Opinion Paper Reifegrad und Zukunft des Softwarelizenz-Managements in der Praxis Ergebnisse einer Befragung 2012 / 05 We make ICT strategies work
Inhaltsverzeichnis 1 Executive Summary... 3 2 Ziel der Untersuchung... 4 3 Bausteine des Software-Lizenzmanagements und Vorgehen der Untersuchung... 6 3.1 Detecons House of License Management... 6 3.2 Vorgehensweise der Untersuchung... 7 4 Die Ergebnisse: Von Anfänger bis Experte - ein differenziertes Feld mit viel Potenzial im Detail... 10 4.1 Governance und Scope Basis ist gelegt... 10 4.2 Lizenzmanagement-Prozess - Das unterschätzte Potenzial... 11 4.3 Lizenzmanagement-Tools - Die unerschöpfliche Spielkiste... 13 4.4 Beschaffung und Vertragsmanagement - Der Vorzeigekandidat mit wenig Rückendeckung... 14 4.5 Inventur und Datenmanagement - Das permanente Misstrauen nach zu vielen Seitensprüngen... 15 4.6 Compliance und Finance Die dunkle Bedrohung... 17 5 Ausblick: Wolkige Aussichten auf kleinen Bildschirmen... 19 6 Danksagung... 23 7 Die Autoren... 23 8 Das Unternehmen... 25 Opinion Paper 2 Detecon International GmbH
1 Executive Summary Software-Lizenzmanagement ist für Unternehmen, Behörden und Organisationen aufgrund der zunehmenden IT-Durchdringung nahezu aller Geschäftsprozesse ein wichtiges Thema. Zwei Ziele stehen besonders im Mittelpunkt: einerseits die Erfüllung gesetzlicher Pflichten im Rahmen der Software-Compliance und andererseits Kostenreduktion. Unternehmen können abhängig vom Reifegrad ihres Software-Lizenzmangements bis zu 25 Prozent ihrer Lizenzkosten einsparen. Das vorliegende Opinion Paper fasst Aussagen und Ergebnisse aus Interviews zusammen, die Detecon zwischen Juli 2011 und Februar 2012 mit Unternehmen aus verschiedenen Branchen in Deutschland, Österreich und der Schweiz zum Thema Software- Lizenzmanagement geführt hat. Die Fragen wurden im Rahmen der Elemente des Detecons House of License Management gestellt. Dabei handelt es sich um ein Framework der Detecon zur Beschreibung und Gestaltung des Software-Lizenzmanagements. Um die Antworten und Aussagen auf übergeordneter Ebene miteinander zu vergleichen, wurden einzelne Aspekte jeweils mit einem Reifegrad bewertet. Der Reifegrad des Software-Lizenzmanagements war in den befragten Unternehmen höher als erwartet. Viele Unternehmen setzen Lizenzmanagement-Spezialisten ein und professionalisieren zunehmend ihr Vorgehen und ihren Datenbestand. Auslöser für ein aktiv betriebenes Lizenzmanagement ist meist ein Audit eines Software-Herstellers, das zu Nachlizenzierungen geführt hat. Bestätigt wurde die Annahme, dass der Reifegrad der Serverlizenzierung deutlich geringer ist als der im Client- bzw. Desktop-Bereich. Und je länger sich ein Unternehmen mit Fragen des Software-Lizenzmanagements beschäftigt, desto weniger unterschiedliche Softwareprodukte setzt es ein. Das sehr hohe Entwicklungstempo in der Telekommunikations- und Informationsindustrie wirkt sich unmittelbar auf das Software-Lizenzmanagement aus und stellt Unternehmen vor neue Herausforderungen. Beispielsweise werfen Smartphoneapplikationen, über die auf das Intranet eines Unternehmens oder auf Informationen in einer Cloud zugegriffen werden kann, völlig neue Fragen hinsichtlich ihrer korrekten Lizenzierung auf. Solche Fragen können vielfach nur im Zusammenspiel von Software-Nutzern, -Betreibern und -Herstellern vollständig beantwortet werden. Im letzten Kapitel dieses Papers wird ein Ausblick auf diesen Zusammenhang gegeben. Opinion Paper 3 Detecon International GmbH
2 Ziel der Untersuchung Die Liste von Meldungen und Veröffentlichungen zum Software-Lizenzmanagement wird jeden Tag länger. Titel wie Runter mit den Softwarekosten, IT-Admins kennen Lizenz- Verträge nicht oder auch Wie CIOs Software Audits überstehen sind Zeugen des Drucks, dem sich Unternehmen ausgesetzt fühlen. Sie reagieren meist mehr auf Einflüsse von außen anstatt ihr Lizenzmanagement aktiv zu gestalten. Dabei hatten bereits 2009 einer Befragung von RAAD Research 1 zufolge 72 Prozent der Unternehmen mit mehr als 1.000 Mitarbeitern in Deutschland ein Asset- und Lizenzmanagement in ihrer IT umfassend implementiert. Detecon hat näher nachgefragt und ist zu einem differenzierten Ergebnis gekommen. Der Reifegrad im Software-Lizenzmanagement ist höher als erwartet. Viele Unternehmen setzen Lizenzmanagement-Spezialisten ein und professionalisieren zunehmend ihr Vorgehen und ihren Informationsbestand zu eingesetzten Lizenzen. Der Auslöser für ein aktiv betriebenes Lizenzmanagement sind meist Audits eines Software-Herstellers, die zu Nachlizenzierungen führen oder aber neue Compliance- Anforderungen der Unternehmen selbst. Der Reifegrad der Lizenzierung von Servern ist deutlich geringer als der im Client- bzw. Desktop-Bereich. Je länger sich ein Unternehmen mit Fragen des Software-Lizenzmanagements beschäftigt, umso weniger unterschiedliche Softwareprodukte setzt es ein. Doch was genau ist eigentlich Software-Lizenzmanagement? Detecon versteht darunter einen ganzheitlichen Ansatz zur aktiven Steuerung der in einem Unternehmen eingesetzten Software mit dem Ziel, Compliance-Risiken auszuschließen und gleichzeitig möglichst kosteneffizient zu agieren. Der Begriff Software-Lizenzmanagement wird hier äquivalent zum Begriff Software Asset Management verstanden, wie er im De-facto-Standard ITIL (IT Infrastructure Library) definiert ist. Wir haben unser Verständnis vom Software- Lizenzmanagement mit dem Bild eines Hauses visualisiert. Dieses House of License Management stellen wir in Abschnitt 3.1 vor. Im Fokus der von Detecon durchgeführten Interviewreihe standen große und mittelständische Unternehmen aus Deutschland, Österreich und der Schweiz, unabhängig von einer bestimmten Branche. Voraussetzung für die Teilnahme war eine kritische Unternehmensgröße ab ca. 2.500 Mitarbeitern. Nur dann erscheint uns ein organisatorisch abgegrenztes Software-Lizenzmanagement als sinnvoll. 