SAM, die Cloud und das Ende der Piraterie

SAM und Infrastructure/Platform as a Service

In Iaas- und PaaS-Cloud-Modellen stellt der CSP einen Teil der Software bereit, ein anderer Teil kommt vom Kunden selbst. Jeder ungenehmigte Übertrag von Softwarelizenzen in die Cloud kann für eine Organisation und eventuell auch für den CSP Schadensersatzforderungen zur Folge haben, vor allem wenn Beschränkungen nicht eingehalten werden, die den Übertrag von Lizenzen in die Cloud verbieten. Beispiele dafür sind:

• Räumliche Einschränkungen
• Einschränkungen der Rechtsform
• Einschränkungen von Geräten oder Plattformen

Die korrekte, vollständige und nachvollziehbare Messung von Hardware-bezogenen Metriken in der Cloud ist eine erhebliche Herausforderung für SAM, selbst wenn die Hardware in einer traditionellen Installation im kundeneigenen Rechenzentrum steht. Wenn hierzu IaaS/PaaS-spezifische Komplikationen kommen, wird die Aufgabe noch anspruchsvoller. Die meisten Lizenzverträge enthalten Klauseln zu Audits, mit denen der Software-Hersteller nach Ankündigung zum Zwecke der Prüfung der Lizenztreue Zugriff auf und Zugang zu den Rechnern des Kunden erhält.

Der böse Bruder der Unterlizenzierung: Lizenzbetrug

Wo eine wertvolle Ressource wie die Software gehandelt wird, da suchen sich skrupellose Zeitgenossen Wege, Kosten zu sparen, auch wenn es einen Rechtsbruch bedeutet. Die Cloud-Piraterie ist längst da. Es können bereits verschiedene Typen unterschieden werden:

• Cloud-Missbrauch durch Endanwender: Endkunden von Cloud-Diensten wie online Foto-, Büroanwendungen-, Maildiensten oder anderen Portalen geben ihre Zugangsdaten an Dritte weiter, die nicht offizieller Kunde sind. Gerade bei der Arbeit in kleinen Teams etwa in der Agenturenszene (die historisch zu den aktiveren Lizenzsündern zählt) ist es verlockend, teure Dienste nur für einen Account zu lizenzieren, aber für alle Mitarbeiter zur Verfügung zu stellen. Sogar technischer Missbrauch ist denkbar, zum Beispiel durch die Virtualisierung des Zugangs auf einem Server, der Anfragen mehrerer Einzelplatzrechner kombiniert und so den für einen einzelnen Nutzer gedachten Dienst mehreren zugänglich macht.
• “Schwarze” Private Cloud in Unternehmen: Viele Unternehmen setzen Private-Cloud-Lösungen ein, die WAN- oder VPN-basiert mehrere Server und Storage-Systeme in einer Cloud-Architektur vereinen. Rechtlich problematisch wird es, wenn die eingesetzte Software unlizenziert ist – die Unternehmen betreiben dann eine eigene “schwarze” Cloud mit illegalem Angebot. Beispiele solchen Missbrauches gab es schon vor der Cloud – so wurde ein deutsches Schulungsunternehmen 2012 dabei ertappt, einen einzelnen Lizenzserver in allen seinen Standorten quasi zu spiegeln, und damit ein Vielfaches der Software zu nutzen, für welche es Lizenzen erworben hatte.
• “Schwarze” Public Cloud durch Dritte: Einen Schritt weiter gehen Anbieter, die als Dienstleister Software auf ihren Cloud-Servern für Endkunden und Unternehmen anbieten, selber aber nicht (“dark cloud”) oder nicht ausreichend (“grey cloud”) über Lizenzen für diese Software verfügen. Es ist für die Softwarehersteller nicht einfach, dieser Art von Betrug auf die Spur zu kommen: Die nötige Transparenz beim Zwischenhändler ist oft nicht gegeben, und eine technische Prüfung etwa durch eine Backdoor verbietet sich aus Gründen der Datensicherheit. Die Alternative sind zeit- und kostenintensive regelmäßige Audits, kombiniert mit einem konsequenten Rechtsverfolgungsprogramm, um die schwarzen Schafen unter den Service-Providern zu erkennen.

Die Cloud bringt eine neue Ära der Flexibilisierung der IT, und wird wesentlich dazu beitragen Einstiegshürden für neue Geschäftsformen und Unternehmen zu senken. SAM-Prozesse, die nachweisbar und fortlaufend die vollständige Lizenzierung belegen, sind ein wichtiger Schritt dafür. Sowohl SAM als auch Cloud Computing entwickeln sich stetig fort und beeinflussen sich gegenseitig. Keine Cloud-Strategie sollte auf dieses zentrale Element der Kontrolle verzichten.