Software-Audits: Wie Hightech Hardball spielt

Als die Software-Audit-Anfrage vor zwei Jahren von Adobe kam, dachte Margaret Smith (nicht ihr richtiger Name), es sei Business as usual. Als Spezialistin für Governance-Risiken und Compliance für ein Fortune 500-Unternehmen war sie es gewohnt, mehrmals im Jahr geprüft zu werden.

"Normalerweise fangen diese Dinge freundlich an", sagt sie. „Wir erhalten eine Anfrage für ein Audit und es sind einige Verhandlungen erforderlich. Sie möchten ein Audit vor Ort durchführen oder bestimmte Mitarbeiter-IDs anfordern, und wir sagen nein. Aber diesmal kamen sie schwingend heraus. Innerhalb von zwei Wochen drohten sie, die Anwälte hinzuzuziehen. “

Smiths Firma, ein Hersteller von Konsumgütern, hatte mindestens 55 verschiedene Adobe-Produkte in Büros auf der ganzen Welt lizenziert. Jetzt beschuldigte die Softwareherstellerin ihre Firma, weit mehr Software verwendet zu haben, als sie berechtigt war.

Es stand viel auf dem Spiel. Adobe hätte zusätzlich zu den ausstehenden Lizenzgebühren Strafen erheben, ihrer Firma die Kosten für die Prüfung in Rechnung stellen und ab einem bestimmten Datum rückwirkende Zahlungen verlangen können.

Aber Margaret war kein Schwächling. Sie arbeitete für eine riesige Organisation, die mehr als 4.000 Softwareprodukte verwaltete und ziemlich genau wusste, wie konform sie waren.

Es stellte sich heraus, dass es einen Konflikt zwischen der Sprache in der vom Unternehmen unterzeichneten Lizenzvereinbarung und den von Adobe als Teil dieser Vereinbarung betrachteten Belegen gab. Am Ende ließen sie sich nieder. Der Konsumgüterhersteller stimmte zusätzlichen Kontrollen für die Bereitstellung von Software zu, und Adobe ließ die Angelegenheit fallen (und lehnte es nicht überraschend ab, sich zu dieser Geschichte zu äußern).

Aber es hätte hässlich werden können. Und es ist ein Symbol dafür, wie aggressiv große Softwarehersteller geworden sind. 

Diese Prüfung war ein Schlüsselfaktor für die Entscheidung ihres Unternehmens, eine Software Asset Management-Lösung von Snow Software zu implementieren, sagt Smith. "Es war das perfekte Beispiel, um meine Theorie zu untermauern, dass der erste Schritt zur Erreichung der Compliance darin besteht, zu verstehen, mit was Sie arbeiten."

Bei Software-Audits hat der Code von omertà Vorrang.

Wenn Sie es kaufen, werden sie kommen

Es geht nicht darum, ob die Softwarelizenzen Ihres Unternehmens geprüft werden. Es ist nur eine Frage, wann, wie oft und wie schmerzhaft die Audits sein werden. Der Shakedown ist so sicher, dass fast jeder Kunde, den wir kontaktiert haben, uns gebeten hat, seine Namen aus dieser Geschichte herauszuhalten, damit seine Arbeitgeber nicht zum Ziel zukünftiger Audits werden.

Audits sind auf dem Vormarsch und werden teurer. Laut Gartner erhalten 68 Prozent der Unternehmen jedes Jahr mindestens eine Prüfungsanfrage, eine Zahl, die seit 2009 jedes Jahr stetig gestiegen ist. Die häufigsten Anfragen kommen von den üblichen Verdächtigen: Microsoft, Oracle, Adobe, IBM und SAP.

Eine Umfrage von Flexera, einem Anbieter von Software-Asset-Management, ergab, dass 44 Prozent der Unternehmen „echte“ Kosten in Höhe von 100.000 USD oder mehr und 20 Prozent mehr als 1 Million USD zahlen mussten - Prozentsätze, die sich mehr als verdoppelt haben das vergangene Jahr.

Amy Konary von IDC schätzt, dass bis zu 25 Prozent des Softwarebudgets eines Unternehmens allein für die Komplexität der Lizenzen aufgewendet werden.

