Oracle-Java: Neue Jagd auf IT-Budgets

Peter Wesche February 9, 2023

Seit kurzem wabert ein neuer Schrecken durch die IT-Abteilungen. Denn eine simple Änderung der Lizenzmetrik in Oracle’s Globaler Preisliste für Oracle Java bringt IT-Controller, CIOs und sogar CFOs ins Schwitzen:

Monster Vectors by Vecteezy

Bin ich betroffen, wie kann ich das herausfinden??

Was ist passiert?
Am 23.01.2023 veröffentlicht Oracle seine neue Preisliste für die Lizenzierung für Java SE (Standard Edition). Na und?
Genaues Lesen offenbart: Es gibt eine neue Metrik mit dem sperrigen Namen ‘Employee for Java SE Universal Subscription’, welche die bisher vertrauten Optionen ‘NUP’ (named user plus) und ‘Processor’ ersatzlos ablöst. Die neue Metrik entfernt sich von der Grundlage einer ordentlichen IP-Lizenzierung auf Basis ‘Nutzung’ und ersetzt diese durch eine Unternehmenslizenz, mit der jeder auf jedem beliebigen Gerät Java SE nutzen darf.

Der Pferdefuß: in den meisten Unternehmen ist die Anzahl der tatsächlichen Nutzer erheblich kleiner als die Anzahl der Menschen im Unternehmen. Und wäre es nicht genug, so erweitert Oracle’s Definition der Employee for für Java SE Universal Subscription diese Anzahl auch noch um viele weitere Individuen fremder Unternehmen, wenn sie auch nur in geringem Umfang am Geschäft des Unternehmens teilhaben: gemeint sind ‘alle Vollzeitbeschäftigten, Teilzeitbeschäftigten und Mitarbeiter von Partnern, Vertretern, Auftragnehmern, Outsourcern und Beratern, die die internen Geschäftsabläufe unterstützen.’

Der Ausweg: Es gibt bestimmte Java-Versionen, für die Oracle zum jeweiligen Zeitpunkt keine Lizenzgebühren erhebt. Für solche Versionen ist die Metrik unerheblich, da gebührenfrei!

Wer ist (relativ) sicher??

Nur Unternehmen, die über eine aktive Subskription unter alter Metrik verfügen, sollen laut Oracle ‘Q&A-Statements’ darauf vertrauen können, im bisherigen user/processor-Modus weiter lizenzieren zu dürfen. Eine solche ‘Policy’ stellt jedoch keinen Rechtsanspruch auf Dauer her und kann jederzeit geändert werden.

Was passiert mit dem Gros der Anwenderunternehmen, die über eine solche Subskription nicht verfügen?

Diese müssen, wenn sie eine teure Unternehmenslizenz meiden wollen, schleunigst auf eine gebührenfreie Java-Edition migrieren, und zwar bis auf das letzte Device. Und zwar bevor Oracle die Gelegenheit hat, das Gegenteil zu beweisen.

Das Problem liegt in Detail!

Denn erstens ist die vollständige Entdeckung von lizenzpflichtigen Versionen in der Infrastruktur nur mit sehr leistungsfähigen Werkzeugen möglich, und zweitens ist die technische Migration auf eine gebührenfreie Version ohne Tests und Anpassung des Quellcodes nicht möglich. Solche Tests und ggfs. nötige Anpassungen kosten jedoch Zeit und Geld.

Fazit

Oracle’s neue Bestimmungen setzen Unternehmen reihenweise unter Druck. IT-Abteilungen müssen Gewissheit schaffen, damit die CFOs Ihre Budgets auf sicheren Annahmen weiter fortschreiben können. Sollte eine Audit-Ankündigung von Oracle das Unternehmen erreichen, sind die Bereinigungen zu forcieren und alle Auditversuche mit guten Argumenten abzuwehren. Wohl dem, der dann die geeigneten Fachleute an der Hand hat. Aus Sicht des Projektmanagements, der technischen Sachverhaltsanalyse und der rechtlichen Begleitung.

Neues SAP-Lizenz- und Preismodell: Lohnt sich der Umstieg?

Peter Wesche November 12, 2018

Mit einigem publizistischen Aufwand hat SAP im April 2018 die Lizenzierung von bestimmten Nutzungsszenarien ihrer Software verkündet: Es sollte ein langjähriger Streit mit der SAP Anwendergemeinde zum Reizthema „Indirekte Nutzung“ beigelegt werden.

Grund für neues Modell: Vertrauensdefizit bei „Indirekte Nutzung“

Im Schwerpunkt adressiert das Modell das konfliktträchtige Thema „Indirekte Nutzung“ der SAP-Software. Dabei ist die Frage, ob für Nicht-SAP-Nutzer von angebundenen Drittsystemen ebenfalls SAP Lizenzen erforderlich sind, wenn diese Nutzer – also indirekt über das Drittsystem – auf das SAP ERP-System zugreifen. Eine solche indirekte Nutzung kann sowohl manuell seitens einer natürlichen Person ausgelöst werden (Human Access) wie auch automatisiert als Digital Access von irgendeinem Gerät / Maschine im Rahmen des IoT (Digital Economy).

SAP Hosting data center                                                                     Source: SAP SE

Für derartige Nutzungen hat SAP bisher die Anschaffung von User-Lizenzen nach unterschiedlichen Modellen verlangt (z.B. Platform User). Das hat oft zu unangemessenen Härten, zu Schieflagen im Leistungsäquivalent und zu Vertrauensbelastungen bzgl. SAP als Geschäftspartner geführt. Beim SAP Audit (Lizenzprüfung) ist nämlich manches Anwenderunternehmen völlig überraschend mit fehlender Software License Compliacne und hohen Nachforderungen konfrontiert worden.

Für den direkten Zugriff einer Person (‚Human Access‘) auf das SAP-System soll es bei der herkömmlichen User-basierten Lizenzierung bleiben.

Was ist neu? Jetzt Zahlung nach Business Outcome

Nach dem neuen Modell will SAP ihr Vergütungsinteresse bei indirekter Nutzung nicht mehr zugriffsbezogen, sondern ergebnisabhängig im Sinne von Wertschöpfungskomponenten realisieren (business outcome). Neun typische Leistungsergebnisse, die Anwender mit dem SAP-System üblicherweise für ihre Geschäftsabläufe generieren, bilden die Anknüpfungspunkte für Lizenzgebühren. Es geht um die Benutzung des SAP-Systems für das Kreieren von folgenden neun SAP-Belegen („documents“):

  • Sales Order
  • Invoice
  • Purchase Order
  • Service Order & Plant Maintenance
  • Production Orders (Manufacturing)
  • Quality Management
  • Time Management
  • Material Document
  • Financial Document.

Wie wird abgerechnet?

Die Herstellung darüber hinausgehender Dokumententypen sollen – jedenfalls nach bisheriger Darstellung – nicht vergütungspflichtig sein. Zudem soll lediglich das initiale Generieren eines der neun gelisteten Belege eine Vergütung auslösen, nicht zusätzlich das Entstehen weiterer Belegtypen, die im Anschluss an die Erst-Generierung als Folge der weiteren Verarbeitungsschritte resultieren.

Beispiel

Ein initiales Auftragsdokument (etwa Sales Order) entsteht vergütungspflichtig, jedoch sollen die in der Folge für diesen Vorgang produzierten Belege, z.B. Auftragsänderung, Lieferung oder Invoice gemäß gegenwärtiger SAP-Darstellung vergütungsfrei sein. Ebenfalls vergütungsfrei sind auch spätere Zugriffe für Lesen, Updaten oder Entfernen des Primärdokuments. Dabei soll es unerheblich sein, wie viele Drittprogramme, Bots oder Internet Services auf diese Informationen zugreifen oder wie oft diese geändert werden.

SAP kündigt an, die neun gelisteten Belegtypen je nach ihrem wirtschaftlichen Wert vergütungsmäßig unterschiedlich zu gewichten und Mengendiscounts zu gewähren je nach der Anzahl vergütungspflichtig hergestellter Initialdokumente. Zusätzlich wird das Verfahren dadurch kompliziert, dass für manche Belegtypen nicht der Beleg, sondern jede Position des Belegs zählrelevant ist.

