11. Mai. 2020

Software außer Rand und Band: 7 große Software-Asset-Management-Risiken

Da die „neue Normalität“ des Arbeitens im Homeoffice liegt, betreiben die Unternehmen einen schnellen und umfassenden Übergang ins Digitale. Ihre Belegschaft ist jetzt auf viele Standorte verteilt, während die IT-Abteilung immer noch an der Unternehmensinfrastruktur herumbastelt. Dezentralisierung und Ablenkungen führen dazu, dass das Software Asset Management (SAM) von den Mitarbeitern vernachlässigt wird.

Software Gone Wild: 8 Big Software Asset Management Risks in the New Normal | Aspera Blog

Kurz gesagt, es bestehen mehr Möglichkeiten für die Menschen, sich auszutoben und ihre Software unkontrolliert zu benutzen.

Es gibt immer versteckte Risiken beim Software-Lizenzmanagement, wenn es um die Nutzung von Software geht. Das liegt natürlich an den Lizenzvereinbarungen, die dieser Software zugrunde liegen. Der durchschnittliche Angestellte liest die Allgemeinen Geschäftsbedingungen nicht – jeder klickt auf den „Akzeptieren“-Knopf, wenn er eine Anwendung startet. Selbst wenn sie es täten, die Sprache in den AGBs ist oft unverständlich.

Solange Sie, lieber Leser, nicht mit Software Asset Management arbeiten, werden Sie die möglichen Softwarekosten und Vereinbarungen nicht verstehen, die aus der Annahme der AGB entstehen. Und Sie werden auch nicht erkennen, dass Sie danach suchen sollten.

Worin bestehen also die Risiken? Und wie kann ein SAM-Manager die Softwarekosten reduzieren, während die Welt noch immer in Aufruhr ist? Lassen Sie uns einen Blick auf die größten Herausforderungen werfen, vor denen Sie jetzt beim Software-Lizenzmanagement, bei der Datenverwaltung und bei der digitalen Sicherheit stehen.

1. Schatten-IT außer Kontrolle: Freie Software hat versteckte Kosten

Die Leute brauchen Anwendungen. Und sie brauchen sie oft schnell, weil sie unter Termindruck stehen. (Seien wir mal ehrlich, wann stehen Sie nicht unter Termindruck?)

Es gab schon immer das Risiko, dass Ihre Mitarbeiter Applikationen verwenden, ohne um Erlaubnis zu fragen. „Schatten-IT“ ist Software, die außerhalb des SAM-Teams verwaltet und ohne offizielle Genehmigung bei der Arbeit eingesetzt wird.

Viele Software-Anbieter bieten vorübergehend kostenlose Cloud-Anwendungen an, um den Menschen in ihrer ungewohnten „Arbeiten-von-Zuhause"-Situation zu helfen. Sie betreiben mit diesen vermeintlich gutgemeinten Bemühungen subtiles Marketing und treiben die Marktdurchdringung voran. Womöglich führen Ihre Mitarbeiter weitere SaaS-Software ohne Genehmigung ein mit der guten Absicht, ihren Arbeitsablauf zu verbessern.

Vielleicht verwendet Ihr Inside-Sales-Team vom Unternehmen gesponserte GoToMeetings, will aber ein anderes Tool für webbasierte Konferenzen ausprobieren. Dann kommt Adobe und bietet einen kostenlosen 90-Tage-Zugang für Adobe Connect an, sofern Sie sich für eine Testlizenz anmelden.

Dies ist eine Zeit des Experimentierens. Inside Sales beginnt also mit der Nutzung dieser kostenlosen Software und denkt nicht an das Cloudkosten-Management oder daran, was passiert, wenn die kostenlose Zeitspanne ausläuft.

