Auch die Cloud braucht ­eine Lizenzverwaltung

Viele Entscheider sind nach wie vor der Ansicht, durch die Cloud werde das Thema Software Asset Management (SAM), das Management der Nutzung und Bereitstellung von Software-Lizenzen, hinfällig. Schließlich seien ja sämtliche Ressourcen beim Cloud-Provider gehostet. Der wisse genau, was ein Unternehmen verwendet, und könne verhindern, dass Software und Services über das lizenzrechtliche Maß hinaus genutzt werden. Das ist nicht abwegig, stimmt aber nicht.

Cloud-Applikationen sind für die Anbieter sehr transparent. Sie wissen genau, wie intensiv die Benutzer mit einer Anwendung arbeiten. Sie wissen aber auch, wer was nicht nutzt. Jedoch haben sie kein Interesse daran, dieses Wissen mit den Kunden zu teilen - die damit Lizenzkosten sparen könnten. Die Lösung heißt Software Asset Management, es verschafft den Unternehmen das nötige Wissen.

Wer erwartet, in der Cloud sei alles einfacher, der irrt. Cloud-Services sind zwar ziemlich leicht zu beschaffen und einzurichten, aber genau deshalb laufen Unternehmen Gefahr, den Überblick zu verlieren. Bei vielen Public-Cloud-Anbietern wie Amazon Web Services oder Microsoft Azure kann man im Handumdrehen per Kreditkarte und E-Mail-Adresse ein Konto anlegen und eine Cloud-Instanz einrichten. Wenn später der Bedarf steigt, dann lassen sich mühelos und mit wenigen Klicks zusätzliche Cloud-Instanzen und -Kapazitäten hinzufügen. Nicht selten wird dabei vergessen, vorab die IT-Abteilung oder den Einkauf darüber zu informieren.

Für rechenintensive Workloads kommen oftmals IaaS-Modelle (Infrastructure as a Service) zum Einsatz, bei denen Cloud-Instanzen oder virtuelle Maschinen für einen begrenzten Zeitraum genutzt werden. In der Praxis laufen die Instanzen nach Abschluss der Work­loads häufig einfach weiter. Unternehmen bezahlen dann für Cloud-Services, die sie gar nicht benötigen. Bei großen Firmen mit Hunderten virtuellen Maschinen summieren sich die wenigen Cent pro Stunde schnell zu stattlichen Beträgen.

Software as a Service (SaaS) wird normalerweise pro Nutzer lizenziert. Je nach Hersteller gibt es verschiedene Abo-Modelle zu unterschiedlichen Preisen und mit unterschiedlichen Funktionen. Die Herausforderung für die Unternehmen besteht darin, sicherzustellen, dass nicht zu viele Lizenzen gekauft werden für Software, deren Funktionen gar nicht gebraucht werden - oder zu wenige, was teure Nachzahlungen zur Folge haben kann.

Ein weiterer Fallstrick lässt sich am Beispiel Oracle aufzeigen. Das Problem sind die unterschiedlichen Editionen: Auch in der kleinen Standard-Edition sind die Funktionen, Pakete und Optionen der teureren Enterprise-Edition installiert, aber nicht aktiviert. Zu lizenzieren sind nur die verwendeten Komponenten. Da aber stets alles installiert ist, kann es leicht passieren, dass man Funktionen unabsichtlich aktiviert. Wenn man etwa Funktionen der Oracle Database Enterprise Edi­­-tion aktiviert, während lediglich die Funktionen der Standard-Edition lizenziert sind, dann bedeutet das, dass man für die Nutzung der großen Enterprise-Edition bezahlen muss.

Hier gibt es keine einfache Lösung. Es ist alles andere als trivial, eine solche Aktivierung von Optionen zu blockieren, sodass eine ständige Überwachung der Nutzung notwendig ist. Ein gutes Lizenzmanagement-Tool für Oracle-Produkte gibt eine Benachrichtigung aus, wenn Funktionen, Pakete oder Optionen aktiviert werden. Zudem findet es heraus, warum und von wem sie aktiviert wurden. So lassen sich zufällige von absichtlichen Aktivierungen unterscheiden.

