Lizenzcenter - Ihr Beratungshaus in allen Themen zu IT Asset- und Lizenzmanagement


Contract Risk Monitoring und Contract Check


Was halten Sie für wichtiger?

Das Zählen von Lizenzen in Ihrer IT oder die

Identifikation und Abwehr von Risiken aus der Nutzung von Softwareprodukten für die Produktion.

Beides ist wichtig. 
Aber die Identifikation, Beurteilung und Abwehr von Einsatzrisiken von Software Anwendungen, genutzt auf Basis von Miet- oder Subscriptions-Lizenzmodellen, ist inzwischen wesentlich wichtiger als die Beurteilung möglicher Audit Risiken aus der Perpetual Lizenznutzung.

  • shaking-hands-3091906_1280
  • conditions-624911_1280
  • rope-walkers-2174313_1280_40
  • coins-1726618_1280


Die Nutzung von Lizenzsoftware geschieht immer
auf Grundlage der individuellen Lizenzmodelle und der standardisierter Lizenz- und Nutzungsverträge der Hersteller (der Lizenzgeber).

Die neuen Lizenzmodelle mit ihren in der Regel zeitlich begrenzten Nutzungsmöglichkeiten führen zu massiv höherer Abhängigkeit der die Software nutzenden Unternehmen von den Lizenzgebern.

Neue Abhängigkeiten entstehen sowohl in Hinsicht auf die Existenz des Lizenzgebers selbst (z.B. Change of Control), als auch in Hinsicht auf die Möglichkeiten, erworbene Lizenzen nach Vertragsablauf weiter nutzen zu dürfen (Nutzungsablauf, Grace-Periods, Recht auf Weiternutzung, Verlängerung und Konditionen).

Was nach dem deutschen Kaufrecht bisher noch eine gesicherte Basis zumindest für Verhandlungen darstellte, stellt in Zeiten von zeitlich beschränkten Mietlizenzen, ganz besonders in SaaS und Cloud Umgebungen geradezu ein einseitiges Recht der Lizenzgeber gegen ihre Nutzern dar.

Die Softwarehersteller verstärken diese Abhängigkeit noch zusätzlich, in dem sie immer häufiger den Einsatz ihrer Produkte von der Implementation technischer Überwachungsprodukte abängig machen. 

Kombiniert wird dies mit dem Einsatz zeitlich beschränkter Lizenzkeys, sogenannter time-bombed-license-keys, die nach Ablauf ein automatisches Nutzungsende verursachen können.

Der Einsatz solcher Instrumente geschieht gerne unter Hinweis auf globale geltende Lizenzmodelle, die für einzelne Unternehmen nicht geändert werden könnten.

Erschreckend ist hierbei, dass viel Anwender immer noch glauben, solche Risiken würden im Unternehmen überwacht und gemanaged. Nur in den wenigsten ist das der Fall.

"Es gibt sicher jemanden, der dafür verantwortlich ist", 
so lautet der Standardspruch, mit dem sich alle das Leben einfach machen.

Während technische und operative Risiken heute in aller Regel durch das Business Continuity Management (BCM) erfasst und abgebildet werden, bleiben spezielle Vertrags- und Lizenzrisiken in aller Regel unbeachtet, ganz besonders dann, wenn es sich um vermeintlich kleine und scheinbar unwichtige  Softwareprodukte handelt, die nicht im Fokus des Lizenz- und Vertragsmanagements stehen. Risiken aus dem Lizenzrecht werden in aller Regel von BCM und IT-Security nicht adressiert.

Gerade Einsatzrisiken, die aus der Nutzung solcher vermeintlich unwichtiger Softwareprodukte resultieren, bleiben zumeist unerkannt. 

Aber ein kleiner fallender Baustein in der Prozesskette kann massive Folgen habem.



Die Abhängigkeiten der die Software nutzenden Unternehmen von der

  • Verfügbarkeit und Nutzbarkeit der Software
  • ihrer technischen Weiterentwicklung
  • aber auch der Existenz des liefernden Softwarehauses und der hostenden Infrastuktur 

steigen durch die neuen Lizenzmodelle ständig an.


