Eigentlich dachten CIOs und Software Lizenzmanager, dass das ungeliebte Thema der Software Audits nachlassen würde, doch das Gegenteil ist der Fall. Der Grund für noch mehr Software Audits liegt ausgerechnet in der immer stärker werdenden Cloud-Nutzung. Genau dadurch hatten sich CIOs eigentlich Entlastung erhofft. Der Grund der vermehrten Software Audits ist in den unterschiedlichen Angeboten zu suchen. Kunden nutzen eben nicht nur SaaS (Software as a Service), sondern sehr stark auch IaaS (Infrastructure as a Service).  Das CIO-Magazin teilte jüngst auf seiner Website mit, dass eine Untersuchung ergab, dass 93% der befragten CIOs sich Sorgen wegen Software Audits im IaaS-Umfeld machen. [1]

Software Audits in IaaS-Umgebungen
Zunächst bietet IaaS den Kunden einige Vorteile. Indem man Recheninfrastruktur mietet, werden beispielsweise einmalige Anwendungen bezahlbar, Belastungsspitzen können abgefangen werden, plötzliches Wachstum ist ohne Probleme möglich und brachliegende Kapazitäten können sofort wieder freigegeben werden. Zudem muss für selten benötigte Anwendungen nicht extra eine Infrastruktur vorgehalten werden. Doch so interessant das Thema IaaS auf der technischen Seite ist, so unangenehm kann es bei Lizenzierungsfragen sein. Der Anbieter der Infrastruktur ist nicht für die Lizenzierung zuständig. Hierfür muss der Kunde gerade stehen. Genau diese Schnittstelle wird in immer mehr Software Audits von den Herstellern geprüft.

Probleme durch Richtlinien und Policies
Amazon Web Services (AWS) ist der größte Anbieter im Bereich IaaS mit Produkten wie EC2 für Rechenleistung oder S3 für Speicher. Schaut man sich beispielsweise den Betrieb von Oracle Software in einer IaaS-Umgebung bei Amazon Web Services an, wird schnell klar, wie groß die Probleme werden können. AWS verweist auf seiner Internetseite darauf, dass der Kunde für die Lizenzierung zuständig ist. Oracle hält hierfür ein eigenes Dokument bereit – „Licensing Oracle Software in the Cloud Computing Environment“ (https://www.oracle.com/assets/cloud-licensing-070579.pdf). Für Kunden bedeutet es, dass zum Beispiel die sogenannte Oracle Core Factor-Tabelle nicht mehr gilt. Aus der Lizenzsicht wird es also in den meisten Fällen doppelt so teuer, da bei den meisten Prozessoren nun doppelt so viele Lizenzen bereitgestellt werden müssen. Die meisten Hersteller halten ähnliche Lizenzierungsdokumente für die Kunden bereit. Aus Sicht der Software Asset Manager wird es immer komplizierter, da sich Metriken ändern. Ein weiteres Problem ist, dass Kunden teilweise massiv von Hardware-Umstellungen auf Seiten des Hosters betroffen sind. Erfolgt hier keine Meldung an den Kunden, bzw. setzt dieser die nötigen Anpassungen an die Lizenzierung nicht soft um, kann es in Audits unerwartet teuer werden. Selbst wenn der Hoster die Kunden in Kenntnis setzen, ist der Kunde meist in einer schwachen Verhandlungsposition und muss entsprechend seinen Lizenzbestand aufstocken. Hier ist es also bedeutend, dass mit dem Hoster/Cloud-Anbieter eindeutige Vereinbarungen bzgl. Umstellungen der Infrastruktur getroffen werden.