Hinsichtlich der Lizenzierung macht es einen Unterschied, ob eine Anwendung in der Cloud, auf physischer Hardware oder auf virtuellen Maschinen läuft. Mit der zunehmenden Verbreitung der Virtualisierung haben sich unterschiedliche und manchmal verwirrende Bestimmungen herausgebildet. Einige Anbieter setzen für eine solche Nutzung in virtuellen Umgebungen spezielle Lizenzen voraus. Andere untersagen die Nutzung ihrer Software in der Cloud komplett.

Wenn heute jemand davon spricht, dass er in die Cloud geht, dann hat man vor Augen, dass man dort ein hochtransparentes, sauber gemanagtes Rechenzentrum vorfindet - und IT-seitig in großer Ruhe seine Services bereitstellen kann. Doch wo im Unternehmen sind überall Rechenzentren und virtuelle Umgebungen? Ein Mitarbeiter könnte zum Beispiel bei Amazon Web Services einige Server hochfahren und sich ein kleines Rechenzentrum bauen. AWS bietet auch Elastic Computing an: Immer dann, wenn Performance-Bedarf besteht, schaltet die Plattform Kapazität hinzu und es entstehen Mini-Rechenzentren oder Rechenzentren-Peaks. Für ganz kurze Zeit fahren Cores hinzu, verdoppeln die Rechenleistung und fahren wieder herunter. Da muss der für Lizenzen Verantwortliche im Unternehmen erst einmal hinter­herkommen, damit er weiß, was in welchem Umfang zu li­zenzieren ist.

So wird die Cloud an vielen Stellen gleichzeitig ins Unternehmen gebracht. Das macht eine manuelle Lizenzverwaltung zu einer unlösbaren Aufgabe. Dazu kommt: Auf den Maschinen gibt es ganz unterschiedliche Konstellationen - Software, deren Subskription mitbezahlt ist, oder Lizenzen, die bereits vorliegen. Die Hersteller wollen die Kunden natürlich auf der eigenen Plattform halten. Deshalb kann man Microsoft-Lizenzen, die man vielleicht noch im Schrank hat, nicht auf allen Cloud-Plattformen gleichermaßen nutzen. Teilweise bestehen harte Inkompatibilitäten.

Ein großes Plus der Cloud ist deren Flexibilität. Diese Flexibilität wollen die Cloud-Provider selbstverständlich beibehalten - statt technische Barrieren einzubauen, um mögliche Lizenzverstöße zu unterbinden. Verstöße gegen die Compliance sind in der Cloud ebenso ein Problem wie in der lokalen Umgebung eines Unternehmens. Benutzer können ohne Weiteres auf Services zugreifen, die sie gar nicht abonniert haben. Es drohen Gebühren und Bußgelder. Und unbenutzte und untergenutzte Software-Lizenzen verursachen teils erhebliche Kosten.

Bei vielen Cloud-Anwendungen fällt es überraschend leicht, einen Verbrauch zu erreichen, den die Lizenzen nicht abdecken. Im Admin-Portal von Microsoft 365 etwa lassen sich problemlos mehr Abos und Services zuweisen, als man bezahlt hat. Es gibt keinerlei technische Einschränkungen oder Alarme, wenn man die Limits der verfügbaren Lizenzen überschreitet oder Services einsetzt, die gar nicht in den bestehenden Lizenzen enthalten sind.

Ein anderes Beispiel: Das automatische Tracking von Social Media in der Salesforce Marketing Cloud stoppt nicht automatisch, wenn man das von den Lizenzen abgedeckte Limit erreicht hat. Es läuft einfach weiter, sodass eine unerwartet erfolgreiche Marketingkampagne möglicherweise unerwartete Kosten nach sich zieht. 

