Lizenzcenter Artikelserie - Gutes SAM was ist das eigentlich?

#2 SAM Governance - die Grundlage für gutes Lizenzmanagement


Die Zukunft des Lizenzmanagements ist SAM Governance, nicht das Zählen von Lizenzen.

In Zeiten von SaaS und Cloud, von Software Subscriptions Verträgen mit beschränkter Laufzeit und von zeitlich beschränkten Lizenzkeys, hilft das Zählen von Lizenzen und Nutzungen allein nicht mehr.
SaaS, PaaS, IaaS und generell Cloud basierende Softwarenutzungen, ebenso wie Softwarenutzungsverträge auf Mietbasis, brechen die lange gültigen Regeln des Lizenzmanagements auf.
Die klassischen Verfahren des Prüfens auf Unter- und Überlizenzierung und die daraus folgenden Maßnahmen zur „Behebung“ der als nicht compliant erkannten Nutzungen, helfen bei auslaufenden SaaS- und Cloud-Verträgen nicht mehr.

Nicht, wenn die Lizenzgeber bereits alles über die „problematische Nutzung“ wissen und nur noch Rechnungen stellen. Schon gar nicht, wenn Lizenzkeys ohne Übergangszeit oder nur mit einer kurzen Grace-Period auslaufen und die Nutzung der Software damit zu einem festen Zeitpunkt nicht mehr möglich ist. Nicht, wenn die weitere Nutzung vom Lizenzgeber einfach verweigert werden kann, da er weiß, dass er am längeren Hebel sitzt.
Miet-, SaaS- und Cloud-Verträge haben viel umfangreichere Auswirkungen, sind wesentlich kritischer in ihren Auswirkungen als traditionelle Client-Server Lizenzen, sind häufig lokal installiert und genutzt und dem Unternehmens Lizenzmanagement häufig nicht bekannt, da nicht im Fokus.

Ein zentrales Lizenzmanagement hat heute primär die Aufgabe die scheinbar „großen Risiken“ zu handhaben, die großen Lizenzverträge mit den weltweit dominanten Lizenzgebern. Durch Anwendung des Pareto Prinzips und die Fokussierung auf Scope Hersteller und deren Produkte wird versucht, die wenigen verfügbaren Ressourcen mit den Aufgaben und Zielen in Einklang zu bringen. Um die „kleinen und unwichtigen Hersteller“ kümmern sich die Fachbereiche selbst.
Und so schließen die Fachbereiche ihre Verträge eigenständig ab, und nutzen möglichst auch externe Dienstleister im Cloud und SaaS Business, so dass der interne IT-Betrieb möglichst wenig tangiert wird. Von vielen solcher Software Nutzungsverträgen erfährt das Lizenzmanagement daher erst gar nichts.
BCM und IT Security kümmern sich um operative Einsatzregeln, um die Überwachung der IT Sicherheit und die Identifikation von Schwachstellen.

Alles bestens, oder? Leider und stark zunehmend lautet die Antwort darauf: Nein!

Die in den letzten 10-15 Jahren eingeführten ITIL Silos und die Taylorisierung der IT Abläufe, führt zu einer kleinteiligen Sicht auf Risiken, die lediglich lokal bewertet werden, ohne dabei einen übergreifenden Blick auf die Auswirkungen für das gesamte Unternehmen zu erhalten.
So werden die Risiken resultierend aus einem Ausfall eines einzelnen non-Scope Lizenzgebers und die sich daraus ergebenden Einsatzrisiken kaum beurteilt. Eine systematische Herangehensweise und Bewertung ist in aller Regel nicht existent.

Detaillierte Regelwerke, wie Prüfungen und Risiko Bewertungen durchgeführt werden sollten und welche Ansprüche an Dokumentation und Überwachung einzuhalten sind, gibt es in der Regel nicht.
Mehr noch, die Beurteilung der Risiken und die anzuwendenden Methoden werden analog zum klassischen Lizenzmanagement angewandt, nachgeordnet und ad hoc, wenn die Probleme auftauchen.
Die Verfahren des klassischen Lizenzmanagements, ausgerichtet auf die Kontrolle großer Lizenzvolumina in Client-Server Nutzungsumgebungen werden so den neuen Anforderungen nicht mehr gerecht, da jetzt Risiken aus vielen unterschiedlichen Richtungen auf die Unternehmen zukommen.