Beispiel

Bei einer Bestellung wird jeder gekaufte Artikel einzeln gezählt. Nach bisheriger Verlautbarung will SAP die vergütungsrelevanten Mengen in 12-Monats-Perioden messen und abrechnen. Demnach wäre die Metrik für dieses Lizenzmodell die Anzahl Belege bzw. Belegpositionen pro Jahr.

Für wen gilt das neue Modell?

Das neue Modell gilt für Neukunden. Für Bestandskunden sollen drei Möglichkeiten offenstehen:

  • Sie können unverändert im bisherigen Modell verbleiben.
  • Zwecks Erledigung/Neugestaltung des Konfliktthemas „Indirekte Nutzung“ können sie für diesen Aspekt auch ihre Lizenzen auf das neue Modell migrieren und im Übrigen im bisherigen Vertragskonstrukt bleiben (Vertragsänderung mittels Addendum). Das soll unter teilweiser Anrechnung („up to 100% credit for their prior investments“) ihrer bisher getätigten Lizenzinvestitionen geschehen. Hierbei entstehen komplexe Bewertungsfragen mit Blick auf eine kommerziell akzeptable Leistungsäquivalenz.
  • Diese Fragen stellen sich auch bei der dritten Option der Bestandskunden, nämlich dem vollständigen Umstieg von SAP-ERP auf S/4HANA (Contract Conversion).

Wie wird im License Audit vermessen?

Nach dem Konzept von Sender und Empfänger: SAP basiert die Vermessungstechnik auf der Identifikation von sendenden und empfangenden Systemen. Damit sollen Belege bzw. deren Generierungsquellen aus Digital Access unterscheidbar werden von solchen, die durch natürliche User im Wege des Human Access entstehen. Dabei können nach dem neuen SAP Digital-Access-Modell Lizenzierungserfordernisse auf beiden Systemseiten entstehen. Diese Systeme können SAP-Systeme wie auch Drittsysteme sein. Laut SAP werden seit August 2018 die Sender von automatisierten Zugriffen mit Identifiern ausgestattet, während die Empfänger (das buchende SAP-System) Anfang 2019 solche Identifier erhalten.

Vorläufige Bewertung

Unter kommerziellen Gesichtspunkten und aus dem Blickwinkel einer fundierten Lizenzberatung  besteht bei den eingeräumten Optionen für Vertragsumstellungen die Gefahr einer Unterbewertung der bisherigen Investitionen zulasten des Anwenderunternehmens. Manches angeblich „Neue“ könnte auch nur in der Gestalt einer Neuverpackung durch Rebundling oder Renaming daherkommen. Ob eine geänderte Metrik für jedes Unternehmen besser ist, steht in Frage. Gerade bei den zahlreichen individuellen Vertragsverhandlungen zwischen SAP und änderungswilligen Anwenderunternehmen, die aufgrund des neuen Modells absehbar sind, ist dies anzuraten: Eine absichernde Unterstützung für eine vorteilhafte Neuorientierung durch Expertise von außen (Lizenzberater, Rechtsanwalt IT-Recht).

Audit-Abläufe / Compliance Prüfung jetzt fair?

Skepsis ist auch angebracht mit Blick auf die verlautbarte Absicht von SAP, gleichzeitig mit dem neuen Modell Verbesserungen in der Kundenbeziehung zu adressieren. Eine häufig diskutierte Quelle der Vertrauensbelastung ist die geschickt ausgespielte Arbeitsteilung zwischen den Funktionen Audit und Sales, die den Anwender teils mit zunächst zweifelhaften Vorwürfen der Non-Compliance in die Zange nimmt:

Dass Audits oft als zweiter Vertriebsweg und willkommene Steilvorlage für den Account Manager fungieren, hat RA Robert Fleuter separat dargelegt, s. https://www.silicon.de/41667139/software-lizenz-audits-auswege-aus-der-falle/ .

Es ist zu bezweifeln, dass die unglückselige Interessenidentität zwischen Audit- und Vertriebsorganisation, die zulasten des Anwenders am gleichen Umsatzstrang ziehen, mit dem neuen Modell ein Ende hat. Zwar annonciert SAP die organisatorische und verfahrensmäßige Separation von Audit und Sales als unabhängige Funktionen. Angeblich soll künftig nur eine global aufgestellte Audit-Einheit für die Einhaltung von License Compliance – unter Abkopplung des Vertriebs – zuständig sein. Anwenderunternehmen sollen zudem mittels neuer Vermessungstools von SAP in die Lage versetzt werden, auf einfache Weise jederzeit Überblick und Kontrolle über ihre Lizenzsituation zu erhalten.

Aber es wird doch auch künftig eine im Audit festgestellte Unterlizenzierung durch Zukauf, Migration oder andere Maßnahmen auszugleichen sein. Da setzt naturgemäß der Vertrieb wieder an. Und je mehr Findings und Vorwürfe das SAP Audit bringt, desto besser sind die Spielräume für den Vertrieb. Eine Interessenidentität liegt einfach in der Natur der Sache:

Zuerst schmerzhafter Compliance-Vorwurf durch Audit, dann Erlösung vom Schmerz durch „günstige“ kaufmännische Sales-Lösung. Ob das neue Modell Milderungen bringt, bleibt abzuwarten.

Empfehlung für Software License Compliance beim Anwender

Zwar ist das neue Modell noch nicht voll im Detail definiert und stringent in der breiten Praxis umgesetzt, aber dies läßt sich sagen: Generell müssen Methoden und Verfahren im Software-Audit für Anwenderunternehmen von vornherein transparent und verständlich sein. Einseitig von SAP geänderte und verschärfte Maßnahmen oder Verfahren sollten nicht bedenkenlos mit dem verharmlosenden Verweis auf „SAP-Standardverfahren“ praktiziert werden.

In jedem Fall ist es ratsam, vor der nächsten Vermessung von SAP eine verlässliche Auskunft darüber zu verlangen, inwieweit das Verfahren im Software Audit neue bzw. andere Maßnahmen beinhaltet und zusätzliche Nutzungstatbestände berücksichtigt. Konkret sollten Anwender die spezifische Dokumentationsänderung zur Vermessungstransaktion USMM anfordern. Unternehmen sind in der Lage, sich im Interesse ihres Risikomanagements bei License Compliance für den unerwarteten Ernstfall wirksam vorzubereiten, um unangemessene Audit-Maßnahmen sofort mit den richtigen Reaktionen zu parieren.

Im Zweifelsfall kann eine Audit-Beratung durch Experten im Lizenzmanagement und Softwarerecht Vorteile bringen, damit das Unternehmen nicht unberechtigterweise mit neuen Anforderungen und Vorwürfen bzgl. Software License Compliance konfrontiert wird. Nicht zuletzt ist ein spezieller fachlicher Blick von Lizenzberater und Anwalt Lizenzrecht/Softwarerecht in die vertraglichen Bestimmungen des gesamten Lizenzportfolios erforderlich und nützlich.

Software-Lizenz-Audits: Verteidigungslinien des Anwenders

Peter Wesche August 15, 2018

Zunehmend sind Anwenderunternehmen mit aggressiven Lizenz-Audits durch Vendoren von Standard-Software konfrontiert. Das können SAP, Oracle oder Microsoft sein, die Audits in verschiedenen Formen und Intensitäten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionsträger können damit in Berührung kommen, wie

  • CIOs
  • Lizenzmanager
  • IT-Einkäufer
  • Juristen
  • Compliance Officer
  • Finanzmanager und die Geschäftsleitung.

Oft zweifelhafte Compliance-Vorwürfe und Nachforderungen teils in Millionenhöhe sind Anlass genug, einen Blick auf Möglichkeiten der Abwehr zu werfen.

Wer organisiert die Abwehr eines Audits?