Software Audit-Schwarmintelligenz der Lighthouse Alliance
Bereits seit Ende 2016 haben sich Unternehmen in der Lighthouse Alliance zusammengeschlossen, um sich gegen rein umsatzgetriebene Software Audits durch die Hersteller zu wehren. „Wir haben mit einer Handvoll Unternehmen angefangen und wollten all unsere Erfahrungen zu Software Audits aufschreiben und miteinander teilen“, so Markus Oberg, Chairman der Lighthouse Alliance. „Wir saßen damals vor einem weißen Blatt Papier und haben bis heute über 300 Seiten zusammengeschrieben. In unseren Whitepapers steckt das Wissen unzähliger Software Audits“, so Oberg weiter. Bis heute ist die Gemeinschaft auf über 30 Unternehmen angewachsen, darunter gehobener Mittelstand, Öffentliche Auftraggeber und einige DAX-/MDAX-Konzerne sowie andere große Unternehmen aus Österreich und der Schweiz. Zusammen erzielen sie einen Jahresumsatz von mehr als 700 Milliarden €. Nahezu alle Wirtschaftsbereiche sind vertreten:

·       Automobil
·       Dienstleistung
·       Energie
·       Bank/Versicherung
·       Gesundheit
·       Industrie
·       Medien
·       Pharma
·       Telekommunikation
·       Textil und Handel
·       Öffentliche Auftraggeber

Auf den Treffen der Lighthouse Alliance tauschen mittlerweile 43 Manager aus den Unternehmensbereichen Software Asset Management, Einkauf und Recht, ihre Erfahrungen zum Thema Software Audits aus. Die Datenbank der Lighthouse Alliance enthält neben Whitepapern über Audits einschlägiger Vendoren auch Musterbriefe, Musterverträge und viele andere nützliche Dokumente, wie rechtliche Bewertungen zu einzelnen Fragestellungen. Beispielsweise hat die Lighthouse Alliance auch eine rechtliche Bewertung zu dem oben genannten Thema der sogenannten Lizenzierungsrichtlinien bzw. Policies in Auftrag gegeben. „Zwar kommt es immer auf den Einzelfall an, aber man kann sehen, dass oft erhebliche Zweifel an der rechtlich wirksamen Einbeziehung der Policies angebracht sind“, berichtet Oberg weiter. Mit dieser Schwarmintelligenz sehen sich die Mitglieder der Lighthouse Alliance für kommende Audits bestens aufgestellt. Bisher konnten in nahezu allen Fällen Software Audits abgemildert oder sogar ganz verhindert werden.
Weitere Gründe für mehr Software Audits durch den Trend in die Cloud sind, dass Kunden aus Sicht der Hersteller den Weg in die Cloud bzw. zu IaaS oder PaaS-Angeboten noch nicht gefolgt sind und quasi durch Software Audits zu ihrem Glück gezwungen werden sollen. „Die Angebote der Hersteller zu einer im Software Audit festgestellten Unterlizenzierung sind fast immer Cloud-Angebote“, so Oberg weiter. Auf der anderen Seite hat der Kunde manchmal aus Sicht der auditierenden Hersteller die „falsche“ Cloud gekauft, also das Konkurrenzangebot. Dann möchte man auch gern ein Stück vom Kuchen. Für manche Hersteller scheint das Software Audits ein probates Mittel zu sein. Leider behalten sie recht in ihrer Einschätzung, da Unternehmen jährlich einen hohen durch Audits getriggerten Betrag für Software und Cloud Credits ausgeben. Diese Einnahmequelle werden sich die Hersteller sicher nicht nehmen lassen wollen.

Kurzfristig mehr Software Audits
Die Zeit der Software Audits ist noch lange nicht vorbei – ganz im Gegenteil. Die Nutzung von Services wie IaaS und PaaS führen kurzfristig zu noch mehr Software Audits. Unternehmen können sich jedoch gut darauf vorbereiten und die Schwarmintelligenz der Lighthouse Alliance nutzen, um sich zur Wehr zu setzen. Interessierte IT-Manager können über die Website der Lighthouse Alliance direkt Kontakt zu Chairman Markus Oberg aufnehmen, um ebenfalls an der Gemeinschaft teilzunehmen:
www.lighthouse-alliance.com


[1] Vgl. www.CIO.de; „CIOs fürchten Audits und Kontrollverlust“; 16.12.2019