Ihre Risiken:

Finanzverwaltung. Wird sich ein Mitarbeiter daran erinnern, dass sich die Software auf seinem Rechner befindet, wenn er sie nicht regelmäßig benutzt. Gibt es Abläufe, die verhindern, dass die kostenlose Testversion automatisch in ein kostenpflichtiges Abonnement umgewandelt wird? Kann Ihr Budget die zusätzlichen Kosten verkraften, wenn die Software regelmäßig genutzt wird und eine Bindung besteht (erfolgreiches Goodwill-Marketing)? Wenn Sie die Software abschalten, wie bekommen Ihre Mitarbeiter ihre Daten aus der Anwendung heraus? Mehr dazu weiter unten

Notwendige Schritte:

Geben Sie Ihren Mitarbeitern eine Liste der geprüften Software, um sicherzustellen, dass sie sich an die SAM-Richtlinien halten und keine Schatten-IT-Unfälle erleiden. Teilen Sie ihnen mit, wie sie neue Software beantragen können. Sie könnten auch eine Sperre auf den Arbeitsrechnern der Mitarbeiter einbauen, damit diese ohne IT-Genehmigung und die entsprechende Lizenzierung keine Installationen vornehmen können.

2. Daten außer Kontrolle: Nicht genehmigte Software speichert Daten

Da Ihre Mitarbeiter nicht mehr von Angesicht zu Angesicht arbeiten, müssen sie ihr bisheriges Arbeitsverhalten anpassen. Das war darauf ausgerichtet, im selben Raum zu sein.

Das Entwickler-Team ist es vielleicht gewohnt, in einem Büro mit einer weißen Tafel zu arbeiten, um die sich die Leute zum Brainstorming versammeln. Oder gemeinsam vor einer Wand stehen und auf Haftnotizen zu schreiben, die eine Idee visuell entwickeln.

Nun braucht die Gruppe eine Kollaborations-Software, auf die jeder zugreifen und mit dem jeder interaktiv arbeiten kann. Es gibt Whiteboard-Tools wie Miro und AWW, die Benutzer und Funktionen in der Basisversion einschränken und diese erst erweitern, wenn Sie zu einer kostenpflichtigen Version wechseln. Also melden sich die Entwickler für einen Freemium-Plan an, um einfach durch dieses eine Projekt zu kommen und es dann nie wieder zu benutzen.

Gut gemeint: Produktivität ohne Pause. Aber Ihre Unternehmensdaten sind in diesen Cloud-Services abgespeichert, ohne Nachverfolgung und in freier Wildbahn.

Ihre Risiken:

Datensicherheit und Datenbesitz. Wem gehören die Daten, die in die Anwendung eingegeben werden? Wie extrahieren Sie sie? Können Sie sie vom Speicher des Anbieters löschen, und fallen dafür Gebühren an? Hat der Anbieter Zugang zu den Daten und darf er sie womöglich behalten? Die DSGVO regelt die Rechte zur Löschung von Daten. Aber der Verkäufer hat in seinem Lizenzvertrag vielleicht im Kleingedruckten stehen, dass er Ihre Daten verwenden darf, insbesondere wenn er Ihnen freien Zugang zu seinem Tool gewährt.

Notwendige Schritte:

Ähnlich wie bei Risiko Nr. 1 ist es für das Software-Asset-Management-Team unerlässlich, eine Liste genehmigter Software und ein formelles Antragssystem durchzusetzen.

3. Multi-Tasking außer Kontrolle: Geschäftliches und Privates vermischen

Die Mitarbeiter arbeiten von zu Hause aus – möglicherweise auf dem Sofa – so dass die Zeit in einer neuen Work-Life-Balance abläuft. Menschen, die früher eine feste Trennung zwischen Geschäft und Privatleben wahrten, sind nun versucht, den Arbeitsrechner für persönliche Aufgaben zu nutzen und umgekehrt, um effizient zu sein.

Ein Vertriebsmitarbeiter etwa ruft seine Outlook-E-Mails über einen Webmail-Browser auf seinem persönlichen Laptop ab, weil er tief in einem Projekt steckt, aber nach Lieferfenstern für Online-Lebensmitteleinkäufe suchen muss. Es ist einfacher, mehrere Aufgaben von einem Computer aus zu erledigen. E-Mails abrufen über einen unsicheren Webmail-Browser verwenden stellt jedoch ein Sicherheitsrisiko dar. Außerdem könnte jemand in ihrem Haushalt den Laptop vorfinden – vielleicht sind sie auch neugierig auf den Lieferstatus – und ihn benutzen, während die Arbeits-E-Mail noch geöffnet ist.

