Compliance-Risiken bei zunehmender Software-Nutzung managen

November 6, 2017

Sowohl kleine als auch große Organisationen werden immer häufiger auf Software-Compliance hin geprüft. Dabei stellen viele Softwareunternehmen fest, dass die Compliance häufig bei ihren Kunden problematisch ist. In einem Bericht äußerten 75% der befragten Unternehmen, dass sie gegen die Compliance bei der Softwarenutzung verstoßen. Diese Zahl ist überraschend hoch. Deshalb stellt sich die Frage: Wie bewältigt man Software-Compliance-Risiken bei steigenden Nutzungszahlen?

Was ist Software Compliance, und warum ist es so schwer, diese einzuhalten?

Software Compliance (bzw. ein Software-Compliance-Audit) ist der laufende Prozess, sich ständig innerhalb der Vorgaben eines lizenzierten Softwarevertrags zu bewegen. Compliance geht mit einem routinemäßigen Software Asset Management durch sorgfältige Datenhaltung und Software-Monitoring einher.

Beim Aufrechterhalten der Software Compliance gibt es viele Herausforderungen, insbesondere wenn die Nutzung von Software zunimmt und immer mehr Anwendungen in die Cloud verlagert werden. Viele IT-Abteilungen sind überwältigt von den Usage Records und Daten. Die Bemühungen, die Compliance aufrechtzuerhalten, können in 3 Hauptherausforderungen zusammengefasst werden:

1. Fehlendes Verständnis der Lizenzbedingungen
Wenn ein Unternehmen Software kauft, mietet sie diese eigentlich nur, sofern nicht anderweitig angegeben. Unternehmen stoßen auf Compliance-Probleme, weil sie nicht unbedingt erkennen, dass sie nicht der Eigentümer der Software sind. Deshalb sind Sie rechtlich an die vertraglichen Pflichten und Einschränkungen Ihrer Lizenzvereinbarungen gebunden. Wenn Sie eine Software-Lizenz kaufen, kann sie außerdem meistens nur für ein Gerät genutzt werden.

Wenn Sie zum Beispiel 10 Microsoft Office Lizenzen haben, dann dürfen Sie das Programm auch nur auf 10 Geräten installieren. Jedes zusätzliche Gerät, auf dem die Software installiert wird, stellt einen Verstoß gegen Ihre Lizenzvereinbarung dar. Wenn Ihr Unternehmen geprüft wird, können die Strafen für jeden einzelnen Verstoß bis zu 130.000 Euro betragen.Gleichermaßen können Cloud-Verstöße wie das Teilen von Login-Informationen mit nicht lizenzierten Benutzern Ihr Unternehmen in Schwierigkeiten bringen. Laut einer Umfrage aus dem Jahr 2012, gaben 42% der Cloud-User zu, dass sie Passwörter und Benutzernamen mit anderen Personen in ihrer Organisation teilten. Cloud Management Services können dabei helfen, dieses Risiko zu verringern und kostspielige Strafen und Audits zu vermeiden.

2. Unzureichende Datenhaltung
Die Datenhaltung sollte nicht vernachlässigt werden. In einem Audit werden Sie aufgefordert, Belege vorzulegen, um festzustellen, ob Sie die Software-Vereinbarung einhalten. Ohne entsprechende Belege ist es schwierig, dies nachzuweisen.Den Überblick über Software-Verträge, Lizenzen und die Anzahl von Geräten zu behalten, auf denen die Software läuft, ist nur eine von vielen Sachen, die Sie kontinuierlich aktualisieren und managen sollten, wenn die Softwarenutzungszahlen steigen und sich in Richtung Cloud verlagern.

3. Herunterladen von Software durch mehrere Abteilungen und Mitarbeiter
Wenn Abteilungen und Mitarbeiter Software ohne Genehmigung durch die IT-Abteilung herunterladen können (Rogue IT), wird es schwieriger, die Compliance aufrechtzuerhalten. Wenn mehrere Personen eine Software installieren dürfen, steigen die Nutzungszahlen der Software zweifelsohne an, wodurch es für die IT-Abteilung schwierig wird, mit Compliance-Themen Schritt zu halten.Gemäß einer Studie, die von der BSA (The Software Alliance) durchgeführt wurde, waren 2015 geschätzte 39% der auf Computern installierten Softwareprogramme nicht ordnungsgemäß lizenziert. Die Anzahl nicht genehmigter Software-Installationen kann verringert werden, wenn Sie für Ihr Unternehmen Softwarenutzungsrichtlinien festlegen und durchsetzen.

Wer setzt die Compliance an und was ist ein Audit?

Ein Software-Compliance-Audit ist eine vollständige Analyse der auf einem Gerät (oder meistens auf mehreren Geräten) verwendeten Software, um zu ermitteln, ob die Software innerhalb der rechtlichen Parameter genutzt wird, die durch die Lizenzvereinbarung festgelegt werden. Wenn in einem Audit ein Compliance-Verstoß festgestellt wird, wird der dagegen verstoßende Benutzer in den meisten Fällen dafür bestraft.