Unmittelbar nach Eingang des Audit-Anschreibens (Audit Call) empfiehlt es sich, zumindest nachfolgende Funktionsträger zu involvieren:

  • IT-zuständiges Mitglied der Geschäftsleitung bzw. CIO, falls noch nicht als Erst-Adressat des Anschreibens ohnehin bereits informiert. Grund: Signifikante Nachforderungen und Streitigkeiten mit einem großen Vendor können die unternehmerische IT-Planung tangieren.
  • Lizenzmanager, da dort das Know-how zum Softwarebestand bzw. zu Schwachstellen vorhanden ist. Bei ihm ist oft ein Querschnittswissen über das Zusammenspiel aller Akteure konzentriert.
  • Finanzverantwortlicher (CFO, Kaufmännischer Leiter), da finanzielle Risiken drohen durch Nachforderungen bei Unterlizenzierung, und weil ggf. auch Investitionen anfallen können.
  • Rechtsabteilung, da Lizenzvertragsrecht, Software-Recht, IT-Recht, Urheberrecht etc. immer eine entscheidende Rolle spielen beim Argumentationsaufbau zur Forderungsabwehr. Der Unternehmensjurist kann die Maßnahmen zum juristischen Gefahrenmanagement koordinieren, indem er auch Audit-Expertise von externen Spezialisten einbindet.

IT-Juristen einbinden

Zwar geht der Audit Call als Anschreiben meist zunächst an die Geschäftsleitung bzw. an CIO oder Lizenzmanager, wo im ersten Moment der Audit-Druck lastet. Sobald man dort jedoch die reale Gefahr aus zweifelhaften Vorwürfen der Unterlizenzierung und ungeahnten Nachforderungen teils in Millionenhöhe erkennt, werden intern die Juristen zur Abwehr eingebunden. Sie werden nach Lösungen gefragt, wenn IT-Manager in Erklärungsnot geraten und Finanzchefs bluten sollen.

Die professionelle Abklärung von hochkomplexen Nutzungsrechten ist hier aus juristisch-kaufmännischer Gesamtsicht zu managen. Typischerweise eben durch passgenaue Einbindung ergänzender Audit-Expertise von außen. So beweisen Juristen als Akteure im Audit ihre Problemlösungskompetenz zugunsten ihres Unternehmens und leisten einen Wertschöpfungsbeitrag.

Je nach Organisation des Unternehmens kann die zusätzliche Einbeziehung weiterer Funktionen nützlich sein, wie etwa Compliance Officer. Denn mit der vom Vendor hinterfragten Software Compliance ist ein Teilbereich seiner Zuständigkeit betroffen, und Vendoren behaupten teils strafrechtlich relevante Compliance-Verstöße. Auch der IT-Einkauf ist wichtig, da dort kommerzielle Konditionen mit dem Vendor bei erforderlichen Zukäufen zu verhandeln sind.

Erste Verteidigungslinien des Anwenders

Zunächst ist die juristische Korrektheit des Audit-Anschreibens selbst sowie der Audit Scope (Inhalt und Reichweite des Prüfungsverlangens) klar zu analysieren. Es geht um Kriterien der rechtlichen Zulässigkeit generell, auch der Audit-Klausel selbst. Ebenfalls geht es um die Konkretisierung der prüfungsrelevanten Produkte und Systeme (Vermessungsplan) sowie um die Bewertung der verlangten Formen wie Selbstauskunft, Remote Audit, On-Site-Audit oder andere. Nicht vermessbare Bereiche wie Sonder-User oder spezielle Metriken sind ggf. zu identifizieren und separat zu berücksichtigen.

Nachfolgend sind einige konkrete Anhaltspunkte für die Analyse eines Audit Call genannt:

  • Sind die Formalien des Audit-Anschreibens eingehalten?
  • Ist die korrekte Audit-Klausel als Berechtigungsbasis für den Audit Call in Bezug genommen?
  • Sind in der Audit-Klausel Fristen vereinbart, die dem Unternehmen zustehen?
  • Ist die Verhältnismäßigkeit der verlangten Mittel/Methoden zum Informationszweck gewahrt? Oder wird mit Kanonen auf Spatzen geschossen?
  • Existieren Bedenken bzgl. überzogener sachfremder Auskunftsverlangen?
  • Sind Geschäftsgeheimnisse sicher? Werden Belange des Datenschutzes beachtet?
  • Verbleibt dem Anwender beim Einsatz des verlangten Vermessungstools ausreichende Transparenz und Kontrolle hinsichtlich der übermittelten Daten?

Eventuell sind vor dem Start der Maßnahmen Vereinbarungen über den Gesamtkomplex anzuregen. Das kann Regelungen der vorgenannten Punkte umfassen, der Zeitschiene, der Kostenverteilungen, der Beschränkungen in Umfang und Methode und weiterer Besonderheiten.

Audit Readiness

Aber nicht erst mit Eingang des Audit Call, sondern zeitlich weit im Vorfeld können Anwenderunternehmen die Basis für ein gutes Gelingen vorbereiten, nämlich durch Herstellen von Audit Readiness.

Im Bereich System-Administration sind die richtigen Systemeinstellungen vorzunehmen (etwa Anzahl benutzter Server), um z.B. unzulässige Virtualisierungen zu vermeiden. Die technische Fähigkeit zur Selbstauskunft sollte stets vorhanden sein.

Der Bereich Lizenzmanagement sorgt in seiner Kernaufgabe für die Aufstellung bzw. Aktualisierung der Lizenzbilanz, d.h. die Dokumentation des aktuell genutzten bzw. verfügbaren Lizenzportfolios. Wenn die Nutzung über das zulässige Maß hinausgeht, sie also nicht mehr vom eingeräumten Lizenzumfang gedeckt ist, kommt es zur problematischen Unterlizenzierung. Proaktive interne Vermessungen können unangenehme Überraschungen im Audit vermeiden.

Fazit

Zwecks Forderungsabwehr sollten Akteure wie Geschäftsleitung, CIO, CFO, Lizenzmanagement und Rechtsabteilung sofort die Gegenmaßnahmen koordinieren und die nötige Expertise bündeln – ggf. mit Audit-Spezialisten von außen. Proaktive Herstellung von Audit Readiness ist hilfreich. Mit kritischem Hinterfragen der rechtlichen Zulässigkeit von Audit-Klauseln sowie von Auskunftsverlangen und Methoden des Vendors lässt sich mitunter eine erste Verteidigungslinie aufbauen. Der Audit Scope und weitere Details sollten für den Anwender transparent vereinbart werden. Es hat sich für etliche Anwenderunternehmen schon finanziell ausgezahlt, die Expertise von auditprotect einzubinden und damit einen deutlichen Benefit zu erzielen, Value-Proposition .

Software-Lizenzaudit oft ohne Rechtsanspruch

Peter Wesche March 14, 2018

Was die Wengisten wissen:

Die Grundlage für einen Softwareaudit ist oft zweifelhaft oder sogar unbegründet, weil die AGB der Lizenzgeber angreifbar und die Auditklausel unwirksam sein kann.

Zur Klärung möglicher Auswege nach einem Audit-Call sollte ein Anwalt für Softwarerecht einbezogen werden, um nicht in unnötigen Aktionismus zu verfallen

Mehr zu dem Thema auf silicon.de:

Auswege aus der Falle

auditprotect: Software-Kostenkontrolle mit weniger Stress!

Peter Wesche June 20, 2015

See short English section at the bottom of the page!

Jeder Software-Audit löst beim Anwenderunternehmen Stress aus. Weshalb?

  • Der Audit kommt von außen mit Prozessen, die nicht Teil der eigenen IT-Routinen sind.
  • Die Durchführung des Audits erfordert ungeplante, gesonderte Ressourcen.
  • Er untersucht Systemzustände bzw. -eigenschaften, deren Zusammenhänge vorab nicht transparent sind.
  • Er verknüpft Informationen aus sehr verschiedenen Bereichen (Einkauf, IT-Services, User-Administration, Server-Administration, etc.).
  • Die Rechtsgrundlagen für verlangte Audit-Maßnahmen sind oft zweifelhaft.
  • Die finanziellen Folgen mangelnder Software-Compliance überfordern häufig das Budget.

