SAMnews: »How-to-Guide über die 5 Phasen eines Lizenzaudits«

Ein typisches Software-Audit ist in fünf Phasen unterteilt:

Phase 1: Ankündigung

Was tun, wenn eine Auditankündigung kommt? Das Wichtigste ist, ruhig zu bleiben. Prüfen Sie die Anforderungen des Anschreibens und gehen Sie als Erstes auf Ihre internen Stakeholder zu, um das weitere Vorgehen und die Berechtigung der Audit-Anfrage zu überprüfen.

Wie können Sie Software-Audits abwehren?

• Besitzt der Auditor eine Berechtigung?
• Wurde auf Ihrer Seite die richtige Organisationseinheit angeschrieben?
• Gab es innerhalb der letzten 12 Monate bereits eine Validierung gegenüber dem Hersteller?
• Ist der juristische Anspruch vorhanden? (z. B. Auditruhe im Vertrag)
• Stimmen Form und Fristen der Ankündigung?

Wie reagieren Sie am besten auf einen Software-Auditbrief?

• Antworten Sie nicht sofort, sondern stimmen Sie das Vorgehen intern mit allen Stakeholdern ab.
• Bewerten Sie, ob es sich tatsächlich um ein echtes Audit handelt.
• Hinterfragen Sie die Ursache der Anfrage. Welches Ziel verfolgt der Hersteller? Will er ggf. nur neue Produkte vermarkten?
• Wie steht es um die Berechtigung des Auditors? Vor allem ist diese Frage entscheidend, wenn es sich um unterbeauftrage Drittfirmen handelt, die Sie kontaktiert haben.

Wie gewinnen Sie Zeit?

• Kündigen Sie gegenüber dem Auditor an, falls Sie eine externe Firma zur Unterstützung beauftragen. Diese kann als Schnittstelle agieren und Fristen neu abstimmen.
• Verhandlungsgeschick ist gefragt: Legen Sie im Zweifel kurz dar, dass Sie andere interne Projekte mit hoher Priorität haben und bieten Sie ein Datum an, bis wann eine Rückmeldung realistisch erfolgen kann. Vielleicht migrieren Sie ja gerade bereits in ein SAM-Tool?
• Zeigen Sie z. B. durch Darlegung Ihrer SAM- oder ITAM-Prozesse auf, wie lange eine solide Vermessung in Ihrem Haus dauert.
• Wenn im Vertrag des Herstellers nichts anderes geregelt ist, kann aufgrund der deutschen Gesetze außerdem auf eine Zustellung per Post bestanden werden. Andere Ankündigungen in Textform sind nicht rechtswirksam.

Phase 2: Kick-off-Meeting

Welche Punkte müssen Sie zu Beginn des Software-Lizenzaudits verhandeln?

• NDA (Geheimhaltungsvereinbarung)
• Scope des Audits (Verträge, Produkte, Organisationsumfang)
• Ansprechpartner auf beiden Seiten
• Format der Datenbereitstellung
• Datenaufbewahrung oder -löschung nach dem Audit
• Datenschutz
• Auditruhe bzw. Auditschutz
• Ablaufplan und Fristen

Mit welcher Vorbereitung und Einstellung sollten Sie einem Software-Audit am besten begegnen?

• Gehen Sie freundlich und selbstsicher in den Termin.
• Definieren Sie passende Ansprechpartner.
• Zeigen Sie, wie Ihre SAM- bzw. ITAM-Organisation aufgebaut ist und dass Sie bereits zum Kick-off-Termin einen weitgehend guten Überblick zum Einsatz der Produkte in Ihrer Organisation haben.

Durch das Darlegen guter Software-Prozesse und eines funktionierenden Inventory zeigen Sie, dass Sie Ihren Pflichten als Anwender nachgehen. Dadurch können Sie dem Hersteller in der Regel bereits etwas »Wind aus den Segeln« nehmen.

Phase 3: Datenerfassung

Inventarisierung technischer Daten

• Installationen ermitteln: Nutzen Sie Ihre vorhandenen Inventarisierungslösungen und reichern Sie die Daten mit weiteren Quellen (z. B. AD, SCCM, vCenter) an.
• Systemlandschaft ermitteln: Prüfen Sie den Einsatz der Produkte in Ihrer Systemlandschaft (Client oder Serverinfrastruktur?).

Inventarisierung kaufmännischer Daten

• Sammeln von Kaufnachweisen: Verlassen Sie sich nicht nur auf die Kaufhistorie des Herstellers. Gleichen Sie die Bestände mit eigenen, internen Nachweisen ab.
• Sammeln von Verträgen: Prüfen Sie Nutzungsrechte, die Sie ggf. mit Ihren Verträgen gesondert abgeschlossen haben.
• Erfassen interner Stakeholder und Wissensträger: Stimmen Sie sich zu den erfassten Daten mit Ansprechpartnerinnen und Ansprechpartnern Ihrer Organisation ab. Ggf. gibt es noch andere Beschaffungswege oder Installationen, die nicht inventarisiert werden.

