18. Okt. 2018

Gruselige SAM-Geschichten: 6 Ansätze zur Vermeidung des Compliance-Risikos

Hinweis des Herausgebers: Der Weg in Richtung Software Asset Management überrascht häufig mit unerwarteten Wendungen und schwierigen Herausforderungen. Wir haben den Originalartikel aus dem Jahr 2016 mit drei neuen gruseligen Geschichten über das Software-Lizenzmanagement aktualisiert. Bei denen sträuben sich sogar den klügsten SAM-Managern die Haare. Happy Halloween!

Seien wir mal ehrlich: Software Asset Management (SAM) ist manchmal angsteinflößend. Daten, technisches Durcheinander und chaotische Herausforderungen – auch unsere Fachleute bei Aspera haben schon schreckliche Momente erlebt. Lesen Sie fünf gruselige SAM-Geschichten zu Halloween und vermeiden Sie das Compliance Risiko – wenn Sie den Mut dazu haben!

Gespenster im Computer

Pat Spencer, Senior Consultant (Aspera Technologies)

Vor einigen Jahren beriet ich ein renommiertes, weltweit tätiges Unternehmen. Dieses Unternehmen hatte bis dahin kein wirkliches Compliance-Programm. Die Asset-Manager waren im Grund ein Remedy-Team, das Tabellen benutzte.

Eines Tages – mein Team war gerade dabei die Daten auszulesen um eine Compliance-Position zu erreichen - überprüft der SAM-Manager die Berichte. Er fragte plötzlich: „Was ist denn das?“ Die Daten zeigten Microsoft Access – und zwar ganz schön viel davon.

Er sagte: „Wir benutzen Access nicht. Vor sechs Jahren haben wir mit Microsoft verhandelt und beschlossen, dass wir das Office Professional nicht mehr benötigten. Wir begannen also, für Office Standard zu zahlen – in dem ist kein Access enthalten.“

Ich erwiderte: „Ihre Rohdaten zeigen aber, dass Access installiert ist - und zwar auf sehr vielen Computern. Ich schätze, dass niemand wirklich die Deinstallation durchführte als das Team den Vertrag mit Microsoft neu verhandelt hatte. Die Software blieb also sechs Jahre lang unlizenziert auf den Computern.“

„Nein, auf keinen Fall - das kann nicht stimmen“, erwidert der SAM-Manager. Dann, nach ein paar Minuten der Überprüfung, sieht er mich an und sagt, „Nun ... können Sie Access entfernen?“

Ich antwortete darauf, ohne eine Miene zu verziehen: „Ich kann Access aus Ihrem Compliance-Bericht löschen. Das Programm bleibt jedoch weiterhin installiert. Sie müssen die richtigen Schritte ergreifen, um das Problem zu beheben.“

Ich habe niemals herausgefunden, ob das Team die Anwendung mit einem Zähler überwachte, um festzustellen, ob einer der Mitarbeiter das Programm benutzte. Sie ergriffen aber tatsächlich die Initiative, das gesamte Unternehmen durchzugehen und Access auf jedem Computer zu deinstallieren. Dabei handelte es sich wahrscheinlich um Hunderttausende von Computern – es war nämlich ein wirklich riesiges Unternehmen!

Wenn Microsoft ein Software Audit in diesem Unternehmen durchgeführt hätte, wäre das Unternehmen in richtig große Schwierigkeiten geraten. Diese Art von Fehler wird leider recht häufig gemacht. Und, wie wir alle wissen, zählen Softwareanbieter alles – Gespenster, Dämonen und auch im Dunkeln lauernde Lizenzen.

Audits sidn gruselig - wir nehmen Ihnen die Angst

Die Jagd nach Zombie-Accounts

Jochen Hagenlocher, Head SAM CH (Fortune 100 Company)

Einmal im Jahr zu Halloween können SAM-Manager offen über ihre gemeinsame Leidenschaft reden: Die Jagd nach „Zombie-Accounts“. Diese Benutzerkonten werden nicht mehr genutzt und sind an sich tot - finanziell betrachtet sind sie aber mehr als lebendig.

