Am Anfang steht die Compliance… und dann wird Software Asset Management erst...

Am Anfang steht die Compliance… und dann wird Software Asset Management erst richtig interessant!

by -
0 76
Erste Schritte mit Microsoft Secure Productive Enterprise

Braucht es SAM überhaupt? Soll es nicht einfach dafür sorgen, dass man ein Audit mit einem blauen Auge übersteht und hinterher in einer Schublade verschwinden, bis das nächste Audit vor der Tür steht?
Die kurze Antwort darauf lautet: Natürlich nicht! Die etwas längere (dafür aber informativere) Antwort finden Sie hier:

SAM soll für seine eigenen Kosten aufkommen

Wie bereits angetönt, ist SAM kein notwendiges Übel, das nur zusätzlich Geld vor oder während einem Audit kostet. Im Gegenteil: Mit professionellem SAM kommt es nie zu der Situation, in der man nur noch Schadensbegrenzung betreiben kann. SAM beginnt mit Compliance (und das im Idealfall bereits bei der Vertragsverlängerung) und gewährleistet dann eine anhaltende Optimierung.

Das A und O dabei ist, dass Sie und Ihr Berater sich gleich zu Beginn einen Überblick über Ihre Software Assets verschaffen. Denn ohne diesen Schritt laufen Sie Gefahr, durch den Kauf unnötiger Produkte zu schlechten Konditionen im falschen Vertragsmodell zu viel zu bezahlen. In diesem Prozess zeigt sich oft, dass in gewissen Bereichen eine Überlizenzierung und eine Unterlizenzierung vorliegt. Möglicherweise sind auch Software Produkte verschiedener Hersteller für denselben Zweck im Einsatz. Wenn dann noch ein Audit aufzeigt, dass man (obwohl man eigentlich zu viel bezahlt hat) unterlizenziert ist, kommt zu den verpassten Einsparungen noch eine Busse und eine Nachlizenzierung zu deutlich schlechteren Konditionen hinzu.

Umfassendes SAM sorgt dafür, dass nicht nur seine eigenen Kosten durch die Optimierung gedeckt werden, sondern die Einsparungen sogar oftmals deutlich höher sind.

Was genau kann SAM?

In erster Linie sind Sie mit besser etabliertem SAM natürlich rechtlich gegenüber dem Lizenzgeber abgesichert. Sie sind «compliant»; das heisst, Ihre Lizenzierung entspricht den vertraglich vorgegebenen Rahmenbedingungen, selbst wenn diese sich dynamisch verändern. Wenn sich die Softwarelandschaft bewegt, sind Sie darüber im Bilde und kennen die Auswirkungen auf Ihr Unternehmen.
Aber nicht nur die Lizenzgeber verändern ihre Bedingungen, auch bei Ihnen unterliegt die Verwendung von Software einem steten Wandel. Denn es geht ja nicht nur um die rechtlichen Aspekte. Durch das Metering wird zum Beispiel laufend festgestellt, ob installierte Software auch genutzt wird. So wird sichtbar, wo sich ein Teil des Optimierungspotenzials versteckt. Der Einblick in Ihren Einkaufsprozess (wer kauft Produkte wann und bei wem) ist oft besonders aufschlussreich, denn nicht immer ist dieser Prozess klar geregelt, und es entstehen schnell Überschneidungen (sprich: Doppellizenzierungen für dasselbe oder ein ähnliches Produkt).

Sie erhalten eine Transparenz, die es Ihnen zu jedem Zeitpunkt erlaubt, Einsicht zu nehmen und einen Mehrwert durch Einsparungen zu generieren. Diese Transparenz sorgt auch dafür, dass Sie in einem Auditfall ohne grossen Zusatzaufwand die vom Hersteller verlangten Informationen liefern können.

Kurzum: SAM ist ein kontinuierlicher Prozess, spart Zeit und Geld und zeigt jederzeit auf, wo sich verstecktes Potential im Software Lifecycle befindet. Verstecktes Potential heisst Optimierungspotential und Optimierungspotential heisst Einsparpotential.

Wie wird SAM erfolgreich eingeführt?