1 http://www.raad.de/2010/09/welcome-to-the-jungle-sap-lizenzen/ Opinion Paper 4 Detecon International GmbH
Insgesamt wurden 12 Unternehmen mit dem Modell des Detecons House of License Management konfrontiert und zu den darin enthaltenen Elementen befragt. Das Vorgehen der Befragung, die im Zeitraum von Juli 2011 bis Februar 2012 stattfand, wird in Abschnitt 3.2. beschrieben. Software-Lizenzmanagement ist eine Aufgabe für Spezialisten, die über mehrere Fähigkeiten verfügen müssen. Neben der Kenntnis der einzelnen Softwareprodukte und ihren jeweiligen Lizenzierungsmetriken muss ein Lizenzmanager alle Phasen des Lizenzmanagement-Prozesses aktiv gestalten und steuern teilweise gegen Widerstände. In den von uns befragten Unternehmen sind Lizenzmanager mehrheitlich der IT zugeordnet, ihre Tätigkeit wirkt aber tief in andere Bereiche hinein. Die im Kapitel 4 dargestellten Ergebnisse unserer Befragung zeigen, dass Software-Lizenzmanagement ein Querschnittsthema mit hohem Kommunikationsbedarf ist. Beim Design der Befragung kam es uns darauf an, den Reifegrad des unternehmensspezifischen House of License Management zu ermitteln. Den Unternehmen sollte die Gelegenheit gegeben werden, sich kritisch mit den Elementen und Vorgehensweisen ihres Software-Lizenzmanagements auseinanderzusetzen. Aktuelle Herausforderungen wie z. B. Auswirkungen des Cloud Computing, virtueller Umgebungen oder des mobilen Internets auf die Lizenzierung werden in Kapitel 5 angesprochen. Opinion Paper 5 Detecon International GmbH
3 Bausteine des Software-Lizenzmanagements und Vorgehen der Untersuchung 3.1 Detecons House of License Management Im Rahmen unserer Beratungsprojekte zum Thema Software-Lizenzmanagement haben sich im Laufe der Zeit typische Themenfelder herausgestellt, die zu einem systematischen und umfassenden Software-Lizenzmanagement gehören (quasi Module). Der Zusammenhang zwischen diesen Elementen erschließt sich insbesondere dann, wenn sie in der Metapher eines Hauses zusammengeführt werden: House of License Management Anbieter Compliance Transparenz Kostenreduktion Staat Strategie & Governance Lizenz Management Prozesse Lizenz Management Tools Lizenz-Inventar & Datenmanagement Lizenzverwaltung Nachhaltiges Bewusstsein und Kompetenzen auf Unternehmensebene Unternehmen in den Business Units Abbildung 1: Detecons House of License Management Die beiden Dachhälften bilden die Hauptziele des Software-Lizenzmanagements ab: Compliance und Kostenreduktion. Als gemeinsamer Träger dieser Hälften fungiert die Transparenz des Datenbestandes (Lizenzdaten). Die gesamte Dachkonstruktion wird von fünf Säulen getragen, die als Hauptelemente des Software-Lizenzmanagements verstanden werden: 1. Definition einer Lizenzmanagement-Strategie und Governance. Darin wird festgelegt, welche Unternehmensbereiche und welche Software-Hersteller mit welchen Produkten einbezogen werden sollen. Auch die Prozesse, Rollen, Rechte und IT-Systeme zum Lizenzmanagement werden hier definiert. 2. Design und Implementierung effizienter End-to-End-Prozesse, die von der Bedarfsplanung über die Lizenzbeschaffung bis hin zur Lizenzverschrottung reichen und somit den kompletten Software-Lebenszyklus abdecken. 3. Auswahl und Rollout geeigneter Tools zur Unterstützung der Lizenzmanagement- Prozesse. Opinion Paper 6 Detecon International GmbH
4. Erstellung und Pflege des Lizenzinventars einschließlich des dazugehörigen Datenmanagements. 5. Design und Einführung einer geeigneten Lizenzmanagement-Organisation inklusive der eindeutigen Definition und Einführung von Rollen und Verantwortlichkeiten. Das Fundament des Hauses bilden die Entwicklung und Aufrechterhaltung eines nachhaltigen Bewusstseins für das Lizenzmanagement auf allen Führungsebenen. Das House of License Management trägt maßgeblich dazu bei, dass Software- Lizenzmanagement in Hinblick auf Compliance, Kosten, Transparenz und Effizienz zu entwickeln oder zu optimieren. Dabei werden folgende Punkte unterstützt: Effizientes und schlankes Erfassen und Management von Software-Verträgen und - Lizenzen. Signifikante Reduktion von Lizenzkosten durch Identifikation von Kostentreibern und Vermeidung von Überlizenzierung durch optimierten Lizenzeinsatz. Sicherstellung der Compliance durch revisionssichere Inventarisierung der im Unternehmen eingesetzten Softwareprodukte sowie eindeutige Zuordnung und Verrechnung von Lizenzkosten. Verbesserung der Verhandlungsposition gegenüber Softwarelieferanten durch Bestands- und Bedarfstransparenz. 