Der Verlust der Lizenz- und/oder Nutzungsrechte

  • z.B. durch Ablauf oder Nichtverlängerung des Vertrages als Ergebnis eines Audits
  • Auseinandersetzungen durch Unkenntnis der tatsächlichen Vertragsinhalte
  • durch das unerkannte Auslaufen eines zeitlich befristeten Lizenzkeys
  • und generell durch das Ignorieren von Risiken

kann massive Folgen für das Unternehmen und die Sicherheit des operativen Betriebes haben.


Software ist nicht gleich Software.

Je nach Einsatzort und Art kann ein einzelnes Softwareprodukt ganz unterschiedliche Risiken zur Folge haben die ermittelt und gesteuert werden müssen!

Was bedeutet das ?

Aus der Nutzung von Lizenzprodukten resultierende Risiken müssen immer im Kontext ihres Einsatzes erfasst und in Hinsicht auf ihre Risiken beurteilt werden.

Das klassische Vertragsmanagement liefert hierzu kaum einen Beitrag.

Ein Contract Risk Management als Teil der IT Security muss sich

  • mit möglichen Risiken aus der Nutzung von Mietsoftware methodisch beschäftigt
  • Risiken nach einheitlichen Methoden klassifizieren und bewerten
  • Einsatzrisiken standardisiert beurteilen, erkennen und Massnahmen zur Abwehr erarbeiten
  • Richtlinien und Empfehlungen ausarbeiten, um den IT-Betrieb dabei zu unterstützen, die Auswahl von Software Produkte in Hinsicht auf mögliche Risiken besser beurteilen zu können


Contract Check

Der Contract Check ergänzt das Contract Risk Monitoring durch vorgelagerte Prüfungen, die z.B. durch Einkäufer, Risk Owner oder Lizenzmanager vor Abschluss eines Vertrages durchgeführt werden sollten, um vorab einen Risikostatus zu ermitteln und auch um mögliche relevante Risikofaktoren des Vertrages besser erkennen zu können.


Contract Risk Monitoring


Das Contract Monitoring ist eine dezentral aufgebaute Lösung, mit der relevante Vertragsdaten zu Software Lizenzverträgen am Ort des Entstehens und der Verantwortlichkeit erfasst und mögliche Risiken aus diesen Verträgen schematisiert und vergleichbar bewertet werden.

Die für die Risikobewertung notwendigen Vertragsparameter können vom jeweiligen Anwender (Risk Owner , Einkäufer, etc) im Contract Risk Monitoring erfasst werden. Dies geschieht auf Basis eines strukturierten und schematisierten Verfahrens (vorgegebene und vorkonfigurierte Templates). Entsprechend der erfasten Vertragsparameter können die sich ergebenden Risiken auf Basis eines  Risikobewertungsmodells je Vertrag individuell bewertet werden.

Die Erfassung sollte immer durch die jeweils verantwortlichen Anwender (die Risk bzw. Contract Owner) durchgeführt werden.
Je nach Vertragsverantwortung kann dies lokal oder zentral geschehen.

Die in schematisierten und parametrisierten Templates erfassten Vertragsdaten, werden in Hinsicht auf die daraus entstehenden Risiken mit Hilfe einer standarisierten Bewertungsmethodik vergleichbar aus- und bewertet. Die zentrale Risikobewertung sollte zentral durch das Risk Management erfolgen, kann aber durch jede dafür vorgesehene Stelle geschehen.

Die vom Anwender in den  Templates erfassten Dateninhalte werden dazu in eine QlikSense ® basierenden BI Anwendung importiert und in Form von Dashboards und Risk Reportings ausgewertet und dargestellt.

Die Auswertung kann mit Hilfe von beliebigen Kriterien wie Vertrags- und Lizenzrisiken, Laufzeiten, Lizenzmodellen, Risiko Owner, Vertragshalter, Zugehörigkeit zu Organisationsteilen, Division/BusSegmenten, Einsatzorte (Städte/Länder), usw. geschehen und in beliebigen Kombinationen unterschiedlichster dieser Kriterien.

Mehr Information zum Verfahren erhalten sie durch unseren Flyer zum Contract Risk Monitoring.

Zum Download Bereich


Sehen Sie sich Beispiele des Reportings für das Contract Risk Monitoring auf Basis von QlikSense ® Technologie an.

Beispiele zum CM Reporting


Senden Sie uns eine Nachricht an info@lizenzcenter.de oder nutzen Sie unser Anfrageformular.