Schlampiger Umgang mit Softwarelizenzen wird bestraft, im schlimmsten Fall sogar mit Haftstrafen. Viel häufiger jedoch schlicht und einfach durch überhöhte Softwarekosten, den Überlizenzierung kommt weit häufiger vor, als man annimmt. Software Asset Management (SAM) soll Abhilfe schaffen. Josef Reim, Leiter der österreichischen Niederlassung der USU AG im Gespräch über die gängigen Fehler beim Lizenzmanagement und die Risiken, die damit verbunden sind.
Mit welchen Risiken ist eine mangelhafte Lizenzpolitik verbunden?
Reim: Das Thema Lizenzmanagement ist angesichts verschärfter Compliance-Richtlinien der Europäischen Kommission (Euro-SOX) für Unternehmen zu einem zentralen Risikofaktor geworden. Compliance-Sündern droht eine Gefängnisstrafe von bis zu 5 Jahren, und das zusätzlich zur Schmach der öffentlichen Bekanntmachung, zum Imageschaden und zu vom Lizenzgeber verhängten Geldstrafen. In der Praxis spielen jedoch die Kosten-Risiken eine deutlich größere Rolle, denn die meisten Unternehmen sind überlizensiert. Bis zu 60 Prozent zuviel geben Unternehmen ohne effizientes Lizenzmanagement für Software und deren Nutzung aus, so die einhellige Meining von Marktanalysten wie z.B. der Gartner Group.
Softwarelizenzen werden im Unternehmen oft nachlässig behandelt. Wo passieren hier die gröbsten Sünden?
Reim: Im derzeit herrschenden Dschungel von OEM-, Einzel- und Volumenlizenzen, Client- oder Serverlizenzen etc. verliert man ab einer kritischen Größe von mehreren hundert Endgeräten leicht den Überblick. Diese notwendige Transparenz über die eingesetzte Software und die Lizenzen wird noch dadurch erschwert, dass neben dem IT-Management in der Regel weitere Bereiche wie die Unternehmensführung, das Finanzmanagement und der Einkauf involviert sind. Aber auch in größeren Unternehmen wird das Thema leider immer noch als Teilzeitaufgabe betrachtet.
Welche Maßnahmen empfehlen Sie?
Reim: Entscheidend für eine optimale Nutzung von Software-Assets ist eine enge –organisatorische und technische – Verzahnung der Business- mit der IT-Welt. Zum Beispiel sollten gerade große Unternehmen einen Vollzeit-Lizenzmanager haben, denn Lizenzmanagement ist keine untergeordnete Funktion und benötigt die direkte Unterstützung des Managements. Zudem sind unterschiedliche technische Werkzeuge involviert. So kann z.B. kein Lizenzmanagement-Tool ohne Asset Management Funktionen auskommen. Vertragsmanagement ist genauso wichtig, da man Angaben zum Ursprungsland und zu Vertragsbestimmungen benötigt. Idealerweise holt man sich alle relevanten Daten aus einer zentralen Configuration Management Database.
Worauf sollten Verantwortliche bei der Auswahl entsprechender Tools achten? Was sind die wichtigsten Funktionen ?
Reim: Wichtig bei der Auswahl einer Anwendung ist, dass diese sämtliche Prozesse rund um Lizenzmanagement unterstützt und idealerweise in einer Suite integriert. Zentraler Baustein einer entsprechenden Software ist eine frei erweiterbare „Whitelist“-Datenbank, in der das eingesetzte Software-Portfolio in einem Produktkatalog verwaltet wird. Damit werden alle Änderungen in der Lizenzlandschaft lückenlos dokumentiert. Der Softwarekatalog stellt auch die Verbindung zwischen den technischen Inventory-Daten und dem kaufmännischen Bestandsdaten her. Das funktionale Kernstück bildet die so genannte Reconciliation-Engine, die dafür sorgt, dass die richtigen Lizenzmetriken in der notwendigen Ausprägung zur Berechnung des Lizenzbestandes verwendet werden. Bewährt hat sich ist ein berechtigungszentrierter Ansatz, der flexibel Rechner, Nutzer, Standorte, Upgrades, Downgrades und gemessene Nutzung berücksichtigt. Für IT-Dienstleister und outgesourcte IT-Abteilungen ist ferner die Trennung von Lizenz-Eigentum und Lizenz-Nutzung im Rahmen eines erweiterten Mandantenkonzeptes wichtig. Umfassende Reportingmöglichkeiten und Eskalationsroutinen bei Lizenzverletzungen flankieren eine „ideale“ Lösung für Software Asset Management.