Ständige Veränderungen in der Nutzungsweise und der Vergütung von Software haben bisher eine allgemeinen Lösung des Software-Compliance Themas verhindert. Die Folge dieses ungelösten Problems ist ein bislang unüberschaubares finanzielles Risiko. Eine vorsorgliche Überlizenzierung ist lediglich eine teure und unsichere Scheinlösung, welche die Shareholder nicht nachvollziehen können.

Geld sofort weg - Nutzung in 6-Monatsschritten

Wie können also die Audit-Stressfaktoren verringert werden?

Die Antwort ist nicht überraschend: Alle Faktoren müssen einheitlich optimiert werden, und zwar für alle Beteiligten.

Hierzu gehören nicht nur die Hauptbeteiligten, die unmittelbaren Repräsentanten des Softwarelieferanten und des Anwender-Unternehmens. Es gilt vielmehr, die zahlreichen Fachleute in beiden Lagern einzubinden, also die Mitwirkung des Lizenzgebers ebenso zu fordern wie die Bereitstellung der Faktenlage durch die Verantwortlichen auf der Anwender-Seite. Und es gilt, Verhältnismäßigkeit an die Stelle eines Machtspiels zu setzen. Denn die Versuchung für den Lizenzgeber ist groß, Vermessungsergebnisse einseitig zu seinen Gunsten zu interpretieren. Immerhin hat er durch seine technische Support-Kompetenz ein für den Softwarebetrieb wesentliches Pfand in der Hand. Wie die Praxis zeigt, bedarf es für eine beidseitig förderliche Audit-Abwicklung eines starken Regimes, eines äußeren Zwangs, dem sich die Beteiligten anschließen können: kompromisslose Sachkompetenz. Der Schlüssel liegt also in der interdisziplinären Handhabung der Abläufe als eine von beiden Seiten respektierte Basis.

Logo_final_small

Diesem Kalkül wird auditprotect gerecht, eine Kooperation von Lizenz- und Rechtsberatung für Software. Sie stellt ein Beratungspaket als umfassende und interdisziplinäre Leistungen zur zeitnahen Lösung bei Software-Audit-Konflikten und Lizenz-Optimierungsvorhaben bereit. Dabei sorgt die mehrdimensionale Analyse der inhaltlichen und rechtlichen Faktenlage für eine zeitnahe Aufklärung und anschließenden Aufbau von Handlungsoptionen, die eine gute kaufmännische Lösung als Ziel haben. Kürzlich erfolgreich abgeschlossene Projekte haben genau zu diesem Ziel geführt. Der Meta-Prozess adressiert  die Problemstellung je nach Sachlage:

1. Unmittelbare Problematik bei bereits begonnenem Audit (Quick Response):

Lösung4

2. Mittelfristige Optimierung zur Abwendung von potenziellen Complianceproblemen (Best Invest):

BI_DE

Auch wenn es in der Umsetzung manchmal mehrerer Iterationen bedarf, das Ziel ist die De-Eskalation und die Verhandlung mit dem Lizenzgeber auf Augenhöhe. Die Leistung wird branchen-übergreifend gegenüber dem Anwender-Unternehmen erbracht. Nähere Details in folgenden Fact-Sheets:

auditprotect_L12_flyer_QR_DE (Quick Response)

auditprotect_L12_flyer_BI_DE (Best Invest)

Referenzen sind auf Anfrage erhältlich, näheres zur Rechtsberatung unter BLClogo.

For english references, see:

auditprotect_L12_flyer_QR_EN (Quick Response)

auditprotect_L12_flyer_BI_EN (Best Invest)

SAP Deutschland beschränkt den Nachkauf von Limited Professional Nutzern

Peter Wesche June 16, 2015

Ein kürzlich verschickter Brief an fast alle Anwender-Unternehmen in Deutschland und Österreich lässt die Kunden aufhorchen:

Es geht um die Versagung der Nachkaufmöglichkeit für SAP Application Limited Professional User und SAP Business Suite Limited Professional User, soweit deren Nutzungsrechte in den jeweiligen Softwarebestellungen nicht ‘ausreichend’ präzisiert wurden. Die betroffene Userkategorie war mit der Neuausgabe der Preisliste im Juli 2014 für Neugeschäfte gänzlich gestrichen worden und war bisher für existierende Kunden  im Rahmen des Zukaufs ‘more of the same’ nach wie vor beziehbar.

Historie

Die Nutzerkategorie Limited Professional (‘LPU’) war bisher für viele Unternehmen sehr attraktiv, um Gelegenheitsnutzer oder Nutzer mit einem eingeschränkten Zugriff auf wenige Transaktionen vom doppelt so teueren Professional User abzugrenzen. Gleichzeitig bot diese preiswerte Kategorie dem SAP-Vertrieb die Möglichkeit, Firmen mit kleinerem Budget für die SAP-Nutzung zu gewinnen. Eine seit 2001 gültige Regel, nach der die Anzahl von Limited-Professional-Nutzer nur maximal 15% der Professional-Nutzer betragen durfte, wurde in der Praxis häufig verletzt oder wegverhandelt. 2011 wurde die Grenze auf 50% angehoben, was der Praxis eher entsprach.

Über die Jahre prägte sich in der Preisliste eine immer größere Anzahl von Spezialusern auf, die mit über 17 Sonderkategorien in der Preisliste 2013 ihren Höhepunkt erreichte. Die Definition der Nutzerkategorie in der Preis- und Konditionenliste (‘PKL’) der SAP wurde fast jährlich angepasst. Die unklaren Verhältnisse führten zu Nachfragen und zum Verdruss der Kunden.

komp_Tischgruppe

Unklarheiten beseitigen, aber wie?

Fristsetzung zur Änderung bestehender Verträge?

Nun fordert die SAP als Voraussetzung für den weiteren Bezug von Limited-Professional-Nutzern, dass der Kunde eine Ergänzung seines Lizenzvertrags vornehmen muss, mit dessen Hilfe die allgemein gehaltene Definition der Nutzerkategorie auf konkrete Szenarien eingeschränkt wird. Darf ein Lizenzgeber eine Nachkaufmöglichkeit einschränken, die ja immerhin wesentlich zum Erhalt der Software-Compliance sein dürfte?

Was bedeutet dies?

Bisher konnte das Anwender-Unternehmen bei neuen Nutzerrollen nach Gutdünken handeln, wenn es um die Zuordnung der erforderlichen Nutzerkategorie ging.  Nun sollen bestehende Verträge auf den Prüfstand und angepasst werden. Dazu wird die seit 2009 in der PKL formulierte Regel, der LPU müsse in seinen Nutzungsrechten definiert sein (“Im Vertrag müssen die eingeschränkten Nutzungsrechte dieser Limited-Professional-Nutzer definiert sein”). Neben der rechtlichen Frage der Zulässigkeit einer solchen Forderung nach Vertragsanpassung steht die Frage im Raum, ob überhaupt geklärt ist, in welcher Form eine solche Definition sinnvoll, akzeptabel oder als Eingriff in längst begebene Rechte zu verstehen ist. Es fehlt nämlich an der Norm, die eine ‘ausreichende’ Definition begründen würde.

Wie sollte das Anwender-Unternehmen reagieren?

Soweit es die rechtliche Dimension dieses Vorgangs betrifft, sei die Bewertung und das Verfahren den rechtsberatenden Berufen anheim gestellt.  In der Rolle als Vertragspartner sollte man sich eine Fristverlängerung ausbedingen, um den Vorgang überhaupt korrekt zu behandeln. So hat z.B. Rechtsanwalt Dr. Robert Fleuter (www.b-l-c.com) ein pragmatisches Vorgehen entwickelt, sich kurzfristig den Rücken freizuhalten. Grundsätzlich bietet die Aufforderung von SAP auch einen positiven Hebel, wenn der User-Mix der Vergangenheit als unpassend oder zwanghaft empfunden wurde. Jetzt ist nämlich der ideale Zeitpunkt, die ‘SAP-Extensions’ zu nutzen und einen Eintausch von User-Lizenzen vorzubereiten. Wenn SAP ‘tabula rasa’ wünscht, sollte auch der Kunde seinen Vorteil dabei haben.