Ohne die professionelle Hilfe eines Software-Lizenzmanagement Tools verbrauchen nicht genutzte Software-Benutzerkonten rund 30-40 % Ihres Cloud-Softwarebudgets.

Erfahrene Zombie-Jäger wissen, wo sie die meisten Zombie-Accounts finden können. Überprüfen Sie Microsoft Office 365, Ihre Salesforce- und ServiceNow-Plattformen; Sie werden überrascht sein, was Sie alles zu Tage bringen.

Beim Aufspüren von Zombie-Accounts dürfen Sie nicht zimperlich sein. Aspera kann Ihre Zombie-Suche mit Cloud Software Asset Management-Lösungen leiten. Sie wurden dazu entwickelt das vollständige Salesforce-Lizenzmanagement und Office 365-Lizenzmanagement zu gewährleisten. Diese Tools analysieren aktiv Ihre Nutzung und Anwendungskombinationen, um Ihr Abonnement zu optimieren. So schützen Sie Ihre Investition in Cloud-Software vor der drohenden Zombie-Apokalypse.

Investieren Sie intelligent in die Cloud

Wie kann ein SaaS-Optimierungstool Ihre Cloud-Ausgaben verbessern?

Jetzt mehr erfahren

Der Teufel steckt im Detail

Jaclynn (JC) Nicoll, Functional SAM Consultant, Aspera Technologies

Erschreckend, was passieren kann, wenn Ihr SAM-Tool nicht in der Lage ist, präzise Ergebnisse zu produzieren:

Ich führte eine Beratung für ein Unternehmen durch, das das Software-Lizenzmanagementtool eines Wettbewerbers benutzte. Während der Discovery- und Inventarisierungs-Phase bemerkte das Software Asset Management-Team unternehmensweit rund 3.000 Installationen von Adobe Photoshop. Das SAM-Tool fand erheblich weniger Käufe als für die Abdeckung der Adobe-Lizenzanforderung all dieser Photoshop-Installationen nötig waren.

Mit diesem Wissen richtete das SAM-Team SCCM Uninstall-Packages ein. So konnten die unlizenzierten Installationen entfernt werden. Dieser Schritt war erforderlich, um weiterhin konform mit betreffenden Richtlinien zu bleiben.

Daraufhin bekam das IT-Team unzählige Tickets von Benutzern, die fragten, warum ihr Photoshop verschwunden sei (!). Das verwendete SAM-Toolenthielt in ihrem Software-Katalog nicht die neueste Version. Die entscheidenden Daten, die nachwiesen, dass diese Installationen eigentlich Teil ihrer lizenzierten Software-Suite waren, fehlten.

Zum Glück konnten wir, dank unseres SCCM-Package, Adobe Photoshop schnell neu installieren. So bekamen die Benutzer eine Sicherungskopie und konnten wieder arbeiten.

Lektion gelernt - validieren, validieren und nochmal validieren.

Der Fluch des starken Teilens

Jaclynn (JC) Nicoll, Functional SAM Consultant, Aspera Technologies

Vor einigen Jahren war ich gerade dabei, mit einem Kunden einen neuen Adobe-Vertrag abzuschließen, als Adobe das Procurement-Team bat, ein unscheinbares kleines Skript auszuführen. Das Ergebnis sollte anschließend Adobe zur Verfügung gestellt werden. Mithilfe dieser Ergebnisse wusste Adobe, wie viele Lizenzen wir für den neuen Vertrag anfordern müssten.

Der bis dahin effiziente Procurement-Leiter schickte die Adobe-Anfrage schnell zum IT-Team, damit sie das Skript ausführen konnten. Nach Erstellung der Datenergebnisse wurde der Output sofort an Adobe weitergeleitet. Das Beste kommt aber jetzt erst: Diese Ergebnisse haben niemals die beim Kunden bereits vorhandenen Lizenzen berücksichtigt.

Genau eine Woche vor dem Stichtag bekam Adobe das Audit-Schreiben. Es war, als ob die böse Hexe des Westens zu uns kam und ihren mit Schwermut gefüllten Eimer über uns ausgegossen hätte.

Ergebnis des Audits: Adobe wappnete das Unternehmen mit einem kostspieligem ETLA-Vertrag (Adobe Enterprise Term License Agreement), um sich aus dem Sumpf zu ziehen.