Die BSA Software Alliance Foundation

Gegründet von der Microsoft Corporation, vertritt die BSA | Software Alliance Foundation Software-Unternehmen auf der ganzen Welt. Sie verfolgt unter anderem auch Verstöße gegen Software-Compliance. Sie geht Berichten über Compliance-Verstöße und Raubkopien nach, um das Eigentum ihrer Mitglieder zu schützen. Falls erforderlich, leitet sie rechtliche Schritte bei Verletzungen kommerzieller Endbenutzer-Lizenzen ein. Wenn z. B. jemand einen Bericht mit der Meldung einreicht, dass Sie illegal Software verwenden, wird die BSA den Bericht überprüfen und ein Software-Compliance-Audit durchführen, um festzustellen, ob Sie tatsächlich gegen die Compliance verstoßen.

Da die meisten Softwareunternehmen die Compliance durch Audits durchsetzen, sollte Ihr Unternehmen auch interne Audits durchführen. Die Compliance sollte durch Standards und Verfahren durchgesetzt werden, die sich darauf beziehen, wie Software verwendet, installiert (oder heruntergeladen) und getrackt wird. Ziehen Sie in Betracht, Ihr eigenes internes Compliance-Audit durchzuführen, um alle wichtigen Compliance-Probleme zu erkennen. Ein Audit kann Folgendes umfassen:

  • Erstellung eines Nutzungsberichts und Ermittlung, wo Softwarelizenzen nicht ausgeschöpft bzw. übermäßig genutzt werden
  • Löschen von ungenutzter Software oder Erwerb von zusätzlicher Software, um die Compliance einzuhalten
  • Ermittlung von Software, die aktualisiert werden muss

Welches System nutzt Ihre Organisation zum Prüfen der Compliance – und ist es präzise?

Jede Organisation benötigt ein System zur Ermittlung von Compliance-Problemen. Manche Systeme sind besser als andere. Leider nutzen viele Organisationen überhaupt keine Systeme, wodurch die Compliance zu einem noch größeren Problem wird. Ihr System muss möglicherweise verbessert werden, wenn eine der folgenden Aussagen auf Sie zutrifft:

  • True-Ups“ (Anpassungen) werden nicht regelmäßig durchgeführt.
  • Es werden keine Aufzeichnungen über die Nutzung oder Installation von Software geführt.
  • Es gibt keine Richtlinien oder Verfahren zum Herunterladen oder Installieren von Software.

Ein Software-Asset-Management-Programm kann bei der Prüfung der Compliance helfen. Die richtige Wahl zu treffen hängt jedoch davon ab, wie schnell Ihre Software-Nutzungszahlen zunehmen. Ein stetiger Aufwärtstrend bei der Verwendung erfordert möglicherweise häufig Audits oder ein Warnsystem, das Sie darüber informiert, wenn immer mehr Geräte eine bestimmte Software nutzen.
Es kann ebenfalls erforderlich sein, ein Dienstleistungsunternehmen zu beauftragen, das auf die Entwicklung von Software-Asset-Management-Programmen spezialisiert ist, um sicherzugehen, dass Sie alles tun, um die Software-Compliance einzuhalten.

Wie können Sie Compliance-Risiken durch Software Asset und Portfolio Management steuern?

Zur Beseitigung von Compliance-Risiken, ist es erforderlich, ein Software-Asset-Management-Programm zu entwickeln. Unternehmen, die dies nicht tun, gehen ein Risiko ein. Ihre Programm muss Folgendes umsetzen können:

  • Prüfung der Lizenznutzung zur Sicherstellung der Compliance
  • Ermöglichung von IT-Wachstum durch Ermittlung, welche Technologie angeschafft und was aktualisiert werden muss
  • Kostenkontrolle durch Vermeidung oder Verringerung von Software-Ausgaben

Unternehmen, die achtsam mit Software-Compliance umgehen, sollten routinemäßige Prüfungen und interne Audits durchführen. Die Prüfungen sollten jährlich durchgeführt werden, um zu ermitteln, welche Software verwendet wird, wer sie verwendet und ob die Software autorisiert ist oder nicht. Interne Audits helfen Ihnen bei der Verwaltung Ihres Software-Portfolios, indem kontinuierlich analysiert wird, welche Lizenzen Sie benötigen und welche nicht.

Abschließende Überlegungen

Software-Compliance ist ein wichtiger Teil der Softwarenutzung. Um ein verantwortungsbewusster User zu sein, ist es wichtig, dass Sie die Richtlinien der Softwarevereinbarung einhalten. Durch  Best Practices Anwendungen bezüglich Software-Compliance werden Software-Management-Risiken vermieden und Ihre Organisation vor einem Audit geschützt. Sie können es sich nicht leisten, gegen Vereinbarungen zu verstoßen, weil Sie für jede Verletzung zahlen werden.

 

Hinterlasse eine Antwort