Regeln, ehemals aufgestellt, um den Microsoft TrueUp Termin vorzubereiten und Verhandlungen mit Lizenzgebern möglichst ohne Offenlegung von Internas über die Bühne zu bringen, funktionieren in der Cloud und SaaS Welt nicht mehr. Die Kräfteverhältnisse haben sich schon längst weiter zu Gunsten der Lizenzgeber verschoben.
Mehr noch. Scheinbar kleine und als unwichtig angesehene Softwarenutzungen, integriert in Produktionssysteme, scheinbar ohne Relevanz, können Produktionssysteme zum Stillstand bringen, aus technischen, vor allem aber aus lizenzrechtlichen Gründen. Eine Reihe von abschreckenden Vorfällen in 2023 hat dies bereits eindrucksvoll gezeigt.
Solche kleinen, scheinbar unbedeutende Softwarenutzungen bleiben im Dunkelfeld, da sie nicht im Blickfeld und der Verantwortung des Lizenzmanagements liegen. Schon aus Kapazitätsgründen können diese vielen Einzelnutzungen nicht vom zentralen Lizenzmanagement gehandhabt werden, und werden so auch nicht systematisch auf die möglicherweise resultierenden lizenz- und vertragsrechtlichen Risiken hin untersucht.

Schriftlich definierte und publizierte Regeln und Handlungsanweisungen sind in den meisten Unternehmen nicht implementiert. Also gibt es auch keine eindeutige Notwendigkeit für Stakeholder, sich an solche zu halten. Dies stellt in diesem Zusammenhang auch kein Fehlverhalten dar, denn wo keine Regeln definiert sind, gibt es auch kein richtiges oder falsches Verhalten.

Ein SAM Governance Modell muss allen Entscheidern im Unternehmen dabei helfen ein richtiges von falschem Verhalten unterschieden zu können.

In komplexen Vertrags- und lizenzrechtlichen Thematiken sind das auch keine Selbstverständlichkeiten, die einfach mit Hilfe von Allgemeinwissen gehandhabt werden könnten.
Die juristischen und vertrieblichen Einheiten der Lizenzgeber wissen genau, was sie tun, und sie tun dies jeden Tag als Profis, während ihre Gegenüber sich nur notgedrungen damit beschäftigen.

Stakeholder, die über Beschaffung und Einsatz von non-Scope Produkten entscheiden, müssen also dahingehend unterstützt werden, Risiken einschätzen und die Konsequenzen abschätzen zu können. Sie müssen in eine entsprechende Governance eingebunden und von ihrer Sinnhaftigkeit überzeugt werden.
Die geschieht am sinnvollsten auf Grundlage einer ausformulierten und nachvollziehbaren SAM Governance Vorgabe, verfügbar als nutzbares Handbuch für die verschiedenen Stakeholder im Unternehmen.

Aufbauend auf festen Regeln, auf definierten Rollen und Verantwortungsmodellen, die einfach aber präzise festlegen,

  • wer für was verantwortlich ist,
  • wann die Unterstützung des Lizenzmanagements eingeholt werden sollte
  • wie Verträge und Risikoparameter zu dokumentieren sind
  • und vor allem beschreiben, was nicht getan werden darf, also was ein ungewünschtes Verhalten ist.

Definierte Governance Regeln helfen dem Lizenzmanagement nicht nur den Aufbau und die Regeln in der eigen SAM Organisation festzulegen und zu steuern. Sie helfen besonders dabei die zentralen Aufgaben der SAM Organisation von denjenigen Aufgaben abzugrenzen, die sich aus dem Abschluss und der Nutzung lokaler Lizenzverträge ergeben, die von den Risk Ownern vor Ort zu leisten und zu verantworten sind.

Sind klare Handlungsanweisungen definiert und ausgerollt, kann ein SAM Risk Management die Einhaltung der Regeln wesentlich besser und effizienter prüfen und rechtzeitig Gegenmaßnahmen einleiten und damit echten Nutzen und Business Value für das Unternehmen erzielen.

Wie dies am besten geschieht?  Mehr dazu in den nächsten Folgen  unserer Serie "Gutes SAM - was ist das eigentlich?"

Lizenzcenter – Ihr Berater für effektives Software Lizenz- und Asset-Management
Untere Brendelstr. 11 – 61348 Bad Homburg - Telefon 06172-918614.