Was haben wir daraus gelernt? Für Daten, die an Externe versendet werden, sollte immer ein gesichertes Kommunikationsprotokoll geführt werden. Ein Mitarbeiter sollte die Freigabe aller Nutzungsdaten überprüfen und genehmigen. Und das bevor irgendwelche Ergebnisse an einen Softwareanbieter gesendet werden.

Der Fall der unsichtbaren Inventarisierung

Lawrence Dempsey, Services Manager, Aspera Technologies

Welchen Prozess nutzen Sie für den Umgang mit veralteter oder alter Bestandsdaten auf den Computern Ihres Unternehmens?

Ich beriet ein weltweit tätiges Sicherheitsunternehmen, das vor kurzem Strafen bei einem Software Compliance Audit zahlen musste. Das Unternehmen beschloss, das SAM ernst zu nehmen, und führte ein Tool zur Compliance-Verwaltung ein. Das Tool fand sowohl Hardware als auch Software Assets und setzte bereitgestellte AM-Agenten bei jedem einzelnen Computer ein. Meine Aufgabe bestand darin, den „aktuellen Status“ der SAM-Compliance für die wichtigsten strategischen Anbieter des Unternehmens festzustellen.

Die Agenten wurden so konfiguriert, dass sie einen wöchentlichen Scan durchführten. Durch die Firmenpolitik sollte gewährleistet werden, dass wir mit häufiger Regelmäßigkeit, spätestens nach 30 Tagen, bei jedem Computer einen Scan durchführten. Alle Computer, bei denen der letzte Scan vor über 30 Tagen durchgeführt worden war, wurden mit einer roten Flagge markiert. Das bedeutete, dass es entweder ein Problem mit dem Agenten gab, oder dass es sich um einen Computer handelte, der eine Zeitlang nicht mit dem Netzwerk verbunden war und daher ein Sicherheitsrisiko darstellen konnte.

Ich bemerkte, dass in dem Unternehmen einen hohen Anteil an Computern mit veralteten Scans existierte. Diese waren im Besitz des Entwicklungsteams und wurden von diesem benutzt. Aber warum waren die Bestandsdaten alt? Meine Aufgabe war die Antwort auf diese Frage zu finden.

Wenn man sich mit Managing Software und Hardware Assets auskennt, weiß man, dass es lustig sein kann, mit Entwicklern zu tun zu haben. Entwickler haben 3-5 Computer, die sie nutzen; einen davon für die Produktion und die restlichen für die Entwicklung - manchmal überschneiden sich diese Grenzen auch. Außerdem können Entwickler auch etwas anmaßend sein, wenn es darum geht, was sie zum Testen und zur Entwicklung einsetzen und ob sie die entsprechende Zulassung dafür haben.

Ich sagte den Entwicklern, dass es ein Problem mit ihren Scanning-Agenten gab, und dass wir diese erneut installieren mussten. Sie gaben mir einen beträchtlichen „Pushback“ für das, was eigentlich ein einfacher und im Hintergrund laufender Prozess sein sollte.

Drei Tage später teilten mir die Entwickler mit, dass sie das „Problem behoben“ hätten. Wir würden also keine Probleme mehr mit den Agenten haben. Ich antwortete, „Super, vielen Dank, wie habt ihr das Problem lösen können?“. Sie hatten ihre Computer vollkommen neu formatiert. „Warum habt ihr das gemacht? Wir hätten doch einfach nur den Agenten neu installieren können“, fragte ich. Sie antworteten: „Nachdem Sie den Agenten zum ersten Mal installiert hatten, haben wir ihn einfach deaktiviert.“

Und das ist die Herausforderung: Wie verwalten und kontrollieren Sie Assets, wenn die Benutzer die Kontrolle haben? Die Kontrolle über das, was Sie sehen und nicht sehen können? Die Entwickler hatten vollständige Administrator-Berechtigungen. Sie konnten auf den Computern installieren, was immer sie wollten. Erst jetzt zeigte sich, dass man ihnen nicht so stark hätte vertrauen sollen. Diese Situation war keine „zufällige“ Nicht-Compliance sondern eine „beabsichtigte“ Nicht-Compliance. Die Möglichkeiten des Software Asset Managements wurden beabsichtigt behindert.