Oder ein Webdesigner installiert die neue kostenlose 90-Tage-Testversion von Apples Final Cut Pro X auf dem Laptop, den er bei der Arbeit verwendet. Jetzt kann das Team in den Pausen mit Videoclips herumspielen. Dies birgt jedoch ein Risiko für Lizenzprobleme und proprietäre Daten, wenn die Testversion ausläuft, siehe Risiko Nr. 1.

Ihre Risiken:

Datensicherheit und Softwarelizenz-Compliance. Mitarbeiter sind sich möglicherweise nicht über die Firmenpolitik im Klaren, wie sie auf Anwendungen mit sensiblen Informationen zugreifen. Das betrifft insbesondere Personen, die typischerweise mit unproblematischen Daten wie Webdesign-Dateien umgehen. Und Sie sollten sicherstellen, dass eine Softwarelizenz die Zugriffspunkte und Datenspeicher Ihrer Benutzer abdeckt.

Notwendige Schritte:

Die Mitarbeiter müssen in Sicherheitsrichtlinien geschult werden, etwa welche Software-Nutzung auf Firmen- im Vergleich zu persönlichen Geräten erlaubt ist. Erinnern Sie sie daran, für jede Anwendung eindeutige, sichere Passwörter zu verwenden und ihre Computer zu sperren, wenn sie sich entfernen – ja, auch zuhause –, so dass Mitbewohneraugen oder klebrige Kinderfinger nicht in die Nähe kommen. Schützen Sie die Unternehmens-Dokumente, indem Sie Remote-Speicherdienste wie Box oder Dropbox verwenden, die Sie geprüft und lizenziert haben.

4. Geräte außer Kontrolle: BYOD braucht Aufsicht

Apropos persönliche Laptops... „Bring Your Own Device" ist die Lizenzierung von Unternehmenssoftware auf dem PC oder Smartphone eines Mitarbeiters. Im Grunde gibt BYOD einem Mitarbeiter am Arbeitsplatz eine ähnliche Erfahrung wie zu Hause, so dass er sich mit der Technologie wohlfühlt und seine berufliche Flexibilität erhöht.

Aber halt... jetzt arbeiten die Mitarbeiter immer zu Hause! Das macht es ein bisschen komplizierter, die Verwaltung und Lizenzierung dieser Geräte zu regeln, da sich jeder in einer besonderen Situation befindet. Ein effektiver Ansatz besteht darin, dass das Software-Asset-Management-Team die Software und die dazugehörigen Daten auf jedem Gerät verfolgt.

Ein Beispiel: Ein Customer-Support-Spezialist bewegt sich nicht mehr zwischen seinem Schreibtisch im Büro und seinem Schreibtisch zu Hause. Er steht zu später Stunde auf Abruf bereit, um Support-Fragen zu beantworten – sagen wir, während einer mitternächtlichen Runde Fortnite –, so dass es sich ganz natürlich anfühlen könnte, die ITSM-Ticket-Warteschlange von seinem Telefon aus zu überprüfen, dann vom Gaming-Computer aus auf das ITSM-System zuzugreifen und die Hilfedokumente anschließend auf dem Desktop zu speichern.

Denken Sie daran, dass BYOD kein Freifahrtschein für jedes persönliche Gerät ist. Die Praxis ist nur dann koscher, wenn die Geräte ordnungsgemäß genehmigt und lizenziert wurden.

Ihre Risiken:

Ähnlich wie bei Risiko Nr. 3, Softwarelizenz-Compliance und Datensicherheit. Software-Lizenzvereinbarungen enthalten oft Einschränkungen hinsichtlich der Geräte, die auf die Software zugreifen und sie nutzen dürfen. Manchmal ist die Nutzung sogar auf Geräte beschränkt, die Ihrem Unternehmen gehören. Und es gibt eine ganze Reihe technischer Probleme zu lösen, wie die Konfiguration von Software-Apps und die Sperrung von Geräten.

