Home Publikationen Fachartikel

Software Asset Management (SAM) für Fortgeschrittene

In vielen Unternehmen ist Lizenzmanagement oder Software Asset Management (SAM) ein Bereich, der vom Handling von Office-Lizenzen geprägt wird. Aber die Clients sind nur eine Seite der Medaille – und zwar die leichtere. Serverseitig kommen viel komplexere Herausforderungen ins Spiel. Wer Governance und Werkzeuge nicht weitsichtig konzipiert, riskiert teure Fehlentscheidungen.

Wenn Oracle & Co. Fallstricke auslegen

In vielen Unternehmen ist Lizenzmanagement oder Software Asset Management (SAM) ein Bereich, der vom Handling von Office-Lizenzen geprägt wird. Aber die Clients sind nur eine Seite der Medaille – und zwar die leichtere. Serverseitig kommen viel komplexere Herausforderungen ins Spiel. Wer Governance und Werkzeuge nicht weitsichtig konzipiert, riskiert teure Fehlentscheidungen.

Das Image von Software Asset Management (SAM) und Lizenzmanagement wandelt sich langsam – von der lästigen Pflicht zum Bereich mit wirtschaftlichem Optimierungspotenzial. Nicht nur die Hersteller haben (naturgemäß) ein großes Interesse an Audits, auch bei IT-Dienstleistern steigt die Aufmerksamkeit für das Thema. Das beweisen vielfältige Kooperationen und Partnerschaften von IT-Dienstleistern mit Herstellern von SAM-Software. Dabei rüsten inzwischen auch die großen IT-Dienstleister nach, um marktreife SAM-Services im Portfolio zu haben, und machen damit den etablierten Nischen-Anbietern Konkurrenz.

SAM-Einstieg mit Microsoft

Das Standardprogramm und den Einstieg ins Thema SAM bildet dabei in der Regel die Microsoft-Welt. Die Gründe sind naheliegend: Mit Windows gibt es nur eine einzige Plattform, die meisten Produkte sind clientseitig, und Clients sind fast immer gut gemanagt. Das ist dann sozusagen „Lizenzmanagement light“ – auch wenn es immer noch reichlich Fallstricke bietet.

Komplexer wird es bei serverseitigen Produkten. Sie sind meist über mehrere Plattformen verteilt, laufen also auf verschiedenen Betriebssystemen. Ein typisches Beispiel dafür sind Oracle-Datenbanken. Sie können plattformübergreifend eingesetzt werden, und die meisten Unternehmen nutzen diese Freiheit. Die Lizenzierung der Datenbankprodukte ist hardwareabhängig (also pro Core oder Prozessor) und plattformabhängig – es macht demnach einen Unterschied, ob sie unter Windows oder Unix laufen oder unter beiden. Dazu spielt auch die Virtualisierungslösung und die Konfiguration der Virtualisierung eine wichtige Rolle. Im Extremfall muss nämlich das lizenziert werden, was theoretisch genutzt werden könnte – und nicht das, was real genutzt wird. Und Oracle bietet wie die meisten Hersteller auch sogenannte Lizenz-Bündel an: Produkte können andere, lizenzpflichtige Produkte enthalten.

Mit einem Mausklick in die Lizenzfalle

Diese Matroschka-Puppen gleichenden Pakete machen es noch komplexer, die Infrastruktur zu managen. Und zwei weitere Fallstricke gibt es: Erstens definiert Oracle die Back-ups und andere Leistungsmerkmale individuell. Und zweitens: Wer eine Datenbank installiert, installiert automatisch weitere separate Produkte mit, nämlich Datenbank-Optionen und Management Packs. Diese Produkte lassen sich mit einem einfachen Mausklick aktivieren; das kann jeder Administrator und Entwickler. Einen Weg zurück gibt es aber nicht. Und natürlich erfordert jedes der Produkte eine eigene Lizenz. Daher ist es wichtig, mit offenen Augen an diese Funktionalitäten heranzugehen und nur das zu aktivieren, was aktiviert werden soll. Zur Absicherung empfiehlt sich eine permanente Inventur, um Veränderungen schnellstmöglich zu erkennen.

Inventarisierung als Sicherheitslücke

Technisch ist diese Inventarisierung als Basis für SAM einfach lösbar, aber keinesfalls trivial. Um einzelne Datenbankprodukte zu lizenzieren, müssen in der Applikation eingebettete Daten ausgelesen werden, und zwar mit dedizierter Software. Spezielle Tools für die Inventarisierung sind verfügbar, aber Oracle akzeptiert nur solche Tools, die es selbst zertifiziert hat. Hinzu kommen Sicherheitsbedenken: Das Lizenzierungs-Tool braucht die Berechtigung, die erforderlichen Inventardaten im Produkt zu lesen. In dessen Datenbank liegen potenziell aber auch sensible (Kunden-)Daten. Dass sich diese Daten ebenfalls auslesen lassen, ist Sicherheits- wie Datenschutzbeauftragten ein Dorn im Auge.

Nagelprobe für SAM und Governance

Das Lizenzmanagement von serverseitigen Produkten wie Oracle-Datenbanken bewegt sich also auf einem weit höheren Komplexitätsgrad als ein „einfaches“ SAM für Office-Lizenzen. Hier zeigt sich, ob die notwendige Sensibilisierung der Mitarbeiter (vor allem in der IT) für SAM und die Unterstützung des Managements vorhanden sind. Ist die vermeintlich etablierte SAM-Governance mit den entsprechenden Rollen, Prozessen und Verantwortlichkeiten wirklich etabliert? Und hat sie den erforderlichen Reifegrad? Oft offenbaren sich beim „SAM für Fortgeschrittene“ nämlich Lücken, die zuvor noch unentdeckt geblieben sind – etwa bei Freigabeprozessen und Verantwortlichkeiten. Vor allem zeigt sich dann, ob das Unternehmen wirklich ein nachhaltiges SAM will, oder ob das Management beim Einführen eines weiteren dedizierten Tools zur (herstellerspezifischen) Dateninventarisierung angesichts des unvermeidlichen Aufwandes „umfällt“.

[...]

Artikel empfehlen