17. Mai. 2018

12 Tipps zur Software-Audit-Abwehr, die jeder im ITAM kennen sollte

Viele Unternehmen sind völlig unvorbereitet, wenn es um Software-Compliance-Audits geht – und das trotz der verfügbaren Informationen und Schulungsmaterialien hinsichtlich des Software Asset Managements.

Das liegt wahrscheinlich daran, dass Softwarelizenz-Audits nicht immer eindeutig als „Audit“ starten. Audits entwickeln sich oft aus einem „freundlichen Gespräch“ zwischen einem IT-Administrator und einem Repräsentanten des Softwareanbieters. Bei diesen Gesprächspartnern handelt es sich allerdings nicht nur um einfache IT-Administratoren oder Repräsentanten. Sie sind meistens für eine spezielle Technologie verantwortlich, ein gut geschulter Lizenzexperte oder ein externer Auditor. Sie, der Kunde sind eingeladen, an einer „freiwilligen“ Compliance-Übung teilzunehmen, die Ihnen außerdem Lizenz-Lücken und Bereiche der Fehlnutzung aufzeigt.

12 Software Audit Defense Tips

Für den Fall, dass Ihr Unternehmen eine Einladung zu einem Lizenz-Audit durch den Softwareanbieter erhält, finden Sie hier eine kurze, umfassende Prüfliste, die Sie bei diesem Vorgang unterstützt:

1. Ignorieren Sie das Audit-Schreiben nicht.
Ignorieren Sie niemals ein Audit-Schreiben! Es verschwindet nicht einfach – und früher oder später wird jemand nachhaken. Bestätigen Sie den Erhalt und beginnen Sie mit den Vorbereitungen.

2. Informieren Sie die Geschäftsleitung und Rechtsabteilung.
Sobald sie ein Audit-Schreiben mit einem Termin erhalten – informieren Sie umgehend die Geschäftsleitung und die Rechtsabteilung. Sie sollten Ihr IT-Personal anweisen, dass alle Informationen vor dem Zurücksenden an den Softwareanbieter überprüft werden müssen. Außerdem sollten Sie all Ihre verbundenen Unternehmen vor Durchführung eines Audits informieren. In einigen Fällen könnten Sie positiv überrascht sein, wenn Sie feststellen, dass Sie unter andere Verträge fallen oder einen guten Grund haben, warum Sie nicht an einer solchen Aktivität teilnehmen sollten. Denken Sie daran, dass ein Audit-Schreiben nicht immer die richtigen Personen erreicht. Das Schreiben landet unter Umständen irgendwo in der IT-Supportkette. Die Geschäftsleitung oder den SAM-Manager erreicht es erst dann, wenn das Audit bereits im vollem Gange ist. Klären Sie solche Fälle mit Ihren IT-Teams, damit diese wissen, wie sie reagieren sollten.

3. Behandeln Sie das Audit als Projekt.
Weisen Sie ausreichend Zeit, Ressourcen und einen internen Projektmanager zu. Einige der Anbieter fordern detaillierte Installations-/Konfigurationsinformationen, endlose Fragebögen, Anweisungen zur Datenerfassung mittels Skript und zahllose Folge-E-Mails mit der Aufforderung nach weiteren, genauen Erklärungen.

4. Prüfen Sie vorab Ihre eigene Compliance.
Seien Sie den Auditoren einen Schritt voraus. Führen Sie Ihre eigene interne Compliance-Prüfung aus. Prüfen Sie unbedingt alle Daten und Antworten, bevor Sie sie den Auditoren zusenden.

5. Einfrieren Ihrer Lizenzkäufe.
Kaufen Sie keine neuen Softwarelizenzen. Sie könnten als „Panikkauf“ angesehen werden. Diese Lizenzen werden dann im abschließenden Compliance-Position-Bericht nicht berücksichtigt. Die Ansätze bei der Berechnung des Audit-Ergebnisses variieren je nach Anbieter und Region. Einige der Anbieter ignorieren Neukäufe, die nach dem Datum des Audit-Schreibens durchgeführt wurden. Daher könnte es sein, dass Sie für den Kauf von „Last-Minute“-Lizenzen am Ende doppelt bezahlen.

6. Lesen Sie Ihre Softwareverträge und Support-Dokumentation.
Verschaffen Sie sich einen Überblick über all Ihre Verträge. So kennen Sie deren Umfang (inklusive aller regionalen oder firmenübergreifenden Beschränkungen), die zulässige Softwarenutzung und die relevanten Lizenzmetriken. Einige der Softwareanbieter werden Änderungen vorbringen, die im Kleingedruckten oder in Internet-Links Ihrer Kaufdokumente versteckt sein können.

7.Handhabung Ihrer Kommunikation.
Sorgen Sie für eine funktionierende Kommunikation zwischen Ihrem Personal und den externen Auditoren. Lassen Sie Ihr Personal nicht zu übereifrig vorgehen. Stellen Sie nur das bereit, was wirklich benötigt wird.

8. Sicherheitsrichtlinien.
Achten Sie darauf, dass durch die Bereitstellung der Informationen für externe Parteien die Sicherheitsprotokolle Ihres Unternehmens nicht verletzt werden. Ihrem Chief Information Security Officer würde es nicht gefallen, wenn IP-Adressen an Dritte weitergegeben werden. Ziehen Sie eine Vertraulichkeitsvereinbarung in Betracht.

9. Bestätigung der Auditor-Ergebnisse.
Überprüfen Sie die Berichte und Analysen der Auditoren genau. Einige der Berichte können sehr komplex erscheinen. Zögern Sie nicht, nach weiteren Details zu den Berechnungsmethoden zu fragen oder die Ergebnisse in Frage zu stellen. Auditoren sind dafür bekannt, Fehler zu machen oder Schätzungen vorzunehmen, wenn Informationen nicht vollständig verfügbar waren.

In Ihrer eigenen Umgebung sind Sie der Experte! Sie haben das Recht, Unstimmigkeiten bei der Berechnung oder Fakten anzufechten, die Ihrer Meinung nach falsch wiedergegeben werden.

10. Kümmern Sie sich um die verschiedenen Agenden.
Denken Sie daran: es liegt nicht im Interesse des Auditors, Ihre Lizenzposition zu optimieren oder Ihre fehlenden Berechtigungen zu finden.

11. Nutzen Sie die Audits zu Ihrem Vorteil.
Nutzen Sie ausstehende Verlängerungen, Großeinkäufe oder das Ende eines Quartals/Geschäftsjahres für eine stärkere Verhandlungsposition.

12. Nach dem Audit – verlieren Sie nicht an Dynamik.
Was haben Sie während dieses Audits gelernt? Denken Sie darüber nach. Nutzen Sie die Gelegenheit, um beim nächsten Mal noch besser auf das Unvermeidliche vorbereitet zu sein:

  • Aktualisieren Sie Ihre IT-Richtlinie und Strategie für das Software Asset Management
  • Übernehmen Sie das Wissen anderer Anbieter für das Lizenzmanagement
  • Pflegen Sie eine Dokumentation aller bereitgestellten Daten und Audit-Ergebnissen


Themen: Software Audits