Die Software-Hersteller haben sich ganz unterschiedliche und oft verwirrende Regeln ausgedacht, wie Lizenznehmer Software in der Cloud nutzen dürfen. IBM etwa stellt Processor Value Units (PVU) in Rechnung. Dabei gelten bestimmte Voraussetzungen und Einschränkungen, wenn die Software in einer virtuellen Maschine läuft. SAP fordert seine Kunden einmal im Jahr zur Auskunft über die genutzten Lizenzen auf. Das Ganze nennt sich Systemvermessung. SAP liefert entsprechende Werkzeuge wie License Administration Workbench (LAW) mit, die die benötigten Daten sammeln. Allerdings sind die Funktionen zur Konsolidierung von LAW sehr rudimentär. Das Tool bietet zudem keine Hilfe bei der Optimierung und zeigt keine Informationen zur tatsächlichen Nutzung an. All dies leistet Software Asset Management.

Unternehmen, die in die Cloud migrieren wollen, sollten zunächst den Status quo sämtlicher Software-Lizenzen ermitteln und ganz genau wissen, welche Software unternehmensweit im Einsatz ist. Manche Software-Lizenzen schränken die Nutzung in Bezug auf die geografische Lage ein. Dabei können Sicherheits- und Datenschutzbedenken eine Rolle spielen, da regionale Standards mitunter recht unterschiedlich sind.

Salesforce etwa bietet abgestufte Lizenzen für neue und aufstrebende Märkte an, die oft noch über eine unzureichende Infrastruktur verfügen. Salesforce will die wirtschaftliche Entwicklung in diesen Märkten voranbringen, um dort Fuß zu fassen. Unternehmen müssen folglich sicherstellen, dass sie die korrekten Abonnements für ihre geografischen Regionen verwenden und nicht die Lizenzmodelle für die aufstrebenden Märkte. Andernfalls riskieren sie hohe Bußgelder.

Bei dem ein oder anderen Anbieter können Anwender Services auch dann weiterhin nutzen, wenn sie gar kein gültiges Abonnement mehr haben. Dies liegt wiederum an den nicht vorhandenen technischen Barrieren.

Wenn man über 99 abgelaufene und ein aktives Microsoft-365-Abo verfügt, dann können 99 Benutzer weiterhin auf ihre abgelaufenen Abonnements zugreifen. Ohne dieses eine aktive Abonnement würde sich die Tür zu Microsoft 365 für alle verschließen. Aber es braucht nur einen kleinen Spalt, um hereinzukommen. Wenig überraschend erwartet Microsoft von den Unternehmen, dass sie für alle Benutzer bezahlen, die ihre Abonnements nutzen, obwohl sie bereits abgelaufen sind. In einer kleinen Umgebung ist das wahrscheinlich nicht besonders teuer. In einer Enterprise-Umgebung aber kann ein einziges aktives Abonnement Hunderten von Benutzern mit abgelaufenen Abonnements den Zugriff auf Microsoft 365 ermöglichen.

Ein SAM-Tool übernimmt in diesem Fall die Funktion eines Türstehers. Es erkennt Einsparpotenziale, die im Gewirr zunehmend komplexer Lizenzmetriken per Excel-Akrobatik kaum mehr auszumachen wären. Zudem lassen sich oftmals Cloud-Monitoring-Tools wie Amazon Cloud Watch oder Google Stack Driver über Schnittstellen anbinden.

Ein Sonderfall ist SAP, das es Unternehmen in Sachen Lizenzierung besonders schwer macht. Wenn der Nutzer nicht den üblichen Zugriffsweg wählt, sondern eine Maschine im Hintergrund zugreift, um die Daten einem anderen System zur Verfügung zu stellen, dann will SAP Geld dafür haben.

Das ist grundsätzlich in Ordnung. Die Probleme bestehen in der Komplexität der Materie und der unzureichenden Transparenz. Es gibt nur vage Beschreibungen, was man zu zählen hat, wie man es zu zählen hat und welche Lizenzpflicht daraus erwächst.

Welche Folgen das haben kann, zeigt das Beispiel Diageo. Der britische Getränkehersteller wurde 2017 von SAP auf mehr als 60 Millionen Euro an nachträglichen Lizenzzahlungen verklagt. Das Unternehmen hatte aus Salesforce heraus auf das SAP-ERP-System zugegriffen und angenommen, dass die Zugriffe über die Lizenzen für SAP Process Integration abgedeckt seien. SAP sah das anders und das Gericht folgte den Argumenten des Software-Konzerns. Ein teurer Irrtum für den Getränkehersteller.