3.2 Vorgehensweise der Untersuchung Nachdem Detecon über mehrere Jahre hinweg Projekte zum Software-Lizenzmanagement erfolgreich durchgeführt hat, sollte mit dem House of License Management bewertet werden, wie weit Unternehmen mit ihren jeweiligen Lizenzmanagement beim Bau ihres Lizenzmanagement-Hauses vorangekommen sind. Detecon hat dazu 12 Unternehmen aus Deutschland, Österreich und der Schweiz zum Sachstand der Bausteine ihres Lizenzmanagements befragt. Die Unternehmen wurden über persönliche Kontakte von Detecon und über ein Partnernetzwerk der compartner AG zum Thema Software-Lizenzmanagement gewonnen. Der Nutzen für die teilnehmenden Unternehmen lag darin, im Gespräch eine externe fachliche Einschätzung des Reifegrades ihres Software-Lizenzmanagements zu erhalten. In den Interviews konnten teilweise detaillierte Feedbacks gegeben und Fachgespräche auf hohem Niveau geführt werden. Es kann davon ausgegangen werden, dass es sich bei den an der Befragung teilnehmenden Unternehmen um eine Positivauswahl handelt, dass heißt Unternehmen, die sich nicht aktiv mit Software-Lizenzmanagement beschäftigen, hätten sich wahrscheinlich auch nicht bereit erklärt, an einer Befragung zum Reifegrad ihres Lizenzmanagements teilzunehmen. In den Ergebnissen spiegeln sich daher auch keine negativen, statistisch signifikanten Abweichungen bezüglich des Reifegrades wider. Opinion Paper 7 Detecon International GmbH
Die Interviews wurden persönlich geführt und dauerten jeweils ein bis zwei Stunden. Grundlage der Gespräche bildete ein in sechs Fragenkomplexe gegliederter Interviewleitfaden: 1. Fragen zur Governance 2. Fragen zu Lizenzmanagement-Prozessen 3. Fragen zu Lizenzmanagement-Tools 4. Fragen zum Beschaffungs- und Vertragsmanagement 5. Fragen zur IT und zum Software-Deployment 6. Fragen zu Compliance & Finance Zu jeder Frage wurden idealtypische Antwortmöglichkeiten mit den Reifegraden 0 bis 4 vorgegeben. Der Reifegrad 0 entsprach der Aussage nicht vorhanden bzw. sehr schwach ausgeprägt, der höchste Reifegrad 4 entsprach der Aussage alle notwendigen Maßnahmen sind eingeleitet, professionell umgesetzt und marktführend implementiert. Die Reifegrade 1 bis 3 deckten Zwischenformen dieser beiden extremen Ausprägungen ab. Der Reifegrad des in einer Frage besprochenen Aspektes zum Lizenzmanagement ergab sich aus der größtmöglichen Übereinstimmung der Situation in einem Unternehmen mit einer der vorgegebenen Reifegrad-Ausprägungen. Zwischenausprägungen in Schritten zu 0,5 waren möglich. Die Reifegrade zu den Fragen eines Fragenkomplexes wurden arithmetisch gemittelt, um Aussagen über die Reife in den einzelnen Bereichen des House of License Management machen zu können. Das folgende Beispiel mit fiktiven Werten soll die Bestimmung des Reifegrades für den Fragenkomplex 1 (Governance) verdeutlichen: Attribut Attribut 1 Attribut 2 Attribut 3 Attribut 4 Frage Gibt es eine übergreifende Governance bzw. einen klaren Scope über Umfang und Ziele des Lizenzmanagements? Gibt es ein Anforderungsmanagement für das Lizenzmanagement? Finden Schulungen zum Lizenzmanagement statt; und wenn ja, in welcher Form und in welchen Intervallen? Wie ist der Scope Ihres Lizenzmanagements definiert (Vendoren + Legaleinheiten) Bewerteter Reifegrad 2 3 0 1 Abbildung 2: Beispiel für die Ermittlung des Reifegrades Der Reifegrad für den Fragenkomplex Governance beträgt in diesem Beispiel 1,5. Herleitung: [(2+3+0+1)/4 = 1,5]. Opinion Paper 8 Detecon International GmbH
Dieses Vorgehen ermöglicht es, den Reifegrad des Lizenzmanagements zwischen den einzelnen Unternehmen vergleichbar zu machen. Es wird ausdrücklich darauf hingewiesen, dass die Bewertung des Reifegrades auf den vom Interviewpartner bereitgestellten Informationen sowie der subjektiven Einschätzung und den Erfahrungswerten der Detecon- Berater beruhen. Die Ergebnisse der Befragung haben somit weder den Anspruch auf Vollständigkeit noch auf Wissenschaftlichkeit. Ebenso wurden keine Nachweise oder Belege für die jeweiligen Aussagen der Interviewpartner eingefordert, wie es beispielsweise in Qualitätsmanagement-Audits der Fall ist. Bei den einzelnen Fragenkomplexen und deren möglichen Antwort-Attributen wurde nicht zwischen unterschiedlichen Infrastruktur-Typen wie zum Beispiel Desktop und Server unterschieden. In einigen Interviews wurde aber dennoch geäußert, dass der Reifegrad in den verschiedenen Infrastruktur-Bereichen erheblich voneinander abweicht. In solchen Fällen wurde ein Mittelmaß über alle Infrastrukturen gebildet und dies als Ausprägung im Reifegrad abgebildet. Opinion Paper 9 Detecon International GmbH