Dieser Software-Audit Verhaltenscodex gehört zu jedem Softwarekauf!

Peter Wesche October 7, 2014

Um der Willkür mancher Softwareanbieter Paroli zu bieten, hat die Clear Licensing Initiative ein Grundsatzpapier entworfen, dessen Originalversion bereits von Oracle Inc. als Zusatz zu den Vendor-eigenen Verfügungen akzeptiert wird.

Wir bieten hier die deutsche Version an:

Vorwort – Aktuelle Marktbeobachtungen

 

  • Viele Software-Hersteller entscheiden sich gegen die Durchführung von technologischen Kontrollen, durch die die Verwendung von nicht lizenzierter Software eingeschränkt würde stattdessen bevorzugen sie einen Ansatz von Flexibilität und Offenheit, mit dem die Kunden eigenständig Kontrollen mit eigener Technologie zu entwickeln oder manuelle Kontrollen zu nutzen.
  • Historisch hinkt Software-Management stets zwei Schritte hinter Lizenz-Programmänderungen. Software-IP wird in der Regel schlecht von den Lieferanten beschriftet und Kunden erhalten keine ausreichenden Instrumente oder Anleitungen, um diese genau zu beurteilen und / oder proaktiv ihren Verbrauch zu verwalten. Es fehlt auch an Klarheit über Änderungen an Lizenzprogrammen.
  • In der Folge haben Kunden entweder unzureichende Kontrollen rund um den Einsatz und die Nutzung von Software aufgebaut oder waren mit Schwierigkeiten bei der Verwaltung ihrer Software-Audit-Funktionen konfrontiert.
  • Besonders beim Download von Software, bestätigen Kunden häufig die Vertragsbedingungen, die sie nicht verstehen, entweder durch bewusste Inkaufnahme von Restrisiko oder Unwissenheit.
  • Software-Hersteller haben die Möglichkeit, den Mangel an Klarheit über Software, Lizenzierung und Prüfungsrechte zu ihrem Vorteil während der Verkaufsprozesse, Vertragsverhandlungen oder anderen Punkten in einer vertraglichen Vereinbarung zu nutzen, was der Branche Unzufriedenheit und Misstrauen seiner Kunden beschert hat.

Symbol der Kampagne für Lizenztransparenz der Barium Manifesto Ldt. in UK


Einführung

Software-Hersteller auditieren ihre Kunden primär um zu prüfen, ob Software innerhalb der vereinbarten Bedingungen eingesetzt wird.

Dieser Verhaltenskodex definiert eine Reihe von akzeptablen Praktiken für das Verhalten bei solchen Prüfungen und Prüfungsarten. Er umfasst die Definition, den Umfang, die Einbindung von Dritten, die Vereinbarung von Zielen und Bewertung von Ergebnissen.

Leitsätze:

 

  • Softwarehersteller haben das Recht, ihr geistiges Eigentum zu schützen.
  • Softwarehersteller haben das Recht, Lizenzregeln in den Vereinbarungen und Verträgen mit ihren Kunden zu etablieren.
  • Software-Hersteller und Kunden haben sowohl eine Verantwortung und eine Verpflichtung, sich an die Klauseln in den Vereinbarungen und Verträgen zu halten.
  • Kunden haben das Recht, Prüfungsanforderungen, die nicht der Sicherung von Vertragspflichten oder des geistigen Eigentums dienen, zurückzuweisen.
  • Beide Parteien haben ein Anrecht auf Professionalität, absolute Transparenz, Klarheit und Offenheit im gesamten Auditprozess.


Auf den Punkt gebracht
Für Kunden: Was Sie nicht unter Kontrolle haben, verwenden Sie nicht. Für Software-Hersteller: Verkaufen Sie keine Rechte, die man nicht mit alltäglichen Werkzeugen und Techniken verwalten kann.

Jede Audit-Aktivität sollte sich zu einer der in der folgenden Tabelle aufgeführten Audittypen zuordnen lassen:

Audittypen

Audittypen

Hinweise:

Freiwillige Prüfungen und Bewertungen werden fälschlicherweise oft als formale Audits bezeichnet.
Pre-Sales geführte Audits und freiwillige Bewertungen können wertvolle Erfahrungen für das Lizenzmanagement liefern. Sie dürfen jedoch nicht verwendet werden, um Druck von Vertriebsseits aufzubauen, z.B. indem drohende rechtliche Konsequenzen erwogen werden.

Prüfungsauftrag

Alle Prüfungsmitteilungen sollten durch einen formalen Kommunikationsprozess innerhalb einer Vereinbarung fixiert werden. Falls solche Verfahren nicht definiert sind, sollte das zuständige Lieferantenmanagement mit entsprechenden Eskalationsoptionen genutzt werden.

Erstprüfung Kommunikation sollte beinhalten:

Die Hauptanlaufstelle sowohl beim Vendor wie dem Kunden.
Art der Prüfung wie in der Tabelle oben erwähnt.
Gründe für die Prüfung einschließlich der Nachweise.
Vertrag, Vereinbarung oder eine andere eindeutige Kennung, unter denen die Prüfung aktiviert wird.
Prüfungsumfang in Bezug auf Produkte, Regionen, Unternehmen, Umgebungen, Gerätetypen usw.
Zieltermine für die Abschlussprüfung, die Ergebnissammlung und –veröffentlichung.
Schiedsverfahren im Falle von unüberbrückbaren Differenzen.
Eskalationswege sowohl innerhalb des Vendors und der Kundenorganisationen .

Vereinbarte Messkriterien

Der Vendor soll klar bezeichnen, was zur Feststellung folgender Sachverhalte erforderlich ist:

Nachweis der Installation für alle Titel in Betracht;
Nachweis der Berechtigung für alle Titel in Betracht; und
Änderungen an den vereinbarten Lizenzbedingungen zwischen dem Vendor und dem Kunden in den Nutzungsrechten, für die im Prüfungsumfang enthaltene Software.

Daten und Arbeiten mit Dritten

Dritte (In der Prüfung Beteiligte, aber weder Kunden noch Vendor) sollten vor dem Audit erklären, welche kommerzielle Interessen (entweder auf Kunden- oder Verkäuferseite) die Prüfungsarbeit begleiten.

Kommerzielle Interessen können sein:

Profitiert (direkt oder indirekt) aus dem Ergebnis;
Erhält Entschädigung für die durchgeführten Prüfungsarbeiten;
Unterhält Beziehungen oder kommerziellen Interessen außerhalb der Prüfungsarbeiten;
Wie, wann und zwischen welchen Parteien die für die Prüfung relevanten Daten gemeinsam genutzt werden.

Die Zusammenarbeit zwischen den Dritten, dem Vendor und dem Kunden, sowie der Datenaustausch als Teil des Audits ist auf den Umfang zu beschränken, der für die Prüfung des Sachverhalts erforderlich ist, und darf nicht für andere Zwecke verwendet werden. Dies gilt insbesondere, wenn der Dritte kann auch die externe Wirtschaftsprüfungsgesellschaft des Kunden ist.

Timing

Soweit nicht anders vereinbart, bestimmen beide Parteien einvernehmlich den Zeitpunkt, zu welchem der Audit beginnt.

Soweit der Audit externe Software benötigt, die vom Hersteller der Software oder ihrer nominiert dritten Partei verwendet werden sollen, so sind die hiermit begründeten Audit-Verfahren in einem zuvor vereinbarten zeitlichen Rahmen zur Erhebung der entsprechenden Daten durchzuführen.

Freiwilliger Self-Audit: Nach Kundenermessen
Vertraglicher Audit: Ankündigung minimum 60 Tage vor Beginn, sofern nichts anderes vereinbart ist.
Rechtlicher Audit: Nach der lokalen Gerichtsbarkeit

In jedem Fall sind alle Parteien sind sich einig, dass alle prüfungsbezogene Arbeit die produktiven Geschäftsprozesse des Kunden nicht beeinträchtigen wird.

