Dirk Menzel Im Umfeld von Software Asset Management (SAM)-Tools kommt es immer wieder zu Herausforderungen, die häufig zum Show-Stopper werden. Diese Probleme entstehen oftmals beim Thema „Software-Nutzung“ (engl.: „Software-Metering“). Als Lizenzmanager:in hat man die Aufgabe, sich in die Problematik des Lizenzmanagements von Seiten der Geschäftsführung und den eigenen Aufgaben, aber auch von Seiten des Betriebsrates einfühlen zu müssen.
Dieser Artikel beleuchtet das Thema vor allem aus Sicht des Betriebsrates, auch wenn der Datenschutz natürlich ebenfalls eine relevante Rolle beim Schutz der Mitarbeitenden bzw. derer Rechte spielt.
Software Metering
Beim Software Metering handelt es sich um eine Analyse der Nutzung von Software. Für die rechtskonforme Lizenzierung ist es nicht nur wichtig, welche Software installiert ist, sondern auch was von wem wie lange und wie oft verwendet wird. Ein Mehrwert der Nutzungsanalyse ist die Identifikation von installierter, nicht genutzter Software zur Einsparung von Lizenz-/Wartungskosten, die installationsbasiert erhoben werden. Diese „Nutzungsüberwachung“ lässt den Betriebsrat aufhorchen, da sich eine “Leistungsüberwachung” vermuten lässt.
Doch warum benötigt man eine Übersicht über die Nutzung von Software? Dazu hilft es, sich zunächst die häufigsten Aufgaben des Lizenzmanagements anzuschauen.
Abb. 1: Beispiel – Softwarenutzung aufgeteilt nach jeweiligem Computer
Lizenzmanagement
Im Rahmen eines aktiven Software Asset Management (SAM) wird u.a. die Erreichung der folgenden Ziele durch Lizenzmanager:innen unterstützt:
- Sicherstellung einer korrekten, vertrags- und rechtskonformen Lizenzierung (engl.: License Compliance)
- Erfüllung der Herstelleranforderungen an die Dokumentation – auch im Rahmen von Lizenzplausibilisierungen / Audits
- Kostenanalyse und Einsparpotentiale transparent machen
- Optimierung des Software-Portfolio – bspw. durch Schaffen von Software-Standards
- Unterstützung bei der Software-Beschaffung und Vertragsverhandlungen durch Asset-Kennzahlen
- Aufzeigen von Schatten-IT und Reduktion von Sicherheitsrisiken
Anhand dieser Aufgaben erkennt man schnell die Wichtigkeit des Software Meterings, da viele Informationen erst durch die Nutzungsanalyse verfügbar werden.
Abb. 2: Beispiel – Report „Ungenutzte Software“
Beispielsweise benötigt man bei Zugriffen auf Terminalserver genaue Informationen darüber, welche Software von welchen Nutzern gestartet wurde. Auch die richtige Implementierung von Schutzmaßnahmen kann auf diese Weise überprüft werden. So zeigt das SAM-Tool die tatsächliche Anzahl der Nutzer:innen.
Im Fall, dass beispielsweise 20 Beschäftigte Microsoft Visio nutzen, aber nur 10 davon zugriffsberechtigt sind, erkennt man eine potenziell unerwünschte Nutzung durch 10 Nutzende. Dieses Defizit ist lizenzpflichtig, führt also zu einer Nachlizenzierung. Die proaktive und dokumentierte Nutzungsanalyse führt dazu, dass in diesem Fall nicht die “potenzielle Nutzung”, sondern nur die “tatsächliche Nutzung” betrachtet und lizenziert werden muss. Sicherlich ist der Nachkauf von 10 Lizenzen ein nicht existenzbedrohender Posten; aber was, wenn 5000 Benutzer:innen auf Terminalserver zugreifen können und der Zugriff nicht korrekt technisch verhindert wird?! Jeder, der die Möglichkeit hat, Visio auf dem Terminalserver auszuführen (!), benötigt eine dazu berechtigende Lizenz. Und da sieht die Rechnung schon anders aus.
Gerade wenn es um kostenintensive Software geht, beispielsweise eine teure CAD-Software, ist das Lizenzmanagement normalerweise stark daran interessiert keine ungenutzten Lizenzen vorhalten zu müssen. Hier kann die Software bei der Nutzungsanalyse Nutzende erkennen, die die Software nur sporadisch oder nie ausführen. Somit ergibt sich die Chance, durch ein Gespräch mit dem Mitarbeitenden zu erarbeiten, ob, wann oder wie oft die Software benötigt wird. Ob die Lösung dann vielleicht
- eine kostenlose Viewer-Version ist, welche die Lizenzbilanz verbessert und die Situation klärt,
- eine Lizenzumstellung z.B. von User auf Concurrent User beinhaltet, wordurch die Nutzung einer Lizenz durch mehrere Personen ermöglicht wird, oder gar
- eine Prozessoptimierung (dem Mitarbeiter genügt auch der Gebäudeplan im PDF-Format) bedeutet,
hängt dann von der jeweiligen Situation ab. Nun kommen gerade in solchen Situationen die Aufgaben des Betriebsrates in Sichtweite.
Der Betriebsrat
Der Betriebsrat ist ein von der Belegschaft eines Betriebs gewähltes Gremium zur Vertretung der Interessen der Beschäftigten gegenüber der Geschäftsleitung. Natürlich hat der Betriebsrat gewisse Aufgaben, Rechte und auch Pflichten. Diese werden durch ein Gesetz definiert: Das Betriebsverfassungsgesetz (kurz BetrVB – nichtamtliches Inhaltsverzeichnis).