Ein erfolgreiches und nachhaltiges SAM findet schrittweise statt. Die aus unserer Sicht dafür notwendigen Schritte haben wir in fünf Phasen unterteilt:

  • Phase 1: SAM Maturitätsanalyse
  • Phase 2: Definition und Aufbau der SAM Strategie
  • Phase 3: Schrittweise SAM Implementation
  • Phase 4: Überprüfung und erster SAM Betrieb
  • Phase 5: Laufender SAM Betrieb und Optimierung

In der SAM Maturitätsanalyse kommen noch keine Tools zu Einsatz, und es werden auch noch keine Lizenzen gezählt. Bei diesem Schritt geht es darum festzustellen, wie fortgeschritten der SAM Prozess in einem Unternehmen ist. Erhoben wird dies durch strukturierte Interviews mit den wichtigsten SAM Stakeholdern der Firma. Evaluiert wird unter anderem, wie SAM bereits betrieben wird, ob Tools im Einsatz sind, ob Reports an die richtigen Stellen gelangen, etc. Es wird das Fundament für weitere Schritte gelegt.

In den Interviews werden folgende 7 SAM Bereiche untersucht und hinterfragt (auf Basis von ISO 19770-1):

Die SAM Strategie sollte das Ziel des Unternehmens zum Ausdruck bringen, die Software bestmöglich zu verwalten, nur legale Software einzusetzen und die Vorgehensweise beim Erwerb legaler Software zu verdeutlichen. Dazu sind oftmals entsprechende Weisungen und Schulungen der Belegschaft notwendig. Die Mitarbeitenden sollen den Wert von Software erkennen, den Unterschied zwischen legalem und illegalem Gebrauch verstehen und sich verpflichten, die Software ordnungsgemäss zu nutzen.
Um SAM fokussiert aufzubauen, ist eine kurze, klar formulierte SAM Strategie unumgänglich. Weniger ist auf Grund unserer Erfahrungen dabei mehr. «Was wollen wir?» «Wohin wollen wir?» «Was sind dabei für Rollen, Prozesse und Methoden wichtig?» Die Antworten auf diese Fragen sollten dem Informationsmaterial für neue Mitarbeitende beiliegen und an alle gegenwärtigen Mitarbeitenden kommuniziert werden (zum Beispiel an einem Schwarzen Brett der Firma und über ein Intranet oder Trainings). Alle Mitarbeitenden müssen die SAM Strategie und die Konsequenzen bei Verstoss kennen. Es empfiehlt sich daher, die SAM Strategie den IT Richtlinien und dem Benutzerhandbuch beizulegen und von den Mitarbeitern als verstanden zu bestätigen.
Die spezifischere Frage «Welche Software brauchen wir?» wird dabei helfen, Software korrekt und effizient zu kaufen und zu nutzen. Darüber hinaus kann die Antwort auf diese Frage auch eine Richtlinie für den Aufbau und Erhalt eines entsprechenden Standards sein. Sie können das richtige Softwareprofil für jeden Computer und User ermitteln, indem Sie nachprüfen, ob die Abteilungen/Mitarbeitenden andere oder zusätzliche Software oder Anwendungen benötigen. So lässt sich bereits in einem ersten Schritt überflüssige Software identifizieren, und Ihr Unternehmen kann entscheiden, ob es dieses Produkt weiter nutzen möchte.

In Phase 3 geht es darum, SAM schrittweise zu implementieren. Das Zusammenspiel von Prozessen und SAM-Tool spielen in diesem Schritt eine zentrale Rolle. Mit einem SAM-Tool muss eine erste Inventur Ihrer Software erstellt werden. Nur wenn Sie wissen, welche Programme auf allen Computern in Ihrer Firma installiert sind (Desktops, Laptops und alle Programmkopien, die Ihre Mitarbeitenden zu Hause auf ihren PCs installiert haben), können Sie den aktuellen Softwarebedarf bestimmen und das weitere Vorgehen definieren. Die Prozesse werden Ihnen dabei helfen, SAM kontinuierlich weiter zu entwickeln und dadurch die Maturität zu steigern.
In der Phase der SAM Implementation gilt es auch, die definierten Rollen, Prozesse und Methoden auf ihre Funktionsfähigkeit zu testen und allenfalls zu justieren.