Vor-Ort-Prüfungen und Betriebsinformationen

Ist ein Dritter mit der Durchführung des Audits im Auftrag des Softwareherstellers befasst, so wird er vorab den Kunden über die operativen Ablauf der Prüfung informieren. Dies umfasst (aber nicht ausschließlich):

Anordnung einer Client-Chaperon, welche die Wirtschaftsprüfer zu den Geschäftsräumen des Kunden begleiten;
Dauer der Prüfung vor Ort, soweit zulässig;
Zugriff auf Hardware-Systeme;
Zugriff auf Audit-Software-Installationen und Nutzung.

Alle Informationen, die im Rahmen der Audit-Durchführung erfasst oder als Ergebnis der Prüfung erstellt werden, unterliegen der Vertraulichkeit und können nicht an den Vendor, den Dritten oder den Kunden weitergeleitet werden, ohne dass alle Parteien ausdrücklich zustimmen. Dem Dritten ist die Weiterleitung von solchen Informationen an andere Teile der eigenen Organisation untersagt.

100% Offenlegung zwischen dem Softwarehersteller und dem Kunden ist wichtig, so dass beide Parteien verstehen, welche Daten verwendet werden, um die Ergebnisse der Prüfung abzuleiten. Auch wenn ein Dritter keine Vor-Ort-Datenerfassung im Auftrag eines Software-Hersteller tätigt, müssen abgeleitete Ergebnisse wie Datenerfassung dem Kunden kenntlich gemacht werden.

Prüfungsergebnisse

Prüfungsergebnisse / Abschluss / Empfehlungen

Der Software-Hersteller wird den Kunden mit einem vollständigen Satz der Erkenntnisse aus der Prüfung, einschließlich folgender Angaben aushändigen:

Alle bekannten Lizenzberechtigungen;
Alle installierte und im Einsatz befindliche Software;
Alle Lizenz-Positionen für alle Produkte;
Alle Ersatzlizenzberechtigungen, die nicht benötigt wurden, um Lizenz-Software zu installieren und / oder in Gebrauch zu nehmen;
Alle Defizite in Lizenzberechtigungen für installierte und / oder in Gebrauch genommene Software;
Alle Berechnungen von möglichen Lizenzgebühren für Defizite in Lizenzberechtigungen, darunter, wie solche Zahlen zustande gekomment. Saldierte Zahlen erfüllen diesen Zweck nicht, da sie für einen Vergleich zu bestehenden Marktpreise oder vorab vereinbarten Vertragspreise, die in Kraft sein könnten, aber in Vergessenheit geraten sind, untauglich sind.

Hinweis: Detaillierte Transparenz über Defizite kann auch helfen, den Kunden mit der Ursachenanalyse zur Vermeidung solcher Fälle zu unterstützen – so profitieren in der Zukunft alle Beteiligten.

Mediation

Sowohl die Software-Hersteller wie auch der Kunde behalten sich das Recht vor zu bestreiten, ob die Zahlen zutreffen. Soweit unterschiedliche Auffassungen nicht zwischen den Parteien gelöst werden, soll Rückgriff auf die Mediation mit dem CCL, einem Schiedsgericht mit einem Schiedsrichter der von beiden Seiten bestellt wurde, und / oder Gerichtsverfahren. Der Eskalationweg ist angezeigt im der Falle von Streitigkeiten über das Audit-Ergebnis und der fälligen Nachforderungen.

Der Abschlussprüfer / Vendor oder Dritte sollten Abweichungen, die wahrscheinlich Ursachen solcher Unterschiede sind und welche Schritte den Kunden aussehen könnte und Best Practices auf die sie verweisen können, um die gleichen Fragen noch einmal passiert in der Zukunft zu verhindern erklären. Prüfungsergebnisse und Empfehlungen sollten in einfachem Englisch mit minimalem technischen Jargon oder Lizenz geliefert werden, so dass die Schlüsselbotschaften verstanden und auf die vom Kunden über ihre Organisation gehandelt werden.

Oracle pool-of-funds Lizenzierung erfordert eine genaue Planung

Peter Wesche September 20, 2014

Seit Ende 2013 taucht es in Lizenzverhandlungen mit Oracle als neue Option auf: Das ‘Pool-of-funds’-Lizenzmodell. Es ergänzt bzw. modifiziert einige Eigenschaften des bisherigen ULA-Lizenzmodells, welches weiterhin ungeändert fortbesteht.

Geld sofort weg - Nutzung in 6-Monatsschritten

Geld sofort weg – Nutzung in 6-Monatsschritten

Was ist anders beim ‘pool-of-funds’?

Wie das Oracle ULA (unlimited licensing agreement), wird ein ‘pool-of-funds’-Lizenzvertrag für einen bestimmten Warenkorb von Lizenzprodukten auf Zeit geschlossen. Aber anstatt einer Wette auf den möglichen Preis pro Einheit wie beim ULA, liegt beim ‘pool-of-funds’-Modell dieser Lizenzpreis von vornherein fest. Ziel des Modells ist es vielmehr, dem Anwenderunternehmen während der Vertragslaufzeit flexible Abrufe auf den Warenkorb des Vertrags zu ermöglichen; so, wie es das Geschäft und der Projektverlauf erfordert. Wie beim ULA, wird der Vertragspreis für das gesamte Volumen zu Vertragsbeginn fällig; 22% Wartungsgebühren werden zu Anfang jeden Vertragsjahres erhoben.

Eine weiterer Unterschied besteht in der Vermessung: Während beim ULA kurz vor Ablauf die tatsächliche Inanspruchnahme der ‘unlimited’-Produkte nachgewiesen wird, erfolgt beim ‘pool-of-funds’ die Vermessung nach jeweils 6 Monaten. Als Statusmeldung werden dann nur die zusätzlich genutzten Lizenzprodukte für alle zu vermessenden Systeme an Oracle zur Fortschreibung der Inanspruchnahme des Budgets (=’pool balance’) zurückgemeldet. Die Folge ist eine zeitnahe Wandlung des aktuellen Poolwertes in dauerhafte Lizenzrechte. Ist das Budget erschöpft, muss das Anwenderunternehmen wieder regulär Lizenzen zukaufen. Spätestens 30 Tage nach Auslauf des Vertrags muss das Anwenderunternehmen die Rückmeldung aller zusätzlichen Lizenzierung der letzten 6 Monate erfolgt sein.

Was ändert ‘pool-of-funds’ in der Risikobewertung?

Das Modell ist eignet sich eher für unsichere Verwendungsprognosen und kleinere Volumina. Während der Oracle-Vertriebg das ULA erst ab einem Commitment von mehreren Millionen Euro Vertragsvolumen anbietet, ist ein ‘pool-of- funds’-Vertrag für kürzere und kleinere Verträge verhandelbar. Es ist auch denkbar, diejenigen Lizenzen aus dem ULA in einen ‘pool-of-funds’-Vertrag zu verlagern, deren Einsatzanteile eher ungewiss ist und die ULA-Auslastung nicht wahrscheinlich ist.
Typisch ist eine Laufzeit von 2 Jahren und ein Volumen von 1-3 Mio Euro. Er eignet sich für ein Forward-Buy, der überschaubar ist. Mit dem etwas geringeren Risiko einher geht allerdings auch ein geringerer Rabatt als im ULA-Fall. Letztlich ist auch hier jeder Vertrag mit dem spezifischen Hebel des Anwenderunternehmens zu optimieren.
Schwierig ist die Ermittlung eines fairen Preises pro Einheit: Muss dieser deutlich geringer ausfallen als beim sukzessiven Zukauf, stellt sich die Frage, wieweit der Rabatt unterhalb eines ULA liegen darf. Hierzu sind individuelle Kalkulationen erforderlich, wie sie von Doctor-License auf Basis von aktuellen Preisbenchmarks aufgestellt werden können.

Welche Risiken bestehen fort?