Ohne zu tief auf das Thema einzugehen, ist es gut zu wissen, dass es verschiedene Rechte des Betriebsrates gibt:
- Mitwirkungsrechte
- Informationsrechte
- Mitbestimmungsrechte!
Daher ist es eine Aufgabe des Betriebsrates, bei möglichen Überwachungen durch neu eingeführte Software hellhörig und damit aktiv zu werden.
Natürlich ist es hier nicht Sinn und Zweck des Betriebsrates, grundsätzlich ALLES Neue in der IT zu verhindern. Zum Schutz der Mitarbeitenden gehört auch der Schutz der Firma selbst z.B., wenn Lizenzverstöße so gravierend sind, dass eine Insolvenz die Arbeitsplätze bedroht. Daher ist es auch im Interesse des Betriebsrates die Firma zu schützen.
Die Lösung
Die Mittel zur Lösung eines möglichen Konflikts heißen:
- Frühzeitiges Einbinden des Betriebsrates
- Betriebsvereinbarung
- Zweckbindung
- Zugriffseinschränkung
Wird mit dem Betriebsrat (und auch dem Datenschutz) ein offener Prozess gestartet, Einblick und Mitarbeit bei der Einführung eines SAM-Tools von Beginn an gefördert und gelebt, ist es in fast allen Fällen einfach, eine „Win-Win“ Situation für beide Seiten zu erreichen. Der Abschluss einer Betriebsvereinbarung sichert damit die Nutzung des SAM-Tools. Das Zauberwort ist hier die Zweckbindung. Ist in der Zweckbindung definiert, wofür die Nutzungsdaten genutzt werden dürfen, ist das eventuelle Problem schon vor Beginn des Projekts für alle Seiten zufriedenstellend gelöst.
Ein Wort auch zur Anonymisierung von Daten:
Einige SAM-Tools unterstützen auch eine oder mehrere Arten der Daten-Anonymisierung. Dazu zählt z.B. der Benutzername, wenn er ausgeblendet oder ersetzt wird (“********”). Die Erfahrung in vielen Kundenprojekten zeigt, dass sogar Login-Accounts schon im Active Directory anonymisiert sind und „nur“ die Personalabteilung und die IT die Information hat, welcher Benutzername zu welcher „Nummer“ gehört. In der Praxis könnte die IT sonst ihrer Aufgabe nicht nach gehen. Ähnlich sieht es auch für das Lizenzmanagement aus.
Eine Anonymisierung von Daten macht daher nur Sinn für Personenkreise, die diese Daten wirklich nicht benötigen. Rollen und Berechtigungskonzepte sind hier primär zu betrachten, um dann zu prüfen, ob weitere Anonymisierungen auch Sinn ergeben bzw. ob die eingesetzte SAM-Software dies auch umsetzen kann.
Nutzungsdaten in der Praxis
In der Praxis muss man sich die eingesetzte bzw. geplante Software genau anschauen. „Metering“ ist nämlich nicht gleich „Metering“!
Es gibt diverse Lösungen, die in der Lage sind, eine Anwendungs- bzw. Applikationsnutzung zu vermessen. Hier ist je Lösungsoption – bspw. Microsoft System Center Configuration Manager (SCCM), Snow License Manager oder Matrix42 Software Asset Management – zu bewerten, inwiefern die erhobenen und final gespeicherten Daten eine Mitbestimmungspflicht des Betriebsrates mit sich bringen.
Die Details der jeweiligen Lösung müssen detailliert beurteilt werden – angefangen bei unterschiedlichen Ansätzen in der Konfiguration, die entweder global je Anwendung sämtliche Betriebsumgebungen oder individuell (bspw. nach Geschäftseinheit oder für ausgewählte User/Endgeräte) vermisst, bis hin zu dem Detailgrad der Nutzungsanalyse. Letztere kann von einer detaillierten Überwachung der Anwendungsnutzung (oftmals: Nutzer, System, Datum, Dauer der Nutzung, Häufigkeit des Aufrufes) bis hin zu einer sachgerechten, reduzierten Auswertung (anonyme Darstellung mit Fokus auf ungenutzte Anwendungen) ausfallen.
Anhand dieser Darstellung erkennt man schon, dass eine „Leistungsüberwachung“ durch bspw. den Snow License Manager oder Matrix42 Software Asset Management gar nicht zu realisieren wäre bzw. ausgeschlossen werden kann. Beim Microsoft SCCM wäre die Option per Zweckbindung organisatorisch auszuschließen.
Fazit
Natürlich gibt es keine Garantie, dass der Betriebsrat / der Datenschutz zu allem gleich „Ja und Amen“ sagt. Der Betriebsrat ist keine Einzelperson, sondern ein Gremium aus den verschiedensten Charakteren und die gewissenhafte Prüfung ist seine Aufgabe.
Wenn aber von Anfang an diese Gremien ins Projekt integriert und Einblick in die Software gegeben wird (jederzeit Einsicht zu verlangen, steht dem Betriebsrat ohnehin zu) ebenso wie eine entsprechende Betriebsvereinbarung getroffen wird, steht der sinnvollen Nutzung des SAM-Tools, nichts im Wege.
Vor allem die Nutzungsdaten sind wichtiger Bestandteil des Lizenzmanagements, sonst können die Verantwortlichen ihren Auftrag nicht vollumfänglich erfüllen.
Durch Zusammenarbeit, Offenheit und eine Betriebsvereinbarung wird aber die Chance gegeben, dass jeder seine Aufgaben zur vollsten Zufriedenheit aller erfüllen kann.