Aus solchen Situationen müssen wir lernen. Sie dürfen nicht immer davon ausgehen, dass veraltete Scan-Daten bedeuten können, dass ein Computer inaktiv oder außer Betrieb gesetzt worden ist. In Ihrem Prozess sollten Sie, wenn Sie das Alter der Bestandsdaten untersuchen, auch den Status jedes einzelnen Computers analysieren. Ist der Computer noch aktiv und im Einsatz? Falls das der Fall ist – besorgen Sie sich aktualisierte Bestandsdaten. Ignorieren Sie die Bestandsdaten nicht einfach vollständig.

Zu Halloween macht gruseln Spaß. Aber in Bezug auf das Asset Management ziehe ich es vor, den echten Horror auf ein Minimum zu reduzieren.

Beherrschen Sie Ihr nächstes Software-Lizenz-Audit, vom Anfang bis zum Ende.

Auf der Suche nach einem umfassenden Leitfaden für eine nachgewiessene Software Audit Defense-Strategie?

Zum eBook >>

Das Walking Dead Projekt

Olaf Diehl, Managing Director, Aspera GmbH

Ich kannte ein sehr großes Logistikunternehmen mit einem IT-Projektteam, das voller Ideen steckte. Sie hatten eine Reihe von Vorgaben und Zielen, um ihren SAM-Service zu starten. Da das Unternehmen wirklich groß und komplex war, bestand der Anfangsplan darin, sich auf die Kundencomputer zu konzentrieren und nur eingesetzte Software zu zählen.

Dies war damals –vor etwa zehn Jahren –sehr harte Arbeit und ein brauchbarer Weg.

Nachdem dieser Prozess eingeführt wurde, integrierte das Unternehmen SAM in sein Anfragenmanagement. Sie passten das System überall dort, wo es möglich war, kundenspezifisch an. Diese Anpassung dauerte viele Jahre und kostete wahrscheinlich Tausende von Euro für interne Ressourcen und externen Support.

Einige Jahre später war das Unternehmen dann bereit, sein System auf die neueste Version der SAM-Lösung zu aktualisieren. Aber was geschah dann? Die Aktualisierung war nicht länger möglich. Die jahrelange kundenspezifische Anpassung des Systems hatte die gesamte Versionierungskompabilität zunichte gemacht. Datenqualitätsprobleme wirkten sich auch kontraproduktiv auf die Serviceergebnisse aus.

Sie versuchten also, die Aktualisierung in einer Testumgebung durchzuführen. Das ganze System brach zusammen. Der geschätzte Aufwand zur Behebung des Problems war gewaltig. Was macht ein schlaues Unternehmen in so einer Situation? Das Unternehmen kehrte zu einem neuen Standardsystem zurück. Der Anbieter der SAM-Lösung versprach, dass eine kundenspezifische Anpassung nicht mehr nötig sei.

Sehen Sie das Licht am Ende des Tunnels? Okay, dann legen Sie los! Die Rückkehr zu einem Standardsystem funktionierte ziemlich gut – zumindest ein paar Monate lang. Vier Jahre später hatte das Unternehmen ein riesengroßes Budget ausgegeben. Wie ein Drogenabhängiger war das Unternehmen noch immer verzweifelt auf der Suche nach einem verlässlichen Ergebnis. Soweit ich weiß, bestand das Kompatibilitätsproblem nach wie vor. Das Unternehmen hatte nicht die richtigen Daten und keine erkennbare Serverabdeckung.

Und vielleicht auch keine Hoffnung mehr. Das Team kannte die Bedürfnisse des Unternehmens. Und die Lösung dafür. Und getreu dem Motto „wir haben bereits so viel investiert“ und dank interner firmenpolitischer Gründe, vereitelte das Unternehmen jeden hilfreichen Ansatz. Letzten Endes blieb diesem Unternehmen nur noch ein sehr teurer Trick, und es konnte niemals wirklich Freude an seinem System haben.



Themen: SAM Insights, SAM 101