Prinzipiell ist auch für den pool-of-funds Vertrag eine genaue Planung erforderlich. Wichtig ist ein System zur zeitnahen Fortschreibung aller im pool befindlicher Lizenzprodukte. Die Interims-Nutzungskontrollen haben letztlich zur Folge, dass jede zusätzliche (Peak-) Nutzung zur Festschreibung der Lizenzen führt.
Alle Projekte sollten mit einer realistischen Einsatzwahrscheinlichkeit über den Vertragszeitraum versehen werden, um den Pool auch sicher voll nutzen zu können. Es ist in der Regel günstiger, schon vor dem Ende der Laufzeit zum Pool zukaufen zu müssen, anstatt das Budget nicht voll auszunutzen.

 

Optimieren Sie Ihre Softwarelizenzen im jährlichen Rhythmus

Peter Wesche September 3, 2014

Zur Verbesserung Ihres Lizenzmanagements sollten Sie ein jährlich wiederkehrendes Schema für Ihre Planung verwenden. Die folgende Grafik beschreibt die grundsätzlichen Beziehungen zwischen den zyklischen Aktivitäten und den Optimierungsthemen Ihrer Softwareinvestitionen:

Optimierungsmatrix

Optimierungsmatrix

In der Wirklichkeit werden nicht alle zugeordneten Themen relevant, weil Sie sich immer auf eine spezifisches Problem Ihres Lizenzmanagements fokussieren werden. Jedoch ist es hilfreich, folgende drei Fragen zu stellen:

1) Kenn ich meine Lizenzen; weiß ich, wozu ich Anrechte habe?

2) Wie kaufe ich nach; habe ich dazu die beste Taktik und belastbare Benchmarks?

3) Wie werde ich die Software Compliance sicherstellen, kenne ich die zugrunde liegenden Regeln?

Improve your license control in a yearly cycle

Peter Wesche

For advanced control of your licensing, you should apply a cyclic schema that repeats every year and follows your own planning. Here, you see the principal relationship between tasks in software investment control and the detailed topics that you have to manage to stay optimized and compliant:

Optimization Cycles in Software License Management

Optimization Cycles in Software License Management

In a real-world project situation, you will rarely address all topics when dealing with a specific challenge in your license control. But it helps when you think in three simple concepts:

1) Which are my licenses, do I know what I own?

2) How do I purchase new licenses, do I have access to best tactics and benchmarks?

3) How will I manage software compliance, do I know the licensing rules?

 

Audit Statistiken richtig verstehen!

Peter Wesche May 15, 2014
Rangfolge der Vendoren nach Audit-Häufigkeit in 2013/14

Rangfolge der Vendoren nach Audit-Häufigkeit in 2013/14

In seiner letzten Untersuchung Survey-SLO-Key-Trends-Audits-Cost-Risk zur Audit-Praxis der Softwarevendoren der IDC werden eine Vielzahl von Survey-Ergebnissen geliefert, die die derzeitige Praxis der großen Vendoren aus Sicht der Anwenderunternehmen darstellen. Hierbei ist allerdings wichtig, die Fragen genau zu lesen, um nicht voreilige Schlüsse zu ziehen. Wir geben nachfolgend einige prominente Beispiele:

  • Audit true-up:
    Hierunter fallen auch solche Zusatzgebühren für Lizenzen, die vereinbarungsgemäß durch Wachstum erhöht werden müssen, ob durch Audit oder durch eine vereinbarte Messung, die der Anwender selbst durchführt. Auch enthalten sind Gebührenerhöhungen, die das Anwenderunternehmen entsprechend vorgeplant hatte. Der tatächliche ‘Überaschungseffekt’ ist also geringer, als die True-up Zahlen suggerieren können.
  • Ranking der Vendoren nach Audit-Häufigkeit:
    Auffallend niedrige Werte für einige Vendoren (z.B. Symantec, SAP) verleiten zu der Annahme, diese Vendoren wären nicht so erpicht auf Compliance-Kontrolle. In Wahrheit haben diese Unternehmen weitreichende Selbst-Vermessungstools bei ihren Kunden im Einsatz, aus denen sie regelmäßige Hinweise auf den Nutzungsumfang erhalten. Hier ist also die Frage, was wird als Audit empfunden.
  • Measurement method satisfaction:
    Hier wird nicht differenziert, ob eher schlechte Qualität oder hoher Aufwand Ursache für eine niedrige Zufriedenheit bei der Nutzung von nicht-kommerziellen Verfahren ist. Außerdem gibt es einen großen Bereich, die auf diese Frage mit ‘neutral’ antworten, weshalb die Unsicherheit steigt, die Ursache nicht richtig zu greifen.
  • Out of compliance percent:
    Naturgemäß ist die Beantwortung hier mit einem ‘defensiven’ Antwortverhalten zu betrachten, was bedeutet dass die Teilnehmer die Frage nach der Non-Compliance eher zu optimistisch sehen. Weil man nicht weiß, was man nicht weiß!

Abschließend sei erwähnt, das jeder gesponsorte Report mit Vorsicht zu genießen ist, wie die Marketing-Abbildung am Ende des ansonsten ordentlich aufgestellten Trends unterstreicht.

Rechtssicherheit und Lizenztranparenz aus einer Hand

Peter Wesche April 25, 2014

Wem ist die folgende Reflektion im Rahmen der Software-Nutzungsanalyse nicht wohlbekannt:

  • Lizenzmetrik verständlich?
  • Abzählbarkeit zumutbar?
  • Selbstaudit [mit Tools] möglich?

Dies alles sind Fragen, deren Antworten nicht nur auf der Analyse des Vendor-Lizenzmodells oder dem Lizenzverzeichnis, sondern auch auf dem IP-Recht, den AGBs und den aktuellen Stand der Rechtsprechung fußen. Bisher musste der Lizenzverantwortliche sich an zwei Quellen bedienen: an der Lizenzberatung und den IT-Rechtsexperten.

Wo sich Lizenztransparenz mit Rechtssicherheit verbindet!

Beratungspakete aus Lizenztransparenz und Rechtssicherheit für jede Lizenzmanagement-Phase

Jetzt arbeitet Doctor-License systematisch mit einem Netzwerk von IT-Fachanwälten und bietet innerhalb der Beratung auch die Behandlung der zugrunde liegenden Rechtsfragen über entsprechend qualitifzierte Fachanwälte. Diese nehmen ihr Mandat unabhängig wahr, profitieren aber gleichzeitig von den inhaltlichen Analysen und Aufbereitungen der Kunden-Lizenzverträge über License12. Diese Dienstleistung wird für folgende Fragestellungen als Kombination der jeweiligen Kompetenzen gebündelt:

  • Konsolidierung aller Lizenzen
    Für die meisten Vendoren besteht eine Vorgeschichte von einzelnen Transaktionen. Doctor-License legt hier die Grundlage für ein unzweifelhaftes Resultat der Konsolidierung aller erworbenen Rechte durch das Scannen und Interpretieren aller zugehörigen Manifeste (Rahmenvertrag, Lizenzbestellung, Side-Letter, Vendor-Definitionen).
  • Etablierung optimaler Vertragsklauseln
    Wir hören als Lizenzberater oft den Wunsch, Formulierungen für einzelne Klauseln vorzuschlagen. Dies ist das Metier des Rechtsexperten, das wir jetzt auch im Bündel mit anbieten können und das dem Lizenznehmer für zukünftige Transaktionen den Weg weist.
  • Audit-Vorbereitung
    Schon in der Vorbereitung eines Software-Audits werden die Weichen für den Erfolg gestellt. Einerseits müssen technische Vorbereitungen und Bereinigungen von Altlasten erfolgen, andererseits soll die Vermessung nur soviel Vendor-Einsicht ermöglichen, wie es zur Wahrung seiner legitimen Interessen bedarf.
  • Behandlung von strittigen Audit-Ergebnissen
    Liegt der Audit-Bericht bereits vor, so gilt es neben der Plausibilität auch die Grundlagen der Vergleichsdaten zu validieren. Falls der Vendor ohne Berechtigung neue Modelle einführt, können die Teilergebnisse wirksam in Frage gestellt werden.
  • Optimierung des Lizenzbestands
    Die Optimierung sollte eine ständige Übung sein, kann aber häufig nur aus Vermessungsergebnissen heraus beurteilt und verfeinert werden. Doctor-License fokussiert durch die Nutzung von umfangreichen Benchmarkdaten hier besonders auf die kommerzielle Seite.

