabe betrauen kann, bevor er sich die Mühe macht, eigene Prozesse aufzubauen.
Für eine Ist-Analyse sorgen:
Entgegen dem ersten Impuls sollten die Lizenz-Management-Prozesse und die Erfordernisse der IT-Governance Vorrang haben, also zuerst umgesetzt werden. Die Ist-Analyse der beschafften Lizenzen, der vorhandenen Lizenznachweise sowie der tatsächlich installierten und genutzten Software ist notwendig. Sie sollte aber keineswegs am Anfang der Bemühungen stehen - es sei denn, es gibt konkrete Hinweise darauf, dass die derzeitige Lizenzierungssituation bei einer Überprüfung Probleme aufwerfen würde, so dass rasch gehandelt werden muss.
Der Weg zu einem effizienten Lizenz-Management ist steinig. Aber die Mühe lohnt sich in vielen Fällen. Das Lizenz-Management macht sich oft schon von allein bezahlt - durch die Entdeckung vorhandener sowie die Unterbindung weiterer Über- und Doppellizenzierungen. (qua) u