Mittwoch, 22. Oktober 2008
Freitag, 17. Oktober 2008
Interview: Risiko managen – bevor die Krise hereinbricht
In Zeiten der Krise trennt sich die Spreu vom Weizen – wer rechtzeitig begonnen hat, die Risiken des Unternehmens zu analysieren, zu bewerten und letztendlich ein passendes Risikomanagement etabliert, ist darauf vorbereitet, wenn Risiken schließlich zu einer konkreten Gefahr werden. Dr. Wolfgang Haidegger ist Spezialist für das Enterprise Risk Management und nimmt im Interview Stellung dazu, wie man mit Risiken umgehen muss, um wirtschaftliche Nachteile und vielleicht sogar Haftstrafen vermeiden kann.
Das Wort Krise hat zur Zeit Konjunktur – Wie können Unternehmen verhindern, dass es soweit kommt?
Das Hauptaugenmerk muss auf der Strategie liegen. Diese weist ja den generellen Weg eines Unternehmens und macht es ursprünglich erfolgreich. Was aber wichtig ist, ist ständig zu überprüfen, ob die Rahmenbedingungen, unter denen eine Strategie einst entwickelt wurde, noch immer gültig sind. Hierzu zählen die ursprünglich erhobenen Risken, gesetzliche Rahmenbedingungen, technische Weiterentwicklung uvm. Nachgeordnet zu diesem generellen Vorgehen muss ein klares Reporting aller notwendigen Informationen an die geeigenten Personen erfolgen – die Grundlage jedes Monitoring der Bewertung und Umesetzung einer Gesamtstrategie.
In wie weit muss ich auch der IT-Manager mit rechtlichen und wirtschaftlichen Risiken befassen?
Der IT Manager wird immer mehr zum Manager einer Serviceeinrichtung, die als Profit Center geführt wird. Daher muss er sich mit der Kostenstruktur und dem Wert der Services seiner IT Abteilung auseinandersetzen. Investitionen in Mensch und Material sind dann ebenso nach wirtschaftlichen Grundsätzen zu tätigen, wie die Planung operationeller Prozesse. Rechtliche Fragen muss der IT Manager im Rahmen seiner Reportingpflicht für seine Abteilung kennen, sowie alle Bestimmungen, die für die Services gültig sind, die seine Abteilung liefert (Aufbewahrung von Daten, Betreiben von Kommunikationsinfrastruktur – Integrität der transportierten Informationen, Bereitstellen von Applikationen zur Auswertung gewisser Daten)
Was passiert, wenn man Risikomanagement zu wenig Beachtung schenkt?
Risken, denen ein Unternehmen generell ausgesetzt sein kann, reichen von einer nicht richtig gewählten Geschäftsstrategie über nicht klar definierte Kompetenzen bis zu einer ungenügend ausgestatteten technischen Infrastruktur. Risikomanagement deckt viele dieser – durchaus gängigen – Risken schon in der Analysephase auf und minimiert durch rechtzeitig geplante und implementierte Gegenmaßnahmen somit den potentiellen Schaden, den ein Unternehmen sonst nehmen könnte. Risikomanagement nicht geeignete Beachtung zu schenken läßt ein Unternehmen also im Ungewissen über mögliche Probleme und erlaubt im Falle des Eintritts eines Problems (das eventuell sogar verhindert werden hätte können) auch keine gut durchdachte Reaktion.
Welche Möglichkeiten bieten internationale Standards, wie ITIL und COBIT?