Notwendige Schritte:

Bevor ein Mitarbeiter auf Unternehmensdaten und das Netzwerk zugreifen kann, muss er der IT-Abteilung die persönlichen Geräte bereitstellen für die Überprüfung der Lizenzbedingungen oder die Konfiguration des Passwortschutzes. Setzen Sie Regeln fest, wie Daten an unsichere Standorte wie Cloud-Apps übertragen werden. Sie könnten Remote-Speicherdienste wie Box oder Dropbox zum Standardprotokoll machen oder die lokale Speicherung auf Nicht-Geschäftsgeräten unterbinden.

5. Cloud außer Kontrolle: Ungeprüfte SaaS erhöht Softwarekosten

Es ist Fluch und Segen zugleich: Die Einfachheit von Cloud Apps. Auch wenn Ihre Teams jetzt weit verteilt sind, können Teammitglieder mit einem Cloud-basierten Tool, auch Software-as-a-Service (SaaS) genannt, eine Zusammenarbeit schnell in Gang setzen.

Die Mitarbeiter stehen unter dem Druck, ihre Leistung und ihr Projekttempo aufrechtzuerhalten. Was bedeutet, dass der Verbrauch an Online-Ressourcen wahrscheinlich zunimmt. Was eher nicht zunimmt, ist die Zahl der Mitarbeiter, die die offiziellen IT-Kanäle nutzen, um SaaS-Anwendungen anzufordern.

So hat etwa das Vertriebsteam mit Slack gechattet, bevor sie alle remote arbeiteten. Nun müssen sie diese Kommunikation auf zwei andere Teams ausdehnen, nämlich Inside Sales und Pre-Sales Engineering. Dafür sind kostenpflichtige Funktionen notwendig wie ein vollständiges Nachrichtenarchiv und eine unbegrenzte Anwendungsintegration. Sie wechseln also von der kostenlosen, begrenzten Slack-Version zu einer kostenpflichtigen, gruppenweiten Instanz.

Es kostet ja nur „ein paar Euro“ pro Benutzer, so dass die Auswirkungen gering und vernünftig erscheinen. Aber je mehr Abteilungen so vorgehen, desto unkontrollierter sind Ihre Ausgaben für die Cloud. Das könnte in zweierlei Hinsicht teuer werden: Erstens, da bezahlte Cloud-Konten zunehmend ohne Budget-Übersicht aktiviert werden. Zweitens durch Strafgebühren oder überhöhte Kosten, weil sie außerhalb der Geschäftsbedingungen des Anbieters zum Einsatz kommen.

Ihre Risiken:

Ineffektives Cloudkosten-Management. Sie müssen wissen, welche Cloud-Services Ihre Mitarbeiter nutzen und die Software-Lizenzvereinbarungen überprüfen – denn wahrscheinlich hat es niemand anderes erledigt. Behalten Sie den Cloud-Konsum im Auge, um sicherzustellen, dass er sich innerhalb der zulässigen Grenzen bewegt und keine Gebühren für überhöhte Nutzung oder Missbrauch entstehen.  

Notwendige Schritte:

Verwenden Sie ein SaaS-Optimierungstool, um festzustellen, ob unkontrollierte Cloud-Nutzung vorliegt und wie sie lizenziert ist. Wichtig ist das „Rightsizing". Schauen Sie sich die größten Posten bei den Cloud-Kosten an, um Probleme wie übermäßige Services, hohen Verbrauch und nicht ausreichend genutzte Konten zu finden. Sobald Sie wissen, wo Ihre Ressourcen hingehen, können Sie entscheiden, welche Maßnahmen notwendig sind, etwa SaaS-Lizenzen herabstufen, Benutzerberechtigungen anpassen oder sogar Konten schließen.

6. Netzwerk außer Kontrolle: Sicherheitssoftware benötigt Updates

Sicherheits-Updates. Jeder hasst es, Zeit dafür einzuplanen, aber sie sind wichtiger denn je. Jetzt, da Ihre IT-Infrastruktur weit verstreut ist, muss die Sicherheitssoftware präsent und immer auf dem neuesten Stand sein.