Sie können die auf den Firmencomputern installierte Software mit den vorhandenen Lizenzen und Lizenzbestimmungen vergleichen. Hier gilt es auch, daran zu denken, dass einige Lizenzverträge (z.B. Multiple License Verträge) es gestatten, eine bestimmte Anzahl von Kopien eines einzelnen Programms zu erstellen, und dass eine begrenzte Anzahl von Anwendern die Software gleichzeitig in einem Netzwerk nutzen kann. Ein Tool mit zusätzlich integrierter Lizenzvertragsverwaltung kann hier unterstützen.
In den Originallizenzen steht, wie viele Nutzer erlaubt sind. Verlassen Sie sich nicht auf eine Original CD oder Diskette, denn nur die Lizenz selbst hat Gültigkeit!
Nachdem Sie illegale Softwarekopien in Ihrem Unternehmen identifiziert haben, müssen Sie diese von den Computern löschen. Das ist auch der ideale Zeitpunkt, um Ihre Mitarbeitenden an die Softwarepolitik des Unternehmens und die Gefahren im Zusammenhang mit illegaler Software zu erinnern. Nun können Sie die legalen Softwarekopien, die auf den Computern verbleiben, mit dem Softwarebedarf vergleichen, den Sie bei der Aufstellung des Inventars ermittelt haben.
Am Ende von Phase 4 können Sie nun auf der Grundlage des Inventars, der Upgrades, neuer Einkäufe und der Bedarfsmeldungen Ihrer Mitarbeitenden eine offizielle Liste der Software erstellen, mit der Ihre Mitarbeitenden arbeiten dürfen. Diese Liste sollte Folgendes beinhalten: die Bezeichnungen der Programme, Sprachversionen, Versionsnummern, Anzahl der durch die Lizenz erlaubten Kopien oder Nutzer, die Computer, auf denen die Kopien installiert sind, sowie Pläne für zukünftige Erweiterungen, Upgrades oder Programmentfernungen.

Korrektes Softwaremanagement ist ein permanenter Prozess, daher ist auch Phase 5 – der laufende SAM Betrieb und die Optimierung – ein Schritt in die Zukunft. Sie erlaubt es, die Einhaltung der Vorschriften zu überwachen, sich gegen den Einsatz illegaler Software zu schützen, Ihre Liste der unterstützten Software auf dem neuesten Stand zu halten und für die nächsten drei Jahre vorauszuplanen. Es ist sinnvoll, einen bestimmten Mitarbeitenden Ihrer Firma mit dieser Aufgabe zu betrauen und so eine zentrale Anlaufstelle zu schaffen. Es lohnt sich, halb oder mindestens jährlich eine umfassende Lizenzbilanz zu erstellen.
In bestimmten Abständen sollten Sie zudem stichprobenartige Überprüfungen bei einzelnen Computern durchführen, um sicherzustellen, dass keine illegale Software versehentlich oder vorsätzlich installiert wurde. Wenn Mitarbeitende die Firma verlassen, achten Sie stets darauf, dass die Software, mit der sie gearbeitet haben, in Ihrem Unternehmen verbleibt, und dass keine Kopien erstellt oder mitgenommen werden.
Nachdem Sie Ihren Softwarebestand geordnet haben, müssen Sie dennoch Ihr Arbeitsumfeld weiterhin im Hinblick auf illegale Software überwachen.

Zum Schluss

Jedes Unternehmen kann von SAM profitieren. Das scheint wie ein mutiges Statement, trifft aber zu. Wer die Software Assets nicht im Griff hat, wird auf die ein oder andere Weise zweifelsohne draufzahlen. Dazu gilt die Faustregel, je grösser eine Unternehmung ist, umso komplexer ist der Prozess und umso mehr kann optimiert werden. Entsprechend lohnt sich auf jeden Fall eine Bestandsaufnahme der existierenden Vorgänge, um festzustellen, wie gross Risiko und Optimierungspotenzial sind. Eine SAM Maturitätsanalyse gibt Ihnen den nötigen Überblick, mit dem Sie den Nutzen weiterer Schritte abwägen können.

Verwendete Industriestandards und Referenzmodelle

ITIL wie auch die ISO 19770-1 sind wesentliche Bestandteile eines SAM Modells: