Sechs Praxistipps für UnternehmenSo übersteht man Software-Audits

29. August 2018

Kündigt ein Software-Hersteller ein Lizenz-Audit an, rutscht so manchem IT-Verantwortlichen das Herz in die Hose. Denn: Audits haben oft teure Konsequenzen. Aber keine Sorge: Wer die sechs goldenen Regeln zur Lizenzprüfung beachtet, die der renommierte Gebrauchtsoftware-Anbieter usedSoft formuliert hat, muss das Software-Audit nicht fürchten.

Achtung Audit kommt

Bei Lizenz-Audits prüfen Hersteller mit Hilfe von unabhängigen Auditoren, ob ihre Kunden die Software im vereinbarten Umfang nutzen. Häufiges Ergebnis dieser Prüfungen: hohe Strafzahlungen, weil das Unternehmen mehr Lizenzen nutzt, als es gekauft hat. Der Grund für diese Unterlizenzierung ist in aller Regel aber nicht Absicht, sondern fehlende Übersicht. „Wer die eigenen Lizenzen stets im Auge behält und sich rechtzeitig vorbereitet, kann der Prüfung gefasst entgegensehen“, betont Peter Schneider, Geschäftsführer von usedSoft.

Regel Nummer 1: Die Risiken kennen! Setzt ein Unternehmen mehr Software-Lizenzen ein, als es gekauft oder gemietet hat, birgt das erhebliche Risiken. Software-Hersteller verlangen bei Unterlizenzierungen bisweilen eine Strafgebühr, die empfindlich zu Buche schlagen kann. Hinzu kommt: Unabhängig davon können der zuständige Geschäftsführer oder die verantwortlichen IT-Leiter persönlich haften, da sich eine Unterlizenzierung oftmals nicht „mit der Sorgfalt eines ordentlichen Kaufmanns“ vereinbaren lässt. Eine Freiheitsstrafe von bis zu drei Jahren kann die Folge sein. Zwar sind solch drastische Konsequenzen die Ausnahme; in jedem Fall droht aber ein Strafverfahren.

Regel Nummer 2: Wissen, was auf einen zukommt! Audits können jedes Unternehmen treffen, das Software von bestimmten Herstellern gekauft hat. Den Anfang macht ein Brief, mit dem ein Software-Hersteller wie etwa Microsoft die Prüfung ankündigt.

„Nach Erhalt des Anschreibens hat das Unternehmen 30 Tage Zeit, um sich auf das Audit vorzubereiten“, erläutert Denis Heinzmann, erfahrener Lizenz- und Compliance Experte, der früher selbst als Lizenzprüfer tätig war. In dieser Phase muss das Unternehmen sämtliche Aufzeichnungen über die Nutzung der Software bereitstellen, die der Software-Hersteller bei der Prüfung sehen will. Am ersten Tag führen die Auditoren – meist zwei Mitarbeiter eines Wirtschaftsprüfungsunternehmens – zunächst ein einleitendes Gespräch mit den Verantwortlichen.

Dabei lassen sie sich die abgeschlossenen Lizenzverträge und eine Übersicht der genutzten Software-Lizenzen zeigen. Im Anschluss kontrollieren die Prüfer die Angaben stichprobenartig: Dazu gehen sie z.B. an einzelne Arbeitsplätze und prüfen, ob für die entsprechenden Geräte Software-Lizenzen vorliegen.

Die Dauer des Audits variiert: „Die Prüfung vor Ort kann nur wenige Tage oder mehrere Wochen dauern“, so Lizenz-Experte Heinzmann. „Es gibt sogar Fälle, in denen die Prüfer bereits am ersten Tag eine stichtagsbezogene Lizenzbetrachtung erstellen. Das hängt mit den unterschiedlichen Prüfansätzen zusammen, die es beispielsweise bei Microsoft gibt. Aber auch die Größe und Organisationsstruktur des zu prüfenden Unternehmens spielen bei der Dauer eine Rolle.“

Anschließend werten die Prüfer die erhobenen Daten aus und legen die Ergebnisse sowohl dem Hersteller als auch dem Unternehmen vor. Der Kunde hat zu diesem Zeitpunkt noch die Möglichkeit, zum Beispiel Fragen zu den erhobenen Daten zu stellen. Erst wenn alle Punkte geklärt sind und das auditierte Unternehmen die Ergebnisse akzeptiert, wird die finale Lizenzbilanz erstellt und dem Hersteller sowie dem Kunden vorgelegt. Wird hier beispielsweise eine ausstehende Nachlizensierung festgehalten, sind die Prüfer davon nicht mehr betroffen. Ihre Arbeit endet mit dem Erstellen der finalen Bilanz.

