Software Supply Chain

Software-Lieferkette muss transparenter werden



Anton Hofmeier ist Chief Sales Officer bei thikproject. Davor verantwortete er als Regional Vice President die DACH-Region bei Flexera. Mit mehr als 20 Jahren Erfahrung in der IT-Branche betreute er dort mittelständische und große Kunden.
In den Augen von Compliance-Beauftragten und Rechtsberatern ist Software oft nicht mehr als ein Kosten- und Risikofaktor. Nicht ganz zu Unrecht: Das Lizenzmanagement ist komplex, die Nutzung schwer zu messen und die Software Supply Chain kaum rückverfolgbar?

Welche Lücken in der Software Supply Chain klaffen, zeigt ein Vergleich mit anderen Industrien. In der Automobilbranche beispielweise wird die gesamte Wertschöpfungskette genauestens überwacht. Hersteller können genau zurückverfolgen, wo, wie und von wem jedes einzelne verbaute Teil produziert wurde. Vom Zulieferer über deren Unterlieferanten bis hin zu den Produzenten der verarbeiteten Rohstoffe liegt eine genaue Dokumentation vor. In der Elektronikindustrie hat sich die Bill of Materials (BOM) bereits seit Jahrzehnten etabliert und trägt industrieübergreifend dazu bei, die Lieferkette transparenter zu machen und damit ein hohes Maß an Sicherheit und Qualität zu gewährleisten.

Die Lieferkette in der Softwareindustrie ist komplex organisiert und wenig transparent.
Die Lieferkette in der Softwareindustrie ist komplex organisiert und wenig transparent.
Foto: Alexlukin - shutterstock.com

In der Softwareindustrie sucht man eine solche durchgehend dokumentierte Lieferkette jedoch vergeblich. Vielmehr finden sich dort große Lücken, die es schwer machen, Sicherheitsrisiken zu prüfen und Lizenzbestimmungen einzuhalten. Die fehlende Transparenz verursacht jährlich Kosten in Milliardenhöhe - zum Beispiel in Form von Softwarefolgekosten (True Ups) im Rahmen von Audits oder bei schweren Datenschutzverletzungen durch Exploits einer Sicherheitslücke in der Software.

Tipps, wie sie mit einem Software-Audit umgehen sollten, finden Sie hier:

10 Wege aus der IT-Audit-Hölle

So begegnen Unternehmen dem Schreckgespenst Audit

Kostenfalle Software-Audit - so können Sie sich wehren!

Intelligente Vermessung von Softwarenutzung

Die Gründe für die Dysfunktionalität und Ineffizienz der Software Supply Chain sind unterschiedlich. Anders als Autoteile oder elektronische Komponenten ist das Produkt Software nur schwer greifbar. Das erschwert die Messung der tatsächlichen Nutzung erheblich. Dennoch gibt es auch hier Beispiele, die zeigen, wie es funktionieren könnte: Elektrizitätsunternehmen erfassen seit Jahren über Stromzähler den gelieferten bzw. verbrauchten Strom innerhalb eines bestimmten Zeitraums und können so den Verbrauch jedes Haushalts genau messen. Ein vergleichbares Messinstrument wäre auch für die Softwarenutzung wünschenswert.

Software-Abos bei SaaS-Anwendungen sowie Lizenzmodelle, bei denen sich die Bezahlung an der über die jeweilige Software abgewickelten Transaktionen oder der Nutzung orientiert, sind erste Schritte in diese Richtung und helfen, unnötige Ausgaben zu vermeiden. Dabei werden Nutzungsdaten gesammelt, die einen transparenten Überblick und damit ein optimales Kosten-Nutzen-Verhältnis ermöglichen. Ob langwierige Audits damit bald der Vergangenheit angehören, ist zwar fraglich. Die potenziellen finanziellen und zeitlichen Einsparungen könnten sich jedoch spürbar auf die Branche auswirken sowie Compliance und Budgetierung um ein Vielfaches vereinfachen.

Komplexität vs. Transparenz

Eine weitere Herausforderung: Software ist komplex. Schon die Softwareentwicklung verläuft in aller Regel alles andere als geradlinig. Anbieter können eine Software völlig neu entwickeln, gegen eine Gebühr Code-Bestandteile von Drittanbietern einbinden oder mehrere Open-Source-Komponenten bündeln. Das fertige Produkt wird dann über unterschiedliche Lizenzmodelle - von Node Locked über Concurrent Users bis zu Pay per Use Modellen - dem Kunden zur Verfügung gestellt und kommt in verschiedenen Umgebungen (zum Beispiel Desktop, Rechenzentrum, Cloud, virtualisiert) zum Einsatz.

Dabei behalten sich Anbieter das Recht vor, über Audits und Zugriffsverweigerungen ihre Ansprüche und Nutzungsrechte weiter durchsetzen. Infolgedessen wissen sowohl Softwarelieferanten als auch -käufer oft nicht mehr, was tatsächlich gekauft, benutzt und geschuldet wird. Komplizierte Verträge werden aufgesetzt, es kommt zum Streit und in einigen Fällen sogar zum Prozess.

Ein bekanntes Beispiel ist der Fall SAP gegen Anheuser-Busch Inbev. Die Brauereigruppe soll von 2010 bis 2017 SAP-Software direkt und indirekt ohne gültige Lizenzierung genutzt haben. Nun fordert SAP Strafzahlung von über 600 Millionen US-Dollar - gemessen am jährlichen IT-Budget von Anheuser-Busch von 140 Millionen Dollar sicherlich keine Peanuts. Unabhängig vom Urteil wirft der Fall jedoch Fragen auf: Wie konnte eine Unterlizenzierung - die rechtlich gesehen einem Lizenzdiebstahl gleich kommt - so flächendeckend auftreten, dass ein Schaden von mehr als einer halben Milliarde Dollar entsteht?

Den Durchblick im SAP-Lizenzdschungel finden Sie in unserem kostenlosen Insider-PDF

Supply Chain für Software

Es muss einen besseren Weg geben, Differenzen zwischen Softwareanbietern und -käufern abzubauen sowie Kooperation und Effizienz über den Produktlebenszyklus einer Anwendung sicherzustellen. Antworten zur Umsetzung einer durchgehenden und lückenlosen Software Supply Chain liegen in der Branche selbst und sind von Hersteller- wie Kundenseite zu leisten.

Dazu zählen eine höhere Transparenz der IT-Ressourcen, eine intelligente Vermessung des Nutzerverhaltens sowie eine genaue Dokumentation innerhalb der Softwareentwicklung. Ähnlich wie in der Fertigung lässt sich beispielsweise auch für Software eine BOM erstellen, die unter anderem detailliert festhält, welche Open Source Software in welchen Produkten genutzt wird. Die Stückliste hilft lizenzrechtliche Verpflichtungen einzuhalten, OSS-Richtlinien anzupassen und auf bekannte Schwachstellen umgehend zu reagieren. In einer zunehmend softwaregetriebenen Welt ist eine solche effiziente und sichere Supply Chain für Software also nicht nur möglich, sondern auch dringend notwendig.