Das Problem der indirekten Zugriffe ist zwar nicht rein cloudspezifisch, wird aber durch die Nutzung von verteilten Ressourcen und Software as a Service erheblich verschärft. Mit dem Grad der Vernetzung und der Zahl der Schnittstellen erhöht sich die Gefahr. Zudem lassen sich Lizenzverstöße in der Cloud wesentlich schneller feststellen und ahnden als bei der traditionellen On-Premise-Nutzung.

Auch bei einer bevorstehenden Migration auf S/4HANA ist ein professionelles SAM sinnvoll. Die Umstellung erfolgt schließlich nur einmal, sodass man es gut und richtig machen und dabei noch Kosten sparen möchte. Ein SAM-Tool kann eine übersichtliche Bestandsaufnahme der SAP-Umgebung liefern, bestehende Lizenzen entsprechend der tatsächlichen Nutzung anpassen und die Auswirkungen einer S/4HANA-Migration simulieren und analysieren. Ein SAM-Tool zeigt Kosteneinsparpotenziale auf und erleichtert so die Verhandlungen mit SAP. Unternehmen kaufen nur noch das, was sie auch benötigen.

Folgendes Szenario als Beispiel: Ein Unternehmen mit einem starken Forschungs- und Entwicklungsbereich zieht in Microsoft Azure regelmäßig temporäre Rechenzentren hoch. Wie will man diese Lizenzen mit Excel kontrollieren? Ein SAM-Programm ist in der Lage, für den kurzen Bedarf die richtige Anzahl von Lizenzen im Unternehmen zu identifizieren. Was ein solches Tool auch kann: Über den Hybrid Use Benefit von Microsoft lässt sich eine bestimmte Anzahl von Rechnern oder virtuellen Cores in der Cloud lizenzieren, ohne einen Cent dafür auszugeben. Wer das nicht weiß oder die Daten nicht zusammenbekommt, der muss sie eben dazu­lizenzieren. Wie für fast alles, so gibt es auch für Software Asset Management eine Norm: ISO 19770.

In vielen Fällen führt kein Weg mehr an der Cloud vorbei. Die Software-Anbieter drücken ihre Cloud- und Abo-Modelle in den Markt, stellen reine Kaufprodukte ein oder machen sie zunehmend unattraktiv.

Zusätzliche Lizenzgebühren sowie Preiserhöhungen können die anfänglichen Kostenvorteile in der Cloud schnell zunichtemachen. Unternehmen sind deswegen gut beraten, bei ihrer Cloud-Strategie das Thema Lizenzen nicht zu vernachlässigen.

Im Interview erklärt Olaf Diehl, CPO und CMO beim SAM-Spezialisten Aspera, auf was es bei der Lizenzierung von Software in der Cloud ankommt.

Olaf Diehl: Ja, das könnte man meinen. Lizenzmanagement ist von seiner Grundidee etwas, das permanent prüft, wie sich Dinge in Relation zueinander verhalten. Wenn ich unterstelle, dass es in der Cloud keinen Lizenzmanagement-Bedarf mehr geben könnte, weil die Daten beim Hersteller sind und der Hersteller alles kontrolliert und ich mich entspannt zurücklehnen kann, dann beschreibt das eine Welt, die die Hersteller gerne hätten: Sie zahlen für alles, was auch immer der Hersteller Ihnen für eine Rechnung vorlegt. Er will Sie vielleicht gar nicht über den Tisch ziehen, aber Sie verlieren komplett den Überblick, warum und wofür Sie eigentlich bezahlen.

Das ist der Unterschied zu früher. Da hatte ich die Installationen in meinem eigenen Keller. Ich musste nur genau hinschauen, um zu verstehen, wie die zu lizenzieren sind. In der Cloud ist das anders. Sie zahlen für etwas, aber nutzen Sie die Subskrip­tion überhaupt und zu welchem Grad? Die Hersteller tendieren dazu, eher große Lizenzpakete zu verkaufen, eine Art All-you-can-eat. So kommen Sie gar nicht auf die Idee, im Detail nachzuschauen. Wenn Sie dann doch nachschauen, dann merken Sie, dass Sie zwischen 30 und x Prozent zu viel zahlen.

