Wege aus der Falle

Das kann den CIO hart treffen. Aber es gibt Möglichkeiten, sich davor zu schützen. Eine Maßnahme ist eine Haftpflichtversicherung für "Directors and Officers" (D&O). Sie muss für den CIO durch das ihn beschäftigende Unternehmen abgeschlossen werden. Diese Versicherung schützt den CIO im Falle eines zivilrechtlichen Anspruchs, für dessen Eintreten er entweder vom eigenen Unternehmen oder von dessen Eigentümer in Regress genommen wird.

Eine bessere, weil proaktive Strategie läst sich auf zwei Begriffe reduzieren, die der ITSM-Norm ISO/IEC 20000:2005 entnommen sind: Documents and Records! Nur durch lückenlose Dokumentation und prüfbare Belege lässt sich ein funktionierendes, das Organisationsverschulden ausschließendes Lizenz-Management-System nachweisen - gegenüber dem Lizenzgeber und eventuell gegenüber der Staatsanwaltschaft.

Die "Documents" enthalten Policies und konkrete Arbeitsanweisungen für den Umgang mit Softwarelizenzen. Damit weist der CIO nach, dass er die Verantwortlichkeit von den Anforderungs- über die Beschaffungs- bis zu den Asset-Management-Prozessen transparent gemacht und delegiert hat.

Die "Records" belegen, dass die mit der Softwarebeschaffung einhergehenden Prozesse sauber eingehalten wurden - hinsichtlich aller eingekauften Lizenzen mit den zugehörigen Verbrauchsnachweisen (Installationen oder erteilte Berechtigungen) und periodisch vorgenommenen Lizenzinventuren.