„Dies hat zwei Aspekte, und beide sind schwer zu bestimmen“, sagt Konary, Vice President, der für die Leitung der SaaS-, Geschäftsmodell- und Mobile Enterprise Applications-Programme von IDC verantwortlich ist. „Der erste ist Überkauf. Wie viel zusätzliche Software kaufen Sie, um das Risiko von Verstößen zu verringern? Der zweite ist unterkauft. Sie werden geprüft, Sie stellen fest, dass Sie mehr Software als erwartet verwendet haben, und Sie geben am Ende mehr für das True-Up aus. Aufgrund der Komplexität der Lizenzierung ist es schwierig, Ihre Softwareumgebung zu lizenzieren. “

Mehr als ein Viertel aller in großen US- und britischen Unternehmen installierten Software ist Shelfware mit Gesamtkosten von mehr als 7 Milliarden US-Dollar. Dies geht aus Untersuchungen von 1E hervor, einem Unternehmen für die Automatisierung des Software-Lebenszyklus. Hinzu kommen die versteckten Kosten einer Betriebsunterbrechung für Audits, die 18 Monate dauern können, und der endgültige Preis kann enorm sein.

Kurz gesagt, Unternehmen lassen viel Geld auf dem Tisch - und Softwarehersteller sind mehr als glücklich, so viel wie möglich davon zu sammeln.

Audits sind Verkaufstools

Technisch gesehen ist ein Software-Audit eine Möglichkeit zu beweisen, dass Sie nur Software installiert haben, für die Sie bezahlt haben, oder dass ein Publisher nachweist, dass Sie zu viel installiert oder verwendet haben. Der Prüfungsprozess endet jedoch häufig damit, dass der Kunde einen Scheck unterschreibt - entweder um für über- oder falsch installierte Software zu bezahlen oder um einen neuen Vertrag für eine längerfristige Verpflichtung abzuschließen

„Am Ende eines Audits wird es einen Verkauf geben“, sagt Peter Turpin, Vice President bei Snow Software. „Auditing ist eine Möglichkeit, Geld für die von einem Kunden installierte Software zu sammeln. Deshalb musst du dafür bezahlen. “

Laut Craig Guarente, Mitbegründer von Palisade Compliance, der große Unternehmen bei der Verwaltung von Oracle-Lizenzproblemen unterstützt, nutzen große Verlage die Bedrohung durch ein Audit auch, um neue Geschäfte abzuschließen.

Guarente war mehr als 15 Jahre lang ein globaler Vizepräsident für Verträge und Geschäftspraktiken bei Oracle. Er sagt, dass das Verkaufsteam von Oracle viele Jahre lang ein von "Glengarry Glen Ross" inspiriertes Mantra namens "ABC: Audit-Bargain-Close" hatte.

"Sie prüfen jemanden, finden einige Probleme, setzen etwas Angst in ihre Herzen und werfen eine große Anzahl dort oben", sagt er. „Dann schließen Sie einen Deal mit etwas anderem ab, das Sie kaufen sollen. Außer in diesen Tagen nenne ich es "Audit Bargain Cloud" - werfen Sie einen Cloud-Deal ein, und plötzlich verschwinden alle Ihre Audit-Probleme. "

Insbesondere Oracle wurde wegen aggressiver Softwarelizenzierungspraktiken gerufen. Eine Umfrage der Campaign for Clear Licensing unter Oracle-Kunden im Oktober 2014 ergab, dass die Kundenbeziehungen zu Oracle "feindselig und von tief verwurzeltem Misstrauen geprägt" sind.

Im Oktober 2015 reichte die Süßwarenfirma Mars Inc. Klage gegen Oracle ein und beschuldigte die Firma, die Lizenzdurchsetzung aufgrund von "falschen Prämissen" "außerhalb des Geltungsbereichs" durchgeführt zu haben. Der Anzug wurde letzten Dezember fallen gelassen; Bedingungen des Vergleichs wurden nicht bekannt gegeben.

In einem Interview mit der britischen Tech-News-Site V3 im vergangenen Februar hat der globale CIO von Specsavers, Phil Pavitt, die "Gun-to-the-Head-Methode" von Oracle für die Softwarelizenzierung abgelehnt.

(Oracle lehnte Kommentaranfragen ab.)