Diehl: Die cleveren Hersteller haben auch das Thema Compliance in die Cloud hinübergerettet. Ein Beispiel: Ein Benutzer hat eine User-Lizenz, bei der 2 TByte Storage dabei sind. Wenn er darübergeht, dann braucht er ergänzende Lizenzen oder die Bestandslizenzen werden teurer. Dahinter könnte dann ein Lizenzvertragsbruch entstehen. Das gibt es also auch weiterhin in der Cloud. Man kann sich in der Cloud nicht in lizenztechnischer Sicherheit wiegen.

com! professional: Werden Audits zunehmend zum Geschäftsmodell großer Software-Hersteller?

Diehl: Das ist ein spannender Punkt. Mit den Audits betraut sind in der Regel die Big Four als Wirtschaftsprüfer. Der Hersteller kommt ja nicht selbst, sondern entsendet den Wirtschaftsprüfer. Vor ein paar Jahren gingen viele davon aus, dass das Thema Audits komplett entfällt. Inzwischen sehen wir: Es gibt weiterhin Audits. In der alten Welt wird auditiert, um den Umsatz anzukurbeln und den Kunden einen Anreiz zu bieten, in die Cloud zu migrieren. Auch in der Cloud gibt es Audit-Situationen. Ein Beispiel: Salesforce als CRM-Tool ist in der Regel mit SAP-Systemen verbunden. Durch den Zugriff auf SAP über das CRM-Tool entsteht eine sekundäre Lizenzpflicht.

Faktisch können Sie in der Cloud jederzeit ein Rechenzentrum in beliebiger Größe hochfahren. Dann rumpeln da 1000 virtuelle Maschinen 24 Stunden lang und danach schalten Sie es wieder ab. Dann kommt der Anbieter und sagt: „Zeig mir doch mal die vorgehaltenen Lizenzen.“ Der Hersteller hat einen Grad an Transparenz, den der Kunde nicht oder nur mit großem Aufwand erreicht. Wenn Sie aber gar nicht auditiert werden, dann würde ich sagen, Sie zahlen viel zu viel.

Diehl: Über den Daumen gepeilt würde ich sagen: zu 70 Prozent die IT, zu 20 Prozent der Einkauf und zu 10 Prozent andere. Es gibt übrigens keinen Ausbildungsberuf, der zum SAM-Manager führt. Man ist Techniker oder Kaufmann oder idealerweise beides.

Diehl: Es lohnt sich immer dann, wenn Sie so viele Rechner einsetzen, dass Sie es manuell nicht mehr im Blick behalten können. Ich würde sagen, das ist ab einer Anzahl von 20, spätestens 50 der Fall. Man muss aber nicht gleich mit den ganz großen Kanonen schießen, es gibt auch kleine Tools.

com! professional: Wie lässt sich der Erfolg von SAM messen?

Diehl: Die Kriterien sind völlig unterschiedlich. Man kann nicht Oracle mit Salesforce und AWS-Nutzungen vergleichen. Das einzige sinnvolle Kriterium ist Geld. Es gibt zwei Blickwinkel: Sie müssen sich anschauen, wo nutzen Sie etwas, das Sie nicht lizenziert haben, oder wo besitzen Sie etwas, das Sie nicht nutzen. Über beides lassen sich über die Zeit Kosteneffekte erzielen. Wir sehen oft 10 bis 30 Prozent Overspend. Microsoft verhandelt mit seinen Kunden neue Verträge, wo dann Office 365 mit drin ist. Die Empfehlung lautet: Nehmen Sie für jeden Mitarbeiter einen E3-Plan. Dann zahlen Sie aber für einen User, der alle paar Tage seine E-Mails abruft, genauso viel wie für einen Hardcore-User. Ersterer könnte auch eine Kiosk-Lizenz haben. Ein gutes SAM-Tool erkennt dies.