Fachwissen nötig

Regel Nummer 3: Rechte und Pflichten kennen! Mit dem Kauf oder der Miete der Software-Lizenz beim Hersteller schließt das Unternehmen einen Lizenzvertrag ab. Dieser enthält die sogenannte Prüfungsklausel. „Mit dieser Klausel sichern sich die Hersteller das Recht zu, den Lizenz-Status in einem Unternehmen zu überprüfen“, sagt Heinzmann. „Das Audit ist also Teil des Lizenzvertrages zwischen dem Unternehmen und dem Software-Hersteller.“

Je nach Vertrag variieren die Details, aber in der Regel gilt: Der Kunde muss den Auditoren Zugang zu sämtlichen Informationen gewähren, die diese für ihre Überprüfung benötigen. Zum Beispiel muss er die IT-Systeme präsentieren, auf denen die entsprechenden Programme ausgeführt werden, sofern dies für die Prüfung erforderlich ist. Auch Lizenzen für Tochterfirmen oder weitere Niederlassungen des Unternehmens muss er nachweisen: Der Kunde muss für jede genutzte Software lückenlos nachweisen, dass er das, was er einsetzt, auch lizenziert hat.

„Vor allem in Unternehmen ab 500 Mitarbeitern lohnt es sich im Falle einer Prüfung, einen Berater an Bord zu holen“, sagt Heinzmann. „Dieser steht den Unternehmen mit Rat und Tat zur Seite und sorgt dafür, dass die Regeln eingehalten werden. Dabei ist es wichtig, einen erfahrenen und vor allem unabhängigen Berater zu konsultieren. Denn ist der Berater auch Partner des Softwareherstellers, liegt ein Interessenkonflikt vor. Umso mehr verwundert es, dass man diese Konstellation immer wieder antrifft.“

Regel Nummer 4: Die richtige Vorbereitung! Damit ein Software-Audit die Verantwortlichen gar nicht erst eiskalt erwischt, sollte jedes Unternehmen sogenannte „Software Asset Management“-Tools (SAM-Tools) für die Verwaltung seiner Software-Lizenzen einsetzen. Mit solchen Management-Systemen haben Unternehmen jederzeit einen aktuellen Überblick über die eingesetzten Lizenzen und die vorhandenen Lizenzverträge. Stimmt die Zahl und die Art der benötigten Software mit Zahl und Art der Lizenzen nicht überein, schlägt das System sofort Alarm. Auch der zukünftige Bedarf lässt sich mit diesen Tools präzise planen. Unternehmen können rechtzeitig handeln und fehlende Lizenzen nachkaufen.

Lizenzbilanz

Regel Nummer 5: Die „Lizenzbilanz“ richtig umsetzen! Das Ergebnis des Audits ist die Lizenzbilanz – sie fasst in konkreten Zahlen zusammen, wie viele Lizenzen in einem Unternehmen im Einsatz sind, und welche davon auch tatsächlich gekauft wurden. Lautet das Ergebnis, dass das Unternehmen korrekt oder sogar überlizenziert ist, kann das Audit als abgeschlossen betrachtet werden. Ist das Unternehmen hingegen unterlizenziert, fällt häufig eine Strafzahlung an.

Außerdem müssen die fehlenden Lizenzen in einem festgesetzten Zeitraum nachgekauft werden. Häufiges Problem dabei: Unternehmen nutzen bei Office-Software und Betriebssystemen in geschätzt mehr als 80 Prozent der Fälle nicht die neueste Version. Die Hersteller bieten aber meist nur die aktuellste Version an. Diese lassen sich zwar meist „downgraden“, der Kaufpreis ist dann aber trotzdem der einer teuren Neu-Version.

Die Lösung bietet der Software-Gebrauchtmarkt: „Hier erhalten Unternehmen genau die Software-Version, die sie benötigen“, so Peter Schneider von usedSoft. „Und das zu Konditionen, die bis zu 50 Prozent und mehr unter dem Preis der aktuellen Version liegen.“ Kauft ein unterlizenziertes Unternehmen die fehlenden Lizenzen hingegen beim Hersteller, kann es in der Regel nur Lizenzen kaufen, die nicht rabattiert sind. Die eventuell bisher dem Unternehmen gewährten Rabattstufen gelten dann also nicht.

Regel Nummer 6: Bei Überlizenzierung Kasse machen! Nicht selten stellt sich bei einem Software-Audit heraus, dass ein Unternehmen überlizenziert ist bzw. Lizenzen besitzt, die es überhaupt nicht mehr nutzt. Dann verschwendet das Unternehmen Geld. Und zwar nicht nur, weil das Unternehmen zu viele Lizenzen besitzt: Oft wurden für diese Lizenzen Wartungsverträge abgeschlossen, die Monat für Monat mit bis zu 25 Prozent des Einkaufspreises zu Buche schlagen.

In diesem Fall sollten sofort die Wartungsverträge gekündigt werden. Zudem bietet es sich an, diese Lizenzen einem seriösen Gebrauchtsoftware-Händler zum Kauf anbieten: „Wenn das Unternehmen überschüssige Lizenzen verkauft, stoppt es dadurch nicht nur die Kostenexplosion durch die Wartungsverträge“, betont Peter Schneider von usedSoft. „Das Unternehmen kann auf diese Weise auch einen Teil des ehemals investierten Kapitals zurückführen.“ (rhh)

Hier geht es zu Usedsoft

Lesen Sie auch