Wenn der Auditor die Daten mit eigenen Lösungen bei Ihnen erhebt, sind diese Lösungen und Daten zwingend zu prüfen und mit Ihren eigenen Messungen abzugleichen.

Phase 4: Datenkonsolidierung und -validierung

1. Bündeln Sie die gesammelten kaufmännischen und technischen Inventardaten in einer Ergebnisliste und dokumentieren Sie interne Sonderfälle bzw. Erläuterungen.
2. Übertragen Sie die Ergebnisse in das Format des Auditors.
3. Prüfen Sie, ob die Nutzungsrechte in dieser Bilanz korrekt dargestellt sind und ob Ihre Bestände richtig berechnet werden.
4. Wenn das Ergebnis einen Nachlizenzierungsbedarf aufzeigt, empfehlen wir Ihnen, sich bereits auf die Nachbeschaffung vorzubereiten und selbständig die Lizenzen und Preise zu ermitteln. So kann es zu keinen Überraschungen in der Abschlussphase kommen.

Phase 5: Verhandlung und Abrechnung

Bereiten Sie sich gut auf den Abschlusstermin vor und bringen Sie folgende Dokumente und Ergebnisse mit:

• Ergebnisse Ihrer internen Vermessung
• Übersicht Ihrer Lizenzbestände und Verträge
• Übersicht Ihrer SAM/ITAM-Organisation und -Prozesse
• Vorschläge zur Nachlizenzierung negativer Positionen

Stellen Sie sich darauf ein, Fragen zu Einsatzszenarien Ihrer Produkte zu beantworten und zu erklären, warum es zu Defiziten gekommen ist. Nutzen Sie den Termin ebenfalls, um direkt mit dem Auditor oder Hersteller folgende Strategien zu besprechen:

• Platzieren Sie Ihre Wünsche und Vorstellungen zum Wechsel von Verträgen oder Produkten.
• Sollten Sie einen Technologiewechsel planen, dann nutzen Sie den Termin, um Fragen zum Lizenzwechsel zu stellen. Die geplante Beschaffung neuer Lizenzen kann für Sie positiv angerechnet werden.

Fazit

Audits sind oft Business-Entscheidungen der Hersteller mit dem Ziel, eine Umsatzsteigerung zu erreichen. In den Verhandlungen können Sie als Kunde durch genaue Auseinandersetzung mit der Anfrage herausfinden, was der Zweck ist und wie hoch ggf. die Summe ist, die die Sales-Abteilung des Herstellers anstrebt, um befriedigt weiter zu ziehen.

Fake-Audits – Woran erkenne ich sie?

In letzter Zeit tauchen gehäuft Fake-Audits auf, besonders für die Hersteller Adobe und Microsoft. Diese sind nicht direkt von Original-Anfragen zu unterscheiden. Allerdings gibt es kleine Hinweise bzw. Anzeichen, die auf einen falschen Auditor hindeuten. Vor allem, wenn mehrere der folgenden Punkte zusammenkommen:

• Es ist nicht Ihr Vertragspartner des Herstellers, der sich bei Ihnen meldet.
• E-Mail-Signaturen fehlen oder sind nicht vollständig oder im Laufe des Mailverkehrs inkonsistent.
• Es wird gezielt nach Ansprechpartnerinnen oder Ansprechpartnern Ihrer Organisation gefragt (Phishing nach Personen und Informationen, die bekannt sein sollten).
• Es werden verschiedene E-Mail-Adressen benutzt, die nicht eindeutig dem Hersteller zuzuordnen sind.
• Die Namen der Dokumente passen nicht (kein typisches Wording des Herstellers im Vergleich zu bekannten Formaten).
• Der Auditor sitzt mit seiner Firma in anderen Ländern als der Hersteller.
• Die Form der Audit-Ankündigung ist formal fehlerhaft (Schreib- oder Übersetzungsfehler, falsche oder keine Ansprechpartner, Layout unterscheidet sich vom Hersteller-CD etc.).
• Es wird eine Person zum Audit aufgefordert und nicht Ihre Firma.

Was tun, wenn die Audit-Ankündigung Zweifel aufkommen lässt:

• Überprüfen Sie die vorhandenen Informationen und Ansprechpartner.
• Finden Sie die korrekten E-Mail-Adressen heraus.
• Finden Sie die Firmen-Festnetzanschlüsse heraus.
• Fragen Sie bei Ihren Ansprechpartnerinnen oder Ansprechpartnern der Hersteller oder Lieferanten nach einer Bestätigung, dass es sich tatsächlich um ein Audit handelt.
• Lassen Sie sich die Person, von der Sie die Ankündigung erhalten haben, vom Hersteller bestätigen.

Und besonders wichtig: Reagieren Sie im Zweifel auf keinen Fall ohne genaue Prüfung auf die E-Mail!

Sie wollen mehr über Lizenzaudits erfahren? Kontaktieren Sie uns unter samnoSpam@softline-group.com oder telefonisch unter +49 341 24051-0.