Ihr Bürogebäude verfügt über eine starke Firewall, die die Ausnutzung von Schwachstellen und Angriffe erschwert. Wenn sie von Heimarbeitsplätzen aus arbeiten, befinden sich die Mitarbeiter plötzlich in unsicheren oder weniger sicheren Heimnetzwerken und benötigen möglicherweise zusätzliche Schutzmaßnahmen wie VPN (mehr dazu im nächsten Abschnitt).

Wenn Ihr Unternehmen normalerweise keine Remote-Arbeit unterstützt, kommt es zu großen Verwerfungen im IT-Betrieb. Sie müssen Sicherheitsmaßnahmen für die vorhandene Hardware der Mitarbeiter einrichten. Oder Sie könnten neue Geräte für den Einsatz im Homeoffice anfordern, jedoch ohne vorher deren Betriebssystemen und Sicherheitsberechtigungen anpassen zu können.

Vielleicht hat zum Beispiel Ihr Buchhaltungsteam im Büro an Desktops gearbeitet, so dass sensible Informationen leichter zu kontrollieren waren. Sie wurden angewiesen, Laptops online zu bestellen, die direkt an sie geliefert werden. Dann müssen die Buchhalter den neuen Arbeitslaptop einrichten, um auf die benötigten Arbeitssysteme zugreifen zu können.

Ihre Risiken:

Netzwerksicherheit. Die Mitarbeiter verbinden sich mit Laptops, Tablets und Smartphones, die für ihre mangelnde Sicherheit berüchtigt sind, und verbinden sich über häusliche Netzwerke ohne schützende Firewalls. Die Installation neuer Software zur Beseitigung von Sicherheitslücken lässt Hintertüren für Fehler bei der Implementierung offen.

Notwendige Schritte:

Sobald die Geräte korrekt mit Sicherheitssoftware eingerichtet sind, sollten Sie straffe Regeln einführen, damit Ihre Benutzer regelmäßige System-Updates und Patches durchführen. Sie müssen das Verhalten überwachen und die Regeln durchsetzen. Sprechen Sie Personen an, die ihre Rechner in letzter Zeit nicht neu gestartet haben, und bitten Sie sie, die Updates auszuführen. Oder Sie übernehmen die Rechner und machen es selbst. Teilen Sie den Mitarbeitern klar mit, auf welche persönlichen Informationen die IT-Admins Zugriff haben, damit Vertrauen auf beiden Seiten entsteht.

7. Verbindungen außer Kontrolle: VPN schützt die Daten

Apropos Sicherheitssoftware... Virtual Private Network stellt eine sichere Verbindung zu den IT-Systemen des Unternehmens her. Wenn ein Mitarbeiter seinen Rechner außerhalb des Firmennetzes benutzt, dann leitet VPN die Internetverbindung über einen Server, so dass die Daten sicher übertragen werden.

Heutzutage arbeitet fast jeder Mitarbeiter außerhalb des Unternehmensnetzwerks, somit stellt VPN ein wichtiges Werkzeug dar. Dies ist ungeplante Ausgabe, die aber plötzlich notwendig ist, um die Daten nicht zu gefährden.

Wenn Ihr Unternehmen früher auf VPN gesetzt hätte, dann hätten Sie ausreichend Lizenzen für jeden Mitarbeiter. Aber vielleicht galt Ihre Aufmerksamkeit nur den Teams, die mit sensiblen Daten arbeiten. Das Entwicklungsteam beispielsweise hantiert mit proprietärem Code und vertraulichen Produktinformationen. Wenn sie nicht im Büro hinter einer Firewall sitzen, dann ist VPN Pflicht, etwa um auf Cloud-basierte Tools wie Atlassian Jira zuzugreifen.

Wenn Sie bislang VPN nicht eingesetzt haben, dann müssen Sie nun prüfen, welche Mitarbeiter eine Lizenz benötigen. Vielleicht arbeitet Ihre Design-Abteilung hauptsächlich mit Software-Tools wie Adobe Creative Cloud und verarbeitet keine sensiblen Daten. Aber jetzt arbeiten sie nicht mehr zusammen in einem Raum, so dass sie schnell dazu übergehen, Atlassian Confluence für den Austausch von Ideen und Dokumentationen zu verwenden. Das bedeutet, dass sie jetzt per Fernzugriff auf Daten zugreifen, die über ein gesichertes Netzwerk laufen sollten.