4 Die Ergebnisse: Von Anfänger bis Experte - ein differenziertes Feld mit viel Potenzial im Detail 4.1 Governance und Scope Basis ist gelegt Grundsätzlich existiert in allen befragten Unternehmen eine Lizenzmanagement-Governance - bestehend aus einem Rollenmodell sowie der Definition von entsprechenden Verantwortlichkeiten. Allerdings gibt es Lücken in der operativen Umsetzung sowie im Verständnis der Rollenaufgabe. Der zentrale Ankerpunkt im Aufgabenfeld des Software- Lizenzmanagements stellt der Lizenzmanager in den Ausprägungen zentral und dezentral (operativ) dar. Die Struktur und die Komplexität des Rollenmodells spiegeln sich im Aufbau der entsprechenden Unternehmensorganisation wieder. Zentralistisch organisierte Unternehmen haben eine deutlich besser ausgeprägte Struktur mit starker Fokussierung auf den Zentralbereich. Dezentrale Einheiten wie Landesgesellschaften oder Unternehmensstandorte sind in dieser Betrachtung oftmals out of scope bzw. ihnen wird per Zentralbeschluss das relevante Aufgabenspektrum auferlegt ohne die lokalen Anforderungen zu beachten. Ein konstruktives Verständnis der Thematik und ein proaktives Mitgestalten von relevanten Prozessen ist von diesen Einheiten somit eher nicht zu erwarten. Interessant ist, dass die befragten Unternehmen ein übergreifendes Anforderungs- Management bzw. ein zentrales Lizenzmanagement-Board, in dem IT, Lizenzmanagement und Einkauf vertreten sein sollten, als nicht notwendig erachten. Zwar werden beispielsweise im Rahmen von Vertragsverhandlungen vorhandene Gremien wie Einkaufboards temporär genutzt, diese können jedoch nicht ein auf Lizenzthemen fokussiertes Gremium ersetzen. Besonders in der Phase der Etablierung des Lizenzmanagements sind regelmäßige Abstimmungen über ein solches Gremium von großem Nutzen und tragen entscheidend zum Erfolg bei. Die organisatorische Zuordnung des Lizenzmanagements erfolgt überwiegend in der operativen IT, selten im Einkauf oder CIO-Bereich, und ist überwiegend klar geregelt. Vertikale Schwankungen in der Organisationstiefe sind je nach individuell eingeschätzter Wichtigkeit der Thematik zu erkennen - der Zyklus orientiert sich dabei insbesondere an der Häufigkeit von Reorganisationen im Unternehmen. Diese Anhaltspunkte stellen einen deutlichen Indikator dafür dar, inwieweit das Thema aus Geschäftsführungssicht im Focus steht. Ein weiterer wichtiger Punkt in diesem Fragenkomplex stellte die Frage nach dem Scoping dar. Bei allen Befragten ist eine Fokussierung auf durchschnittlich 10-15 Software-Hersteller mit einer klar definierten Produktmatrix zu erkennen. Der geografische Scope des Lizenzmanagements beschränkt sich überwiegend auf große Standorte bzw. Länder. Hier spielt sicherlich eine Rolle, dass ein Betrachtungshorizont über aller eingesetzten Softwareprodukte zum einen mit sehr hohen Personalaufwänden verbunden und zweitens operativ schwer umzusetzen ist. Daher ist zu prüfen, bei welchen Softwareprodukten der Aufwand eines systematischen Lizenzmanagements gerechtfertigt erscheint. Opinion Paper 10 Detecon International GmbH
Nicht weit verbreitet in den Unternehmen sind regelmäßige Schulungen zum Lizenzmanagement. Die Bedeutung von Schulungen wird zwar erkannt, jedoch wird das Thema über die Teilnahme an Hersteller-Veranstaltungen hinaus meist nicht verfolgt. Als Best in Class sehen wir Unternehmen an, die ihre Mitarbeiter - und hier insbesondere die im Lizenzmanagement-Prozess aktiven Mitarbeiter - regelmäßig schulen und ihnen mit einem Zertifikat die Tauglichkeit zum Lizenz-Manager bescheinigen. Eines der befragten Unternehmen hat sogar einen Lizenzmanagement-Führerschein eingeführt, um den bestimmungsgemäßen Umgang mit Softwarelizenzen sicherzustellen. Reifegrad 4,0 Governance 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Organisatorische Zuordnung Governancemodell Anforderungsmanagement Schulungen der Mitarbeiter Scope des LMs Median Max Wert Min Wert Abbildung 3: Ergebnisse zum Fragenkomplex Governance Zusammenfassend ist festzustellen, dass neben dem Beschaffungs- und Vertragsmanagement die Governance das am reifsten ausgeprägte Element ist. Die Indikatoren zeigen, dass in diesem Bereich Grundlagen gelegt und umgesetzt sind, im Ausbau und der Umsetzung aber meist noch Optimierungspotenzial steckt. 4.2 Lizenzmanagement-Prozess - Das unterschätzte Potenzial Keines der befragten Unternehmen verfügt über einen vollständig beschriebenen und lückenlos in angrenzende Geschäftsprozesse integrierten Lizenzmanagement-Prozess. Es stellt sich daher die Frage der generellen Notwendigkeit der Integration. Aus dem Blickwinkel eines systematischen und umfassenden Lizenzmanagements muss diese Frage mit ja beantwortet werden. Legt man jedoch rein pragmatische Kriterien zu Grunde, so lautet die Antwort nein. Die Wahrheit liegt - wie immer - dazwischen. Ein das Lizenzmanagement gestaltender Prozess sollte mit allen Prozessschnittstellen auf dem Level 1-3 vollständig beschrieben und modelliert sein. Tiefergehende Beschreibungen bis auf Ebene der Arbeitsanweisung (Level 6) sollten nur dort angefertigt werden, wo sie tatsächlich benötigt werden und zu einer Verbesserung führen. Das häufig vorgetragene Argument, dass den Mitarbeitern ihre Aufgaben völlig transparent seien, gaukelt in diesem Punkt trügerische Sicherheit vor, die im Auditfall negative Auswirkungen haben kann. Opinion Paper 11 Detecon International GmbH
