SAM, die Cloud und das Ende der Piraterie

Autor/Redakteur: Georg Herrnleben, Senior Director, Compliance and External Affairs der BSA | The Software Alliance/gg

Cloud Computing hätte der Anfang vom Ende aller Lizenzschwierigkeiten sein sollen: bedarfsgerechter Remote-Zugriff auf Ressourcen, eine entsprechende Rechnung, fertig. Keine Verwirrung, keine Piraterie, keine rechtlichen Probleme. Doch so einfach ist es nicht. Sowohl technisch wie organisatorisch drohen lizenzrechtliche Fallstricke, Doch für das erprobte Gegenmittel Software Asset Management (SAM) gibt es kaum praktische Richtlinien bezüglich der Cloud. Dies erschwert die Einführung geeigneter Prozesse der Lizenzverwaltung. Hinzu kommt, dass eines der Hauptargumente für den Cloud-Einsatz die unkomplizierte und schnelle Implementierung ist. Es besteht die Gefahr, dass IT-Verantwortliche der Geschwindigkeit zuliebe auf geeignetes SAM verzichten oder es auf die lange Bank schieben. Auch bewusster Lizenzbetrug ist möglich.

Dabei ist SAM nicht nur ein Gegenmittel gegen böse Audit-Überraschungen, sondern bringt enorme Vorteile: Kosten- und Risikominderung, Steigerung der betrieblichen Effizienz und vieles mehr. SAM ist heute integraler Bestandteil jedes vernünftigen Betriebsmanagements.

SAM in der Cloud umfasst auch die Infrastruktur

Cloud Computing schließt die Notwendigkeit von SAM nicht aus. Eine Cloud-Umgebung ist lediglich eine andere Infrastruktur, in der SAM-Prozesse effektiv vonstattengehen müssen. Traditionelles SAM befasst sich lediglich mit dem Lebenszyklusmanagement des zugrundeliegenden Software-Bestands. In der Cloud erweitert sich SAM um die Cloud-Services selbst, die zu einer Art Bestand werden, der verwaltet werden will.

Die Prozesse dazu müssen auch der Agilität und der Dezentralität der Cloud gerecht werden: Sie sollten so definiert sein, dass rasche Reaktionen möglich sind. Detaillierte, unternehmensweite Richtlinien für Verträge, Einsatz und Verwaltung können diesen Prozess unterstützen. Doch eine größere Herausforderung stellt die dezentrale Nutzung der neuen Technologie dar: Cloud-Services, besonders SaaS, sind einfach zu implementieren und benötigen oft kein größeres IT-Wissen. Deshalb umgehen Angestellte die üblichen IT-Beschaffungsprozesse bei der Nutzung von Cloud-Diensten bisweilen. Cloud-Services werden üblicherweise als Betriebskosten veranschlagt und unterliegen deshalb häufig nicht den strengeren Anforderungen an Kapitalaufwendungen. Sie lassen sich oft direkt per Kreditkarte bezahlen, ohne durch mehrere Freigabestufen zu gehen. Doch die IT-Abteilung, Beschaffungswesen und das SAM sind nicht ausreichend in den Vertragsabschluss involviert, wodurch Lizenzrisiken entstehen. Auch die Businessplanung wird aufs Spiel gesetzt: Ohne effektive Kontrolle sind auch Szenarien denkbar, in denen Geschäftsprozesse von einer nicht genehmigten Cloud-Lösung abhängig werden. Schließlich hat die dezentrale Cloud-Beschaffung dramatische Auswirkungen auch auf die Finanztransparenz. Ohne IT-Kontrolle können derartige Kosten oft nicht einmal final beziffert, geschweige denn gesteuert oder korrekt verbucht werden. Damit wird auch die Ermittlung des TCO (Total Cost of Ownership) schwierig: Vereinbarungen, die simpel erscheinen, können eine Vielzahl direkter, indirekter und versteckter Kosten mit sich bringen, etwa für die Cloud-Migration, -Integration, die Notwendigkeit eines Premium-Supportlevels, zusätzlichen Storage-Bedarf, steigende Wartungskosten und so weiter.

Software as a Service (SaaS) – Überlegungen aus SAM-Sicht

Software as a Service ist ein Abonnement-Service, auf den meist über den Webbrowser zugegriffen wird. Bekannte Beispiele sind etwa Salesforce.com, Microsoft Office 365, Google Apps oder NetSuite. Oft wird angenommen, dass Lizenzprobleme mit SaaS nicht entstehen können. Das ist aber ein Fehlschluss. Tatsächlich gilt es, einige Punkte zu beachten:

• IP-Verstöße: Der SaaS-Anbieter kann gegen das Urheberrecht eines Dritten verstoßen. Existiert keine vertragliche Vereinbarung, die den Cloud Service Provider (CSP) verpflichtet, sämtliche Haftungsrisiken auf sich zu nehmen, können diese auch den Kunden als primären Nutznießer treffen.
• Clientseitige Software-Komponenten: Clientseitige Code-Installation von SaaS-Lösungen in Form eines Browser-Plugins, Applets, Agents oder sogar einer vollständigen Suite muss vollständig lizenziert sein, was der Kunde bei einem Audit auch nachweisen muss.
• SaaS kann durch in seiner Nutzung vertraglich beschränkt sein, etwa in Bezug auf die geographische Nutzung, das Teilen von Accounts, verschiedene Nutzerrollen wie Admins oder Anwender oder die Nutzung durch Dritte wie Partner und Dienstleister.

SAM, Virtualisierung und Private Cloud

Die neuen Realitäten der Virtualisierung ermöglichen asynchrone Strukturen, die mehrere Hard- und Software-Elemente verknüpfen. Sie komplizieren SAM zusätzlich: So verbindet in einem typischen Anwendungsbeispiel eine Virtualisierungs-Ebene mehrere Hardware-Komponenten auf der einen und mehrere virtuelle Rechner (Betriebssysteme) auf der anderen Seite. Es ist unmöglich, einen einzelnen Rechner einer bestimmten Hardware zuzuordnen.

Software-Hersteller reagieren auf verschiedene Weise darauf. Ein Ansatz ist die Abkehr von Hardware-basierter Lizenzierung hin zu Anwender-basierten, Nutzungs-basierten (etwa der Zahl der Rechenoperationen) oder Ergebnis-basierten Modellen (zum Beispiel dem erzielten Umsatz).

Für den Endkunden beeinflusst die Virtualisierung das SAM erheblich. SAM-Programme müssen alle virtualisierten Elemente umfassen und die vollständigen Informationen zu den Software-Lizenzen haben, die von der Virtualisierung betroffen sind. SAM-Programme müssen von den Verantwortlichen gemäß der Entwicklung der Lizenzregeln der Software-Hersteller regelmäßig angepasst werden.