Schatten-IT und Lizenzmanagement

Letzte Woche durfte ich im Rahmen einer Veranstaltung von VOICE e.V. einen Vortrag zum Thema Lizenzmanagement und Schatten-IT halten. Im Rahmen der Vorbereitung wurde schnell klar, dass es viele Überscheidungen der beiden Themen gibt. Auf diese möchte ich in diesem Beitrag eingehen.

Das Ziel eines Lizenzmanagements ist laut Wikipedia der legale und effiziente Umgang mit proprietärer Software im Unternehmen. Proprietäre Software ist damit die Software, für die eine Lizenz erworben werden muss. Die Aufgaben des Lizenzmanagements sind dabei vielfältig und reichen von der Beschaffung von Software, über das Vertragsmanagement, die Verwaltung der Lizenzen, deren Controlling und Kostenplanung bis hin zur Sicherstellung der Compliance.

Mit “Schatten-IT” werden die IT-Lösungen bezeichnet, die von den Fachbereichen eingesetzt wird, ohne dass sie in das IT-Management der Organisation eingebunden sind. Im Bereich des Lizenzmanagements sind hier vor allem On-Premises-Lösungen im Fokus. Hier muss eine Lizenz für die Nutzung erworben werden um die Software lokal nutzen zu können. In jüngster Zeit wird aber Software as a Service immer relevanter. Dabei muss eine Subscription erworben werden, mit der der Nutzer bestimmte Funktionalitäten der Lösung in der Cloud nutzen kann. Schatten-IT stellt im Lizenzmanagement sowohl für das Ziel der Effizienz als auch den legalen Umgang mit Lizenzen ein Risiko dar.

Überlizenzierung

Werden in verschiedenen Bereichen des Unternehmens Lizenzen für Schatten-IT erworben, ohne dass sich die Fachabteilungen (mit der IT-Abteilung) abstimmen, dann besteht auf der einen Seite die Gefahr der Überlizenzierung. Bei einem Versicherer trat beispielsweise der Fall auf, dass drei verschiedene Fachabteilungen Unternehmenslizenzen für ein und dieselbe Software erworben hatten. Diese mangelnde Abstimmung führte zu hohen und unnötigen Kosten.

Planung benötigter Funktionalitäten

Ebenso besteht das Problem, dass Nutzer aus Fachabteilungen oft nicht genau planen, welche Teile einer Software sie einsetzen werden und es so dazu kommen kann, dass sie eine teure Lizenz erwerben, ohne alle Funktionalitäten wirklich zu benötigen. Ein anderes Beispiel für hohe Kosten ist Salesforce. Auf den ersten Blick erscheint eine Lizenz günstig. Da aber andere Nutzer ebenfalls Zugriff auf die Software möchten, werden bald weitere Lizenzen benötigt. Außerdem bietet die Cloud-Lösung zahlreiche Funktionalitäten, die nur mit einer Erweiterung der Lizenz erst genutzt werden dürfen. Dies führt im Endeffekt zu erheblichen Kosten, die zu Beginn so nicht eingeplant waren.

Unterlizenzierung

Auf der anderen Seite besteht auch die Gefahr einer Unterlizenzierung. Ein Beispiel dazu ist eine Fachabteilung, die eine Server mit zwei Prozessorkernen und den entsprechenden Lizenzen gemietet hatte. Nachdem im Laufe der Zeit die Kapazität nicht mehr ausreichte, wurden per Kreditkarte zwei weitere Prozessorkerne dazu gebucht. Dabei wurden diese beschafft, ohne sich darüber zu informieren, dass für die zusätzlichen Kerne eine erweiterte Lizenz notwendig gewesen wäre.

Falsche Lizenzierung

Eine weitere Gefahr stellt die falsche Lizenzierung dar. Wenn die Beschaffung einer Software nicht geplant verläuft, ist das Risiko groß, dass Lizenzvereinbarungen nur unzureichend gelesen werden. Außerdem sind Werkstudenten in vielen Fällen Ersteller von Schatten-IT. Sie nutzen private Tools, oder Lizenzen ihrer Hochschule.

Eine kommerzielle Nutzung ist bei vielen frei verfügbaren Programmen untersagt. Als Beispiel sei hier das beliebte und oft eingesetzte Teamviewer genannt. Mit der Software können Fernwartungen durchgeführt werden. Privatnutzer können die Software kostenlos nutzen, für geschäftliche Zwecke wird jedoch eine Lizenz benötigt – ein Fakt, der vielen Nutzern nicht klar ist.

Eine falsche oder eine Unterlizenzierung wird meist im Zuge eines Lizenzaudits aufgedeckt und kann sich auf zwei Arten auswirken: Entweder entsprechenden Lizenzen nachgekauft, wobei der Preis der nachgebuchten Lizenzen erheblich teurer ist; oder, im schlimmsten Fall, kann es auch weitergehende Folgen haben, wenn Lizenzverstöße rechtlich verfolgt werden. Wenn der Lizenzeinsatz zum Aufgabenbereich des CIO gehört, muss dieser haften, wenn er von der falschen oder fehlenden Lizenzierung wusste.

Handlungsempfehlungen

Schatten-IT stellt also ein erhebliches Risiko für das Lizenzmanagement dar. Wir raten daher als erstes, Transparenz über Schatten-IT und damit auch über fehlende oder ineffiziente Lizenzen zu schaffen. Dazu sollten automatische Scans aber auch ein Self-Assessment und gegebenenfalls Interviews entlang der Geschäftsprozesse genutzt werden. Danach sollten entsprechende Richtlinien auf Basis einer adaptiven Governance eingeführt werden, um die langfristigen Risiken zu senken. Als drittes sollte die Awareness für das Thema in den Unternehmen gesteigert werden, indem man auf der einen Seite auf die Risiken von Lizenzverstößen und hohen Kosten hinweist. Auf der anderen Seite sollte man aber auch die Chancen einer Zusammenarbeit mit den Verantwortlichen im Lizenzmanagement verdeutlichen. So kann sichergestellt werden, dass Unternehmen das Risiko von Schatten-IT für das Lizenzmanagement langfristig eindämmen.

Autor: Melanie Huber