Cloud und Compliance – ein Problemfeld?

Befasst man sich mit Software-Compliance, zeigt sich, dass die Nutzung der Cloud grundsätzlich die Komplexität in Bezug auf die Erfüllung der Compliance, auch unter Verschiebung der klassischen Aspekte eines Softwarelizenzmanagements, erhöht. Im Gegensatz zur Software, die „im Haus“ installiert und betrieben wird, kann es zwar bei einer Cloud-Nutzung kaum zur Unterlizenzierung kommen. Entsprechende Zugriffsrestriktionen über Benutzernamen und Passwort stellen in der Regel sicher, dass die Anwendung nicht von unzulässig vielen Personen genutzt wird. Allerdings besteht auch hier die Möglichkeit, dass ein Unternehmen Geld verschwendet, wenn Zugänge nicht mehr genutzt werden, die Verträge aber unverändert weiter laufen oder gar erhöht werden. Darüber hinaus kommt ein ganz besonderer Aspekt ins Spiel, wenn Kennwörter im Besitz von Mitarbeitern sind, die das Unternehmen verlassen.

Es bedarf eines stringenten Managements solcher Zugänge, um zu verhindern, dass der ehemalige Mitarbeiter die in der Anwendung liegenden Unternehmensdaten nach seinem Ausscheiden weiterhin nutzt. Womöglich in seiner neuen Tätigkeit bei einem Wettbewerber. Der Verlust von Firmengeheimnissen und vertraulichen Internas wäre die Folge. Leider ist zu beobachten, dass Compliance im Sinne einer ordnungsmäßigen und wirtschaftlichen Lizenzierung eingesetzter (Cloud-) Software oft nicht auf der Agenda des Risiko- bzw. Finanzmanagements von Unternehmen zu finden ist. Dabei lassen sich mit einem konsequenten und nachhaltigen Lizenzmanagement bis zu 30 % der Softwarekosten einsparen. Dazu gibt es zahlreiche Analysen von internationalen Experten. Wenn man berücksichtigt, dass die Kosten für Softwarelizenzen die Kosten der Hardware um ein Vielfaches übersteigen, ist es unverständlich, dass Lizenzmanagement nicht bei jedem Unternehmen Chefsache ist. Schließlich gibt es keine wirtschaftlich tätige Organisation, die um den Einsatz von Software herumkommt.

Abhilfe verschaffen Softwarelösungen wie die von Matrix42, die im Wesentlichen drei Vorteile bieten: Automation, Prozessunterstützung und Dokumentation. Alle drei sind immens wichtig, wenn es darum geht, die Einhaltung von Compliance-Vorschriften sicher zu stellen. In der Automation liegt der Schlüssel für Effizienz. Sie stellt sicher, dass die verantwortlichen Mitarbeiter die Zeit haben, mit ihrem Wissen und ihrer Erfahrung komplexe Fragestellungen beurteilen und Entscheidungen treffen zu können, die eine Maschine nicht behandeln kann. Eine Unterstützung der Prozesse ist deshalb essenziell, weil komplexe Zusammenhänge und Abhängigkeiten nur so durchschaubar bleiben. In Verbindung mit der Dokumentation aller Rohdaten, Grundlagen, Zusammenhänge und Entscheidungen wird daraus ein nachvollziehbares Gesamtergebnis, das bei interner Revision sowie externem Audit belastbar bleibt. Allerdings kommen Unternehmen nicht darum herum, die von einer solchen Lösung aufbereiteten Daten zu qualifizieren. Darüber hinaus sind besondere Verfahren der Softwarebereitstellung (z. B. Terminal Server) oder spezielle Lizenzierungsbedingungen (z. B. Client Access – CAL) individuell zu betrachten, da eine automatische Berechnung ohne definierte Grundlagen nicht ohne weiteres möglich ist.

Unabhängig vom Einsatz einer Softwarelösung für das Lizenzmanagement ist es für die effektive Bilanzierung der Lizenzen unabdingbar, dass das Unternehmen eine dafür angemessene Aufbau- und Ablauforganisation definiert. Eine gute Analogie hierfür ist das betriebliche Rechnungswesen. Auch hier reicht es nicht, eine Finanzbuchhaltungssoftware einzusetzen. Vielmehr müssen alle relevanten Prozesse darauf abgestimmt und ein verantwortliches Team definiert werden, deren Mitglieder entsprechend ausgebildet sind. Schwierig wird es immer dann, wenn Unternehmen eine Lizenzmanagement-Software einsetzen, die als „Silo-Lösung“ kaum oder überhaupt nicht mit anderen IT- und Beschaffungsprozessen verknüpft wird. Ernsthaft betriebenes Lizenzmanagement ist daher immer eine integrale Funktion innerhalb eines gesamtheitlichen IT-Managements.