Gut und sehr detailliert dokumentiert sind in fast allen Unternehmen die Einkaufs- und Deploymentprozesse. Dies liegt zum einen am Quasi-Standard ITIL für die Thematik des Deployments (inkl. Change und Incident) und zum anderen an den durch Costsaving- Projekte optimierten Einkaufswegen. Beides kann aber nicht darüber hinwegtäuschen, dass diese Prozesse nur einen Teilbereich des Lizenzmanagements abdecken. Eine regelmäßige Bedarfsplanung oder Lizenzverschrottung wird nur in wenigen Fällen durchgeführt. Genau hier liegt hohes Optimierungs- und Einsparpotenzial. Ein interessantes Ergebnis der Befragung ist, dass die ISO/IEC-Norm 19770 2 kaum Beachtung findet. Viele Unternehmen nutzen diese Norm zwar als Anregung zur Gestaltung ihres Lizenzmanagements, eine Zertifizierung wird aber von keinem der befragten Unternehmen angestrebt. Dieses Ergebnis verblüfft, da der Wunsch nach Normen und Guidelines in diesem Umfeld normalerweise sehr stark ist. Reifegrad 4,0 Lizenzmanagement Prozess 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Lizenzmanagement Prozess (z.b. Beschaffung, etc.) Integration in Gesamtorga Median Max Wert Min Wert Prozessmessbarkeit Abbildung 4: Ergebnisse zum Fragenkomplex Lizenzmanagement-Prozess Im Vergleich zu den anderen Fragenkomplexen weisen die Unternehmen beim Lizenzmanagement-Prozess den niedrigsten Reifegrad auf. Ein Blick auf Median und Schwankungsbreite zeigt, dass die Ausprägungen hier weit voneinander abweichen. Je prozessorientierter ein Unternehmen insgesamt ausgerichtet ist, desto wahrscheinlicher muss es auch das Lizenzmanagement über den prozessualen Ansatz lösen. 2 Die ISO / IEC-Norm 19770 ist stark an den ITIL-Standard angelehnt und definiert ein grundlegendes Prozessframework zum Software Asset Management. Opinion Paper 12 Detecon International GmbH
4.3 Lizenzmanagement-Tools - Die unerschöpfliche Spielkiste Das Lizenzmanagement wird in nahezu allen befragten Unternehmen durch ein oder mehrere Tools unterstützt. Es zeigt sich aber, dass in weniger als 50 Prozent der Fälle Lizenzmanagement COTS-Systeme 3 zum Einsatz kommen. Eigenentwicklungen und tiefgreifende Anpassungen bestehender Systeme sind die Regel. Blickt man etwas tiefer in die jeweilige Systemlandschaft des Unternehmens, wird das nachvollziehbar. Technische Systeme wie eine Configuration Management Database (CMDB) und kaufmännische Systeme wie ein Enterprise Resource Planning (ERP) sind in allen Unternehmen vorhanden. Oftmals sind in diesen Systemen bereits Asset- und Lizenzmanagement-Funktionalitäten integriert oder könnten hinzugekauft werden. Eine aufwändige Integration eines weiteren Systems ist somit obsolet. Auch ist die Neuanschaffung eines speziellen Lizenzmanagement-Systems immer mit Aufwänden und ressourcenintensiven Integrationsprojekten verbunden. Unternehmen, die spezielle Software-Asset Management-Systeme einsetzen, nutzen diese oftmals nur rudimentär (zum Beispiel zur Lizenz-Inventarisierung oder zum Lizenz- Scanning). Die eigentlichen Stärken solcher Systeme - Workflow-Engines oder Metrik- Editoren - werden meist nicht eingesetzt. Dies ist schwer nachzuvollziehen, werden doch in den Anforderungsbeschreibungen der Unternehmen für ein Lizenzmanagement-System in der Regel derartige Funktionalitäten gefordert. Der niedrige Reifegrad in den Untersuchungs-Ergebnissen spiegelt diese Abweichung wieder. Die primäre Funktion wird nur in wenigen Fällen mit dem Lizenzmanagement-System durchgeführt. Hier vertrauen Unternehmen entweder auf einfache und bekannte Lösungen mittels Tabellenkalkulation oder auf Reports aus einem der vorhandenen Systeme. Die befragten Unternehmen sind mit dem Stand ihrer IT-Systeme zum Lizenzmanagement durchgehend zufrieden, was sich in dem relativ hohen Reifegrad-Median von 3,0 ausdrückt. Lücken sind erkannt (zum Beispiel Servermanagement und virtuelle Umgebungen). Ob und inwieweit Spezialsysteme für das Lizenzmanagement notwendig sind, kann jeweils nur eine individuelle Anforderungsanalyse klären. Meist kristallisiert sich erst im Verlauf einer Systemeinführung heraus, welche Funktionen tatsächlich für das Lizenzmanagement benötigt werden und wo eine Standardlösung ausreicht. Daher sollte ein Lizenzmanagement-Tool immer den durch die IT-Strategie eingeschlagenen Weg unterstützen und nicht vorgeben. Eine Erweiterung bestehender Systeme um spezifische Funktionalitäten kann sinnvoller sein als die Anschaffung eines zusätzlichen speziellen Tools. Für Unternehmen mit einen hohen Reifegrad sollten die Integration in die IT-Architektur, die Nutzung eines gemeinsamen Datenmodells sowie die automatisierte Bereitstellung von Serviceagenten (wie beispielsweise automatisch generierte Lizenzierungsoptionen) die nächsten Schritte bilden. Aber genau in diesen Bereichen haben Spezialsysteme zum Lizenzmanagement noch Entwicklungsbedarf. 3 COTS ist die Bezeichnung für commercial of the shelf, welches auch als Standardsysteme übersetzt werden kann Opinion Paper 13 Detecon International GmbH