Oracle ist sicherlich nicht der Einzige, der Audits als Verhandlungsinstrument einsetzt. Kunden, die wegen dieser Geschichte kontaktiert wurden, bestätigten einen ähnlichen Druck, den andere Verlage ausübten.

Auf lange Sicht erzeugt dieser aggressive Ansatz jedoch nur Feindseligkeit, sagt Konary von IDC. Wenn ein Vertriebsmitarbeiter Audits verwendet, um den Vertrieb voranzutreiben, bedeutet dies normalerweise, dass Sie einen schlechten Vertriebsmitarbeiter haben, sagt sie. Der Druck, vierteljährliche Quoten festzulegen, kann sie jedoch dazu bringen, aggressiver zu werden.

"Vertriebsleiter mögen keine Software-Audits, weil sie ihre Beziehungen zu Kunden ruinieren können", sagt sie. "Aber viele haben auch Verkaufsquoten und einen bestimmten Dollarbetrag, den sie erreichen müssen." Es gibt eine kleine Fehlausrichtung. “

Wolken am Horizont

Da immer mehr Unternehmen auf Software as a Service umsteigen, sollte dies theoretisch die Lizenzierung und Verwaltung von Software vereinfachen. Kurzfristig ist das Gegenteil der Fall. Der Betrieb in einer Hybrid-Cloud und einer lokalen Umgebung macht alles komplexer. Zum Beispiel ist es für die IT allzu einfach, neue Services in der Cloud nach Bedarf zu starten, ohne die Auswirkungen auf die Lizenzierung zu berücksichtigen, sagt Ed Rossi, Vice President für Produktmanagement bei Flexera.

"Wenn Sie die Cloud einführen, führen Sie auch eine Menge Komplexität ein", sagt er. "Wenn Kunden dies nutzen, können sie mehr Software verwenden, als ihnen zusteht. Ich denke, wir sehen aus diesem Grund eine schrittweise Zunahme der Audits."

Der bloße Wechsel in die Cloud löst manchmal ein Audit aus, sagt Konary.

"Wenn Sie On-Premise-Software in eine Cloud-Umgebung in Ihrem eigenen Rechenzentrum verschieben, treten sehr wahrscheinlich Lizenzprobleme auf", sagt Konary. "Es ist eine so dynamische Umgebung, dass es viel schwieriger wird, zu verfolgen, was Sie tatsächlich verwenden, und Ihre Lizenzanforderungen einzuhalten."

Die Nutzung öffentlicher Cloud-Dienste sei weniger eine Herausforderung für die Lizenzierung, fügt sie hinzu. Wenn Benutzer keine Passwörter teilen, ist es relativ einfach zu messen, wer was verwendet.

Ein weiterer Grund für die zunehmende Abhängigkeit von der Cloud ging mit einer Zunahme von Audits einher: Unternehmen, die Milliarden von On-Premise-Software verdient haben, versuchen, so viel Umsatz wie möglich daraus zu machen, solange sie noch können, sagt Robin Purohit, Group President der Enterprise Solutions Organization von BMC.

"Wir sehen Audits von großen Unternehmen auf dem Vormarsch", sagt Purohit. "Dies sind diejenigen, die am anfälligsten für den Übergang zu Software as a Service sind. Ihr Lizenzwachstum ist gefährdet. Daher möchten sie beim Aufbau ihres Cloud- und SAAS-Portfolios die Einnahmen ihrer Kunden aufrechterhalten."

Ihre Werkzeuge, ihre Regeln

Viele Anbieter bieten an, Ihnen bei der Ermittlung Ihrer Lizenzkonformitätsprobleme zu helfen. Tu es nicht, rät Palisades Guarente.

"Das kann zu einem" Stealth-Audit "werden", sagt er. "Der Anbieter bietet an, dem Kunden zu helfen, seine Compliance-Probleme herauszufinden, aber es ist wirklich eine verschleierte Prüfung."

Er sagt, ein Kunde habe fast 40.000 US-Dollar pro Jahr für Wartungs- und Supportverträge von Oracle ausgegeben und ihn gebeten, ihm dabei zu helfen, seine Ausgaben zu senken. Sie stimmten glücklich zu. Einige Monate später erhielt er eine Compliance-Rechnung über mehr als 1 Million US-Dollar. Zu diesem Zeitpunkt wurde Palisades eingeführt.