Es ist verlockend, sich nach kostengünstigen oder kostenlosen Versionen von VPN-Tools umzusehen. Aber wie in Risiko Nr. 1 erwähnt, sollten Sie sich vor kostenlosen Tools (oder kostenlosen Versionen von vertrauenswürdigen Tools) in Acht nehmen. Sie könnten Bedingungen enthalten, die dem Anbieter erlauben, auf Ihre Daten zuzugreifen und sie zu analysieren.

Ihre Risiken:

Netzwerksicherheit und Lizenz-Compliance. Ihre Mitarbeiter benötigen VPN-Software zum sicheren Umgang mit Daten, da sie sich nicht mehr hinter der Firewall des Unternehmens befinden.

Notwendige Schritte:

Weisen Sie Mitarbeitern mit Anwendungen, die gesichert werden müssen, sofort mehr Software-Budget für die VPN-Lizenzierung zu. Stellen Sie sicher, dass das VPN-Programm von einem vertrauenswürdigen Anbieter stammt und auf allen Mitarbeitergeräten ordnungsgemäß bereitgestellt wird.

Zusammenfassung: 7 Schritte zur Reduzierung von Softwarekosten und Risiken

Jedes Risiko, das in diesem Artikel erwähnt wurde, führt zur gleichen Schlussfolgerung: Die IT-Abteilung und die Software-Asset-Management-Teams müssen ein System der Software-Überwachung einrichten und durchsetzen, da sonst womöglich die Kosten und die Risiken für die Softwarelizenz-Compliance in die Höhe schnellen.
Ihre Situation könnte ganz anders aussehen, wenn Sie in einer großen IT-Abteilung mit vielen Kontrollen arbeiten oder Teil einer kleineren Belegschaft sind. Aber da wir in der „neuen Normalität“ operieren, ist es ein relevantes Thema für jedes Unternehmen. Wir sitzen alle im gleichen Boot.

Hier sind die Best Practices, um Softwarekosten zu senken, Sicherheitsrisiken zu vermeiden und die Einhaltung von Softwarelizenzen zu gewährleisten: :

  • Schulen Sie Ihre Mitarbeiter darin, welche Software auf privaten und welche auf geschäftlichen Geräten erlaubt ist. Geben Sie ihnen eine Liste mit genehmigten Anwendungen an die Hand
  • Denken Sie darüber nach, ein Portal für Mitarbeiter einzurichten, die darüber Cloud-Services und andere Software anfordern können. So behalten Sie die Einkäufe unter Kontrolle
  • Ermitteln Sie die Hardware-Geräte, die auf Ihr Netzwerk zugreifen und richten Sie Sicherheitsmaßnahmen ein
  • Sorgen Sie dafür, dass alle Geräte stets über die neueste Sicherheitssoftware und den aktuellen Betriebssystem-Patches verfügen, da sie sich jetzt in weniger sicheren Heimnetzwerken befinden
  • Denken Sie über ein Standardprotokoll für Remote-Speicherdienste nach. Notfalls verhindern Sie die lokale Speicherung auf persönlichen Geräten
  • Richten Sie ein Sicherheitssystem ein, mit dem Sie einen Rechner oder ein Smartphone schnell außer Betrieb setzen können, etwa durch ferngesteuertes Löschen des Geräts

Unter dem Strich geht es darum, welchen Software-Lizenzverwaltungs- und Sicherheitsrisiken Sie neu ausgesetzt sind, und wie Sie Ihren Teams vermitteln, wie sie diese Risiken vermindern. Sie müssen Bescheid wissen, welche Software Ihre Mitarbeiter verwenden und welche sie verwenden dürfen. Wenn dies nicht übereinstimmt, greifen Sie zu Software-Asset-Management-Optionen, die damit umgehen können und Sie vor Compliance-Risiken schützen.

Hier erhalten Sie Ressourcen, mit denen Sie die neuen wirtschaftlichen Herausforderungen bewältigen. Bauen Sie Ihre Strategie neu auf und senken Sie heute Softwarekosten, um den Umsatz von morgen zu sichern. Erste Schritte



Themen: SAM Insights