Reifegrad 4,0 Tools 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Systeme für z.b. LM- Handling Integration in Architektur (OSS & BSS) Lizenzrechtsberechnungen Lizenzbewertungen Median Max Wert Min Wert Abbildung 5: Ergebnisse zum Fragenkomplex Tools Zusammenfassung: Funktionalitäten spezieller Lizenzmanagement-Tools werden in der Regel nur zu einem kleinen Teil genutzt. Ungeachtet dessen sind die meisten Befragten mit ihrer Systemlandschaft durchgehend zufrieden, was ein hoher Median von 3,0 bestätigt. 4.4 Beschaffung und Vertragsmanagement - Der Vorzeigekandidat mit wenig Rückendeckung Obwohl in allen befragten Unternehmen die Einkaufsprozesse durchweg sehr gut beschrieben sind und Einkaufsumgehung weitgehend ausgeschlossen ist, sind hier die größten Optimierungspotenziale zu finden. Das spiegelt sich zum einen in kaum durchgeführten Bedarfsplanungen wieder und zum anderen in einer teilweise nur geringen Zusammenarbeit von Einkauf und IT. Aus Einkaufssicht stehen preisliche Aspekte im Vordergrund. Der Aufwand für die IT spielt vor diesem Hintergrund meist keine Rolle. Befindet sich ein Unternehmen unter Kostendruck, steht vor allem der Wertbeitrag zum Kostensenkungsprogramm im Mittelpunkt. Ausnahmen bestätigen hier die Regel. Es ist richtig, dass Lizenzkosten einen großen Kostenblock bilden. Die erhöhten Umsetzungskosten auf Grund falsch verhandelter Lizenzmodelle und aufwändige Suche nach Nutzungsnachweisen sind in Summe aber ein viel größerer Block. Da sie als Ganzes nur selten transparent sind, bleibt der Zusammenhang, zwischen Kostenmehraufwänden durch falsche Lizenzmodelle häufig unberücksichtigt. Hier zeigen sich die Schwächen einer zu kurzfristig ausgerichteten Governance zum Lizenzmanagement. Nicht nur, dass bei Vertragsverhandlungen der Lizenzmanager einzubeziehen ist, es müssen vielmehr die Rollen des Vertragsmanager oder Lead Buyer definiert und besetzt werden. Diese müssen die fachliche Sicht des Lizenzmanagements verstehen und in die Verhandlungen einbringen. Es ist zudem hilfreich, die Software-Hersteller als Partner und nicht als Gegner zu betrachten. In vielen Unternehmen übernimmt die IT die Rolle der Fachseite beim Einkauf von Lizenzen. Insbesondere in großen Organisationen sind spezielle Demand Boards etabliert. Dort werden häufig auch weiterführende Themen wie die Lizenz- und Leistungsverrechnung geregelt. Opinion Paper 14 Detecon International GmbH
Die Erfahrung der Unternehmen mit solchen Lizenzmanagement-Boards zeigt, dass der Abstimmungsaufwand für die teilweise umfassende Auseinandersetzung gerechtfertigt ist. Reifegrad 4,0 Beschaffungs- und Vertragsmanagement 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Standardisierung Verträge Demandplanung Standardisierte Beschaffungswege SW Beschaffung Zusammenarbeit mit Vendoren Median Max Wert Min Wert Abbildung 6: Ergebnisse zum Fragenkomplex Beschaffungs- /Vertragsmanagement Im Fragenkomplex Beschaffungs- und Vertragsmanagement werden sehr hohe Reifegrade erreicht. Eine deutliche Abweichung nach unten bildet jedoch der Entwicklungsgrad der Zusammenarbeit mit Software-Herstellern. Diese werden meist noch nicht als Partner und Lieferant einer strategisch wichtigen Ressource verstanden. Der vermeindlich gefundene Vorzeigekanditat entpuppt sich daher nur auf den ersten Blick als ein solcher, da hinter der Fassade viele nur scheinbar gelöste Baustellen versteckt sind. 4.5 Inventur und Datenmanagement - Das permanente Misstrauen nach zu vielen Seitensprüngen In diesem Fragenkomplex war die Schwankungsbreite der Antworten erwartungsgemäß groß (größte durchschnittliche Schwankungsbreite: 3,9). Zentralistisch organisierte Unternehmen, die eine gut strukturierte IT-Landschaft und eine zentrale Software-Verteilung eingeführt haben, weisen in der Regel einen hohen Automatisierungsgrad auf und kommen daher schneller zu belastbaren Compliance-Checks. Dezentral aufgestellte Unternehmen hingegen benötigen einen signifikant höheren Aufwand, um Compliance-Aussagen für das gesamte Unternehmen treffen zu können. Lizenzdatensammlung ist eine müßige und aufwändige, aber enorm wichtige Angelegenheit. Ohne kaufmännische und technische Daten keine Fakten über Anzahl und Einsatz der gekauften Software. Fehlt dazu noch eine strikte Governance ( wie gehe ich wie mit den Daten um und wer muss was bei Inkonsistenzen tun ) und ein zentrales System, das die Inventarinformationen bündelt und konsolidiert, ist die Erstellung einer ordnungsgemäßen Lizenzbilanz nahezu unmöglich. Unternehmen, die mit Outsourcingpartnern arbeiten, übertragen diese Grundproblematik gern auf ihren Partner. Opinion Paper 15 Detecon International GmbH
Sie sehen dies als Aufgabe des Outsourcers an und sichern dieses dementsprechend vertraglich ab. Aber: Nachweispflichtig gegenüber den Software-Herstellern bleibt immer der Lizenznehmer! Hier wird es dann spannend, ob im Outsourcingvertrag Regelungen enthalten sind, wie die Eigentumsrechte an der Software an den IT-Dienstleister übergeben werden oder ob die Software nur beigestellt wird und das Eigentumsrecht beim Outsourcing- Auftraggeber verbleibt. Große Probleme bereitet die Lizenzierung von Serversystemen mit ihren virtuellen Umgebungen und der Vielzahl an Scannern der verschiedenen Hersteller. Erschwerend kommt hinzu, dass einige Software-Hersteller nur die Scan-Ergebnisse ihrer eigenen Scanner akzeptieren. Hier schafft eine klare vertragliche Regelung in der Vertragsverhandlung über die akzeptierten Scanner bzw. Scanmethoden Abhilfe und mildert potenziell negative Überraschungen im Audit ab. Ebenso stecken Schwierigkeiten im Scannen selbst. Endgeräte mit Admin-Rechten, Schutzansprüche der Sozialpartner sowie der Umgang mit den jeweils erhobenen Daten sind Aspekte, die im Rahmen des Lizenzmanagements nur bei etwa der Hälfte der befragten Unternehmen eindeutig geregelt