Internationale Standards wie ITIL, COBIT, ISO/IEC 27001 geben zunächst einmal eine Menge Erfahrung der verschiedenen beteiligten Autoren zu Themen wie IT-Governance, Service Delivery oder Security Management wieder. Diese Rahmenwerke sind auch zu ihren Themen recht vollständig, sodass man bei der Planung oder Analyse des entsprechenden Themas wenig wichtige Themen übersehen sollte. Sie formen weiters ein gemeinsames Verständnis zu den Themen die sie behandeln, das heißt, dass Geschäftspartner, die sich über die Verwendung eines international standardisierten Rahmenwerks einigen, auch nicht das Risiko eines großen „semantical gap“ einhandeln.
Das Wort Krise hat zur Zeit Konjunktur – Wie können Unternehmen verhindern, dass es soweit kommt?
Das Hauptaugenmerk muss auf der Strategie liegen. Diese weist ja den generellen Weg eines Unternehmens und macht es ursprünglich erfolgreich. Was aber wichtig ist, ist ständig zu überprüfen, ob die Rahmenbedingungen, unter denen eine Strategie einst entwickelt wurde, noch immer gültig sind. Hierzu zählen die ursprünglich erhobenen Risken, gesetzliche Rahmenbedingungen, technische Weiterentwicklung uvm. Nachgeordnet zu diesem generellen Vorgehen muss ein klares Reporting aller notwendigen Informationen an die geeigenten Personen erfolgen – die Grundlage jedes Monitoring der Bewertung und Umesetzung einer Gesamtstrategie.
In wie weit muss ich auch der IT-Manager mit rechtlichen und wirtschaftlichen Risiken befassen?
Der IT Manager wird immer mehr zum Manager einer Serviceeinrichtung, die als Profit Center geführt wird. Daher muss er sich mit der Kostenstruktur und dem Wert der Services seiner IT Abteilung auseinandersetzen. Investitionen in Mensch und Material sind dann ebenso nach wirtschaftlichen Grundsätzen zu tätigen, wie die Planung operationeller Prozesse. Rechtliche Fragen muss der IT Manager im Rahmen seiner Reportingpflicht für seine Abteilung kennen, sowie alle Bestimmungen, die für die Services gültig sind, die seine Abteilung liefert (Aufbewahrung von Daten, Betreiben von Kommunikationsinfrastruktur – Integrität der transportierten Informationen, Bereitstellen von Applikationen zur Auswertung gewisser Daten)
Was passiert, wenn man Risikomanagement zu wenig Beachtung schenkt?
Risken, denen ein Unternehmen generell ausgesetzt sein kann, reichen von einer nicht richtig gewählten Geschäftsstrategie über nicht klar definierte Kompetenzen bis zu einer ungenügend ausgestatteten technischen Infrastruktur. Risikomanagement deckt viele dieser – durchaus gängigen – Risken schon in der Analysephase auf und minimiert durch rechtzeitig geplante und implementierte Gegenmaßnahmen somit den potentiellen Schaden, den ein Unternehmen sonst nehmen könnte. Risikomanagement nicht geeignete Beachtung zu schenken läßt ein Unternehmen also im Ungewissen über mögliche Probleme und erlaubt im Falle des Eintritts eines Problems (das eventuell sogar verhindert werden hätte können) auch keine gut durchdachte Reaktion.
Welche Möglichkeiten bieten internationale Standards, wie ITIL und COBIT?
Internationale Standards wie ITIL, COBIT, ISO/IEC 27001 geben zunächst einmal eine Menge Erfahrung der verschiedenen beteiligten Autoren zu Themen wie IT-Governance, Service Delivery oder Security Management wieder. Diese Rahmenwerke sind auch zu ihren Themen recht vollständig, sodass man bei der Planung oder Analyse des entsprechenden Themas wenig wichtige Themen übersehen sollte. Sie formen weiters ein gemeinsames Verständnis zu den Themen die sie behandeln, das heißt, dass Geschäftspartner, die sich über die Verwendung eines international standardisierten Rahmenwerks einigen, auch nicht das Risiko eines großen „semantical gap“ einhandeln.
Abonnieren
Posts (Atom)