Oft verlangen Anbieter von Kunden, dass sie bestimmte Tools verwenden, um ihre Nutzung zu verfolgen, aber sie informieren sie nicht immer gut darüber, stellt Rechtsanwalt Rob Scott, Principal von Scott & Scott, LLP, einer auf die Lösung von Software spezialisierten Firma, fest Prüfungsstreitigkeiten.

"Eine der größten Horrorgeschichten, die wir sehen, um IBM und seine Virtualisierungsregeln", sagt Scott. "Laut IBM können Sie ihre virtuelle Serversoftware nur bereitstellen, wenn Sie auch ihr proprietäres Erkennungstool bereitstellen, das die meisten Kunden erst bei der ersten Prüfung erfahren."

IBM kommt dann herein und sagt, dass diese virtuellen Server für Unterkapazitäten lizenziert sind. Da Sie unser Discovery-Tool jedoch nicht bereitgestellt haben, sind Sie uns für die volle Kapazität schuldig, fügt Scott hinzu.

"Ich habe gesehen, dass dieses Problem allein für unseren Kundenstamm Hunderte Millionen Dollar an True-Up-Gebühren verursacht", sagt Scott. "Es klingt esoterisch, aber es passiert auf der ganzen Welt."

Bei der Kontaktaufnahme bestätigte ein IBM-Sprecher, dass das Unternehmen von Kunden verlangt, ein kostenloses Überwachungstool zu verwenden, um die "Lizenzierung von Unterkapazitäten" zu verfolgen. In einer E-Mail schrieb sie:

Unsere Softwareverträge enthalten sehr klare Anforderungen an die Anforderungen, um die Lizenzierung von Unterkapazitäten zu nutzen. Dies ist seit mehr als einem Jahrzehnt Bestandteil all dieser Verträge. Darüber hinaus setzen wir uns proaktiv mit unseren Kunden in Verbindung, um sicherzustellen, dass sie mit den Lizenzierungsmöglichkeiten und -protokollen für Unterkapazitäten vertraut sind.

Regal wo?

Eine Prüfung kann auch ergeben, dass Sie für Software bezahlen, die Sie nicht verwenden. Erwarten Sie jedoch nicht, dass Softwarehersteller Ihnen dies mitteilen.

"Ich höre nicht viel über Anbieter, die zu Kunden kommen und sagen: 'Hey, Sie haben zu viel Geld bei uns ausgegeben'", gibt Konary zu. Auf der anderen Seite, fügt sie hinzu, werden die meisten Anbieter kein Audit initiieren, es sei denn, sie sind ziemlich sicher, dass der Kunde die Anforderungen erfüllen muss.

Laut Konary könnten Unternehmen die falschen Arten von Lizenzen für ihre Benutzer kaufen - beispielsweise eine Entwicklerlizenz, wenn eine kostengünstigere Self-Service-Lizenz ausreichen würde.

"Möglicherweise haben Sie viel teurere Ebenen als Sie benötigen. Haben Sie die Möglichkeit, diese herunterzustufen? Ein Großteil dieser Shelfware-Erkennung muss vom Kunden initiiert werden."

Die Implementierung von Software-Asset-Management-Tools kann zwar hilfreich sein, Unternehmen müssen jedoch auch ihre Prozesse im Hinblick auf Compliance ändern und die Mitarbeiter im Umgang mit der Komplexität schulen, fügt sie hinzu.

In den meisten Fällen möchten Softwarehersteller Partner bleiben, die bei ihren Unternehmenskunden einen guten Ruf haben. Sie wollen aber auch so viel Geld wie möglich verdienen. Und das kann Partnerschaften bis zum Bruch belasten.

"Es ist wirklich wichtig, sich daran zu erinnern, dass Verlage ein Recht darauf haben, für die Software bezahlt zu werden, die ihre Kunden verbrauchen", sagt Snow's Turpin. "Ihre beste Verteidigung ist eine gute Beleidigung." Rüsten Sie sich mit den richtigen Management-Tools aus, damit Sie, wenn Sie nicht konform sind, davon erfahren und etwas zu Ihren eigenen Bedingungen tun können. "