sind. Unternehmen, die klare und eindeutige Regeln aufgestellt haben, mit ihrer IT oder ihrem IT-Dienstleister Service Level Agreements vereinbart haben, stellt diese Thematik vor keine größeren Herausforderungen. Interessant ist, dass die nutzungsbezogene Messung des Gebrauchs von Software größtenteils nicht stattfindet (Software-Metering). Einen weiteren wichtigen Punkt im Fragenkomplex Datenmanagement bilden die Software- Kataloge in der technischen und kaufmännischen Ausprägung sowie katalogbasierte Bestellportale. Die hohe Bedeutung des Katalogmanagements wurde von den befragten Unternehmen klar bestätigt. Ohne einen Katalog ist eine eindeutige Lieferantenbestellung und somit ein korrekter kaufmännischer Datensatz mit Lizenzdaten nur mit sehr hohem manuellem Aufwand realisierbar. Kataloge erlauben auch die spätere Zuordnung der technischen Datenbestände (Scan) und somit das Erstellen einer korrekten Lizenzbilanz. Je klarer die Beschaffungswege für eine Softwarelizenz sind, je einfacher die Installation und Inventarisierung auf einem Desktop oder einem Server sind und je höher hierbei der Grad der Automatisierung ist, umso leichter fällt im Nachgang die Inventur. Ein Scan ist dann nur noch eine Art Qualitätskontrolle, womit die Problemfälle unter den Lizenzen/Lizenzmetriken identifiziert werden können. Opinion Paper 16 Detecon International GmbH
Reifegrad 4,0 Inventur und Datenmanagement 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Inventarisierung Scanning/ Nutzungsanalyse Deployment Prozess Qualisicherung Median Max Wert Min Wert Abbildung 7: Ergebnisse zum Fragenkomplex Inventur und Datenmanagement Obwohl das Scanning selber nur situativ und nur in Teilbereichen der Unternehmen oder in Bezug auf bestimmte Produkte durchgeführt wird, stellt die Qualitätskontrolle der gescannten Daten einen viel wichtigeren Punkt dar. Keines der befragten Unternehmen traut den Scandaten ohne nachfolgende Qualitätssicherung. 4.6 Compliance und Finance Die dunkle Bedrohung Stimmt die Anzahl der inventarisierten Lizenzen mit der Anzahl der Software-Installationen überein, wird der Lizenzmanagement-Prozess gelebt und das Unternehmen kann Hersteller- Audits gelassen entgegensehen. Trotz erkennbar höherer Audit-Quote in den letzten Jahren und immer noch zum Teil unzureichenden Informationen über die eingesetzten Softwareprodukte, wird diese Thematik bei den befragten Unternehmen gelassen gesehen, was für deren Vertrauen in ihr eigenes Lizenzmanagement spricht. Die steigende Datenqualität führt jedoch dazu, dass nicht jedes Audit positiv ausgeht. Eine gute Möglichkeit der Absicherung stellen Auditklauseln oder Enterprise Agreements dar - wobei bei letzterem insbesondere das Vertragsende von Anfang an betrachtet werden muss, da der Software-Hersteller dann nach dem Nutzungsgrad fragen wird. Einige der befragten Unternehmen führen interne Audits durch, um die readyness for audit sicherzustellen. In der Befragung wurden Defizite in der Schnittstelle zu Finance identifiziert. Auch ein Wirtschaftsprüfer kann unbequeme Fragen zum Lizenzmanagement stellen, speziell zur korrekten Aktivierung von Lizenzen oder der Ermittlung des Restbuchwertes bzw. der Bilanzierung von Software Assets. Die Lizenzmanager verweisen hier fast alle auf die eingeführten Finanzprozesse und schließen diese Themen daher aus dem Lizenzmanagement-Scope aus. Auch die interne Verrechnung der Lizenzkosten wird oftmals aus dem Scope des Lizenzmanagements herausgenommen. In den Interviews wurde auch die Frage nach der Bilanzierungshäufigkeit thematisiert. Hier reicht das Spektrum von täglich über quartalsweise bis zu einmalig im Auditfall. Die Bilanzerstellungspflicht hängt vom geschlossenen Vertrag mit dem Software-Hersteller ab. Opinion Paper 17 Detecon International GmbH
Hier bestehen jedoch häufig Missverständnisse zwischen den Inhalten einer Lizenzbilanz und einer Nutzungsübersicht. Eine Bilanz wird in der Regel nur bei Vertragsverhandlungen benötigt. Nutzungsübersichten stellen hingegen aktuelle Bestände dar, die dem Software- Hersteller gegenüber veröffentlich werden können. Ihr Hauptnutzen liegt aber in der Basisfunktion für das operative Lizenzmanagement. Reifegrad 4,0 Compliance & Finance 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 Compliance Standards Lizenzbilanzen Verstänis LM Rechte Median Max Wert Min Wert Umgang mit Audits Anlagen- Buchhaltung Abbildung 8: Ergebnisse zum Fragenkomplex Compliance & Finance Der Reifegrad im Themenfeld Compliance & Finance ist der zweitniedrigste. Dies liegt daran, dass viele Elemente aus diesem Umfeld meist nicht im Fokus des Lizenzmanagements enthalten sind. Ein Blick auf die Erhebungsergebnisse zeigt, dass die Schwankungsbreite hier sehr groß ist. Dennoch bemühen sich die Unternehmen, die rechtlichen Rahmenbedingungen vollumfänglich im Lizenzmanagement zu berücksichtigen. Es ist zu hinterfragen, ob hier Wunsch und Wirklichkeit eng genug beieinander liegen. Opinion Paper 18 Detecon International GmbH