Das Besondere bei allen Paketen ist die verlässliche Vorkalkulation von Aufwand und Ergebnis, denn jede Teildienstleistung folgt einem definierten Leistungskatalog.

 

Software business will only change if you change!

Peter Wesche October 4, 2013

With the advent of cloud computing, customers were expecting that new competition will change the attitude of vendors. This is largely not the case. Even the recent announcement of SAP to allow customers exchange shelfware against something more useful, shows not much change of attitude:

  • Allowances are treated like mercy by the vendor
  • Top discounts are taken away if customers try to execute on vendor promises
  • The lock-in dilemma is now spreading to cloud solutions as well
  • More cases of dispute are taken to court or threatened to do so

dsag2009

Therefore, the principle judgement of Peter Wesche during the 2009 German user group meeting remains unchanged and still represents an excellent summary of how you can prepare for better software investment management. See three parts of that speech: Guidance

Software Procurement Automation on the Rise

Peter Wesche April 30, 2013

As discussed during the IAITAM convention in Houston this month, SAM professionals and procurement managers are looking for a higher degree of automation, mainly to facilitate data collection and the workflow-driven use of SAM tools. The former, snapshot-like approach of SAM programs is outdated and more realtime thinking has come to the audience.

One of the first tools manages the upstream of SAM: License12 provides the automated conversion of software procurement documents to capture all data with a one-day cycle and populate the customers’ exclusive ContractSafe, a repository for the associated license entitlements. It can now process all vendors of packaged software, compared to the earlier version that was focused only on the ‘Big Four’, IBM, Microsoft, Oracla and SAP. It also addresses the cloud and subscription model and is a viable foundation for all downstream SAM tools.

Another notion from the convention was the focus on high value items. In that respect, hardware assets are viewed as commodities that might not require the same effort and cost for management.

 

Während der IAITAM-Konferenz in Houston wurde  in diesem Monat diskutiert, wie SAM Fachleute und Einkäufer zu einem höheren Grad an Automatisierung gelangenen, vor allem, um die Datenerfassung und die workflow-gesteuerte Nutzung von SAM-Tools zu erleichtern. De bisherige, Snapshot-orientierte Ansatz der SAM-Programme ist veraltet und mehr Echtzeit-Denken greift beim Publikum Raum.

Eines der ersten Werkzeuge verwaltet die stromaufwärts von SAM: License12 bietet die automatisierte Umwandlung von Software-Beschaffungsdokumenten, indem alle Daten innerhalb eines Arbeitstags extrahiert und in den ContractSafe des Kunden, einem Repository für die zugehörigen Lizenzberechtigungen, übertragen werden. Nun können alle Anbieter von Softwarepaketen verarbeitet werden, im Vergleich zu der früheren Version, die nur auf die ‘Big Four’, IBM, Microsoft, SAP und Oracle fokussiert wurde. Der Internet-Service ist im Abo-Modell verfügbar und bietet eine tragfähige Grundlage für alle nachgeschalteten SAM-Tools.

Eine weiterer Denkimpuls der Konferenz bestand in der Fokussierung auf die großen Investitionen in Software-Lizenzen. Damit verglichen erscheinen Hardware-Assets wie Rohstoffe, für die ein gleicher Aufwand für die Verwaltung nicht angemessen erscheint.

What to do when SAM gets under financial pressure?

Peter Wesche March 10, 2013

An effective SAM program should provide you with two essential deliverables:

  • A reliable methodology of usage discovery for the relevant vendors
  • An undisputable statement of compliance

When you need to cut cost, IT directors tend to first cut programs that are internal and do not directly effect the business. Like in a recession, or due to the current US sequester, SAM might get to the short list of cost cutting. The unfortunate thing is that during such times vendors also get hits to their revenue targets that will remind them of driving sales from audits.

So, what to do then?

Depending on the state of your SAM project, you need to look for options of automating or outsourcing the SAM job. If you do nothing, you might end up with a charge as described in the latest blog of The ITAM Review: IT Asset Manager Fired for License Shortfall
Here are the steps to automate your SAM deliverables:

  1. Digitalize your contracts to get a consolidation of all license entitlements
  2. Use existing field mapping to map your  discovery tools’ software IDs with the license products names from the downloaded inventory
  3. Report the discrepancies and fix the causes where applicable

All that is supported by the cloud service License12. You can check out the workflows on their Youtube channel.

One-Stop-SAM the new enigma!

Peter Wesche February 13, 2013

Dreams are coming true, according to the latest press coverage on License12, the new portal for licensing agreements optimization. The idea, called one-stop-SAM, brings process automation to the nasty areas that used to create headaches: Software-Compliance.

OSSsmall

According to the note, the process of license administration is automated by capturing all relevant details by scanning the vendor’s original contract and converting the data to a full-fledge database shaped for advanced analytics. As part of the services, License12 claims to forward the contract data with the correct identifiers (SWIDs) needed by the discovery. If the subsequent SAM tool can process workflow triggers, it can invoke a compliance check and indicate to IT management that the latest negotiations are targeting the right licensing levels. As this integration comes ‘almost’ real-time, intermediate changes are easy to capture. SAM tools equipped with features of licensing optimizations (SLOs) might even propose contextual optimization which can further be used to refine the targeted bill-of-material.

Hard to awake from such nice dreams. Check out, if they are real!

How react in ITAM with more cloud solutions gaining traction?

Peter Wesche January 25, 2013

Cloud solutions differ in some ITAM-relevant issues from on-premise software:

  • By the nature of contracting cloud, you pay a regular fee for the accessibility of a solution
  • The metrics are less complicated and can be verified without much ado
  • Associated SLAs are often immature and need to be reviewed and managed carefully
  • Hidden issues are interface efforts, data recovery and transfer format, as well as future cost

Because the solutions rarely have a footprint within your court of assets, you do not require local discovery. User access is granted by the service provider and controlled within their system management. Therefore, you don’t have audits to deal with, but you should be aware about automated fees increase in case users register unplanned, if the contract allows for the same. When systems are accessed using a unique log-on-URL, you may have to set up an administration to control the access authorization via the webmaster or firewall settings.

For automation of license management, you need to check how your cloud contracts are treated in the respective interface to the buying side. Cloud solutions regularly do not provide perpetual rights to the software usage and you need more control of deadlines for renewals and other allowances.

More general consideration that may help you discover realted issues are found in the following publication by Gartner:

Five Trends that will affect your Cloud Computing Strategy

New approaches to software licensing savings: Whitepaper

Peter Wesche January 8, 2013

You might be looking for a comprehensive collection of best practice related to licensing optimization. After searching the market myself, I have decided to add a Whitepaper called

What you should know about software licenses … but didn’t realize until today.

Yes, it is about discovering the bumps in the road to optimal licensing. And for the first time, we start right at the beginning, at the license procurement negotiation. Because it is the origin of all troubles later …

Available both in German and English:

WhitePaper_DE

WhitePaper_EN

Smart Software Compliance Remediation

Peter Wesche September 28, 2012

The resaon to enter into larger scale SAM programs is to reduce non-compliance with a high probability. 100% assurance is not achievable with today’s complex licensing rules.

But before investing heavily into an internal admin program, CIOs might look to the issue from the other side: How do we manage when caught non-compliant?

This is where vendor management comes into play, both from a general and from a contractual perspective:

  1. Does my vendor value me as a customer and my brand?
  2. Is there additional license demand that can be used as a lever in case of non-compliance?
  3. Have I negotiated the software verification rules to determine when non-compliance occurs un-intentional?
  4. Can I prove to my vendor that I am not deliberately lagging with my controls?

These 4 questions give you directions to establish the notion of being a good guy, even if you do not have the best SAM program in place. Or if you rather focus on improving the license price, when using optimization tools like License12. To further reduce the impact of remediating the non-compliance, there is a fifth very key question:

Did I negotiate a minimum discount for licenses to balance the over-usage, in case of no leverage?