5 Ausblick: Wolkige Aussichten auf kleinen Bildschirmen Sowohl die vorliegende Untersuchung als auch aktuelle Markttrends zeigen eindeutig, dass Software Asset Management in Geschäftsmodelle zum Cloud Computing 4 und die Verschmelzung der Endgeräte massiv einbezogen werden müssen. Die Herausforderungen, welche sich in diesem Bereich für die gesamte IT-Landschaft ergeben - der globale Umbruch in Art und Weise der IT-Produktion und deren Nutzung - stehen exemplarisch für die Aufgaben im Lizenzmanagement. Der alleinige Focus auf Einsparungen durch Zählen, Wichten und Wiegen von Einzellizenzen stand im Focus der ersten Umsetzungswelle. Entsprechende Optimierungsziele sind größtenteils umgesetzt. Ebenso ist das Thema weitgehend dem Projektstatus entwachsen und im operativen Live- Betrieb der Unternehmen angekommen. Die zweite Welle des Software-Lizenzmanagements spült folgende Fragestellungen in die Unternehmen: Die Einsparungen in Beschaffung und Betrieb von IT-Ausstattung durch Verlagerung der IT in virtuelle Umgebungen, weltweiter Softwareeinsatz nach den Prinzipien follow the sun oder always flat oder der iphone-faktor 5 werden nicht selten durch den Einsatz von Softwareprodukten mit ungeeigneten Lizenzmetriken egalisiert. Deshalb ist die Frage nach der richtigen Lizenzmetrik essentiell. Die Nutzung privater Endgeräte im Firmenumfeld ( bring your own device ) lässt die Aufwände für IT-Security und Deployment kräftig steigen. Zudem stellt sich die Frage nach dem Nutzungsrecht der installierten, teilweise aber privat erworbenen Software. Um die Veränderung rechtlicher Rahmenbedingungen erfüllen und den technologischen Fortschritt unterstützen zu können, ist eine viel breitere aufgestellte Governance für das Software-Lizenzmanagement notwendig. Dies hat Auswirkungen auf die Prozesse, Rollen und IT-Systeme im Unternehmen. Eine weitere Herausforderung stellt die Globalisierung der Beschaffungsmärkte für Software dar. Der Lizenzeinkauf kann auf Grund des Wechselkurses von EURO zu USD in den USA günstiger sein als in Deutschland. In weltweit operierenden Unternehmen werden heute schon globale Software-Verträge abgeschlossen, was die Komplexität der Beschaffung, der unternehmensinternen Verrechnung sowie der Lizenzverteilung und - nutzung erhöht. Diese Herausforderungen sollen aus Sicht von Lizenznutzern/Endkunden, Lizenzbetreibern/IT-Service Providern und Software-Herstellern betrachtet werden. 4 5 Unter Cloud Computing wird eine bedarfsgerechte und flexible Bereitstellung von IT-Ressourcen verstanden, wobei lediglich deren tatsächliche Nutzung abgerechnet wird. Die technologische Grundlage im Infrastrukturbereich stellen vor allem virtualisierte Server-Umgebungen dar, die es ermöglichen, Skaleneffekte bei Beschaffung und Betrieb zu nutzen. Konsolidierte Serverlandschaften mit hoher Auslastung durch Ressourcenteilung stellen hierbei Effizienzgewinn und Kostenreduktion gegenüber verteilten Umgebungen mit geringer Auslastung dar. Zunehmende Verschmelzung der Endgeräte zu einem Multifunktionsgerät Opinion Paper 19 Detecon International GmbH
Aus Endkundensicht stellt sich primär die Frage nach der verursachungsgerechten Verrechnung von Lizenzkosten. Nutzen beispielsweise viele Einheiten eine zentrale Ressource mit unterschiedlicher Zeitdauer und Intensität an verschiedenen Standorten, so gestaltet sich die Verteilung der Lizenzkosten schwierig. Demzufolge müssen interne Verrechnungssätze Anwendung finden, die eine verbrauchsbezogene Verteilung ermöglichen. Dies wiederum setzt voraus, dass geeignete Mechanismen zur Messung von Zeitnutzung oder Rechenkapazität in die bestehenden Werkzeuge integriert werden (CMDB, Scanning, etc.). Neben der operativen ist die strategische Ausrichtung des Software-Lizenzmanagements nicht zu vernachlässigen. Implikationen treten nicht erst bei der Umsetzung, sondern bereits bei der Festlegung der Unternehmens- und der daraus abgeleiteten IT-Strategie auf. So geht mit der Verlagerung der IT-Produktion in virtuelle Umgebungen die (strategische) Festlegung auf einzelne Softwarehersteller und Applikationen sowie die Verrechnung der entstehenden Aufwände und Kosten damit einher. Ein gutes Beispiel hierbei bildet die Anzahl der CPUs als Metrik des Lizenzmanagements. Soll Software auf Basis der in der Hardware verbauten CPUs abgerechnet werden, kann dies die erzielten Einsparungen schmelzen lassen. Sind in einem Server 16 CPUs verbaut, muss demzufolge das Softwareprodukt auch für 16 CPUs lizenziert werden. Dies gilt auch dann, wenn die Prozessoreinheiten in einer virtuellen Maschine installiert sind, der nur zwei virtuelle CPUs zugeordnet sind. Dies hat enormen Einfluss auf den Einkaufsprozess und verdeutlicht die Rolle und Verantwortung der Lizenzmanager im Einkaufsprozess. Eine im Rahmen des Cloud-Computing zunehmende Herausforderung für das Software- Lizenzmanagement stellen Software-as-a-Service-Modelle (SaaS) der IT-Dienstleister dar. Hier werden Lizenzkosten in die verbrauchsabhängige Nutzung des jeweiligen Services (per User, per Monat) eingepreist. Grundsätzlich ist zu erkennen, dass die Komplexität im Lizenzmanagement sowohl auf der Seite der Software-Bereitsteller als auch auf der Nutzerseite zunimmt. Der Endkunde bzw. Nutzer ist in zunehmendem Maße verpflichtet, sich auch über die richtige Lizenzierung der von ihm genutzten Software Gedanken zu machen. Opinion Paper 20 Detecon International GmbH