KEINE PANIK

KEINE PANIK
Auditabwehr in der Praxis
Deutsche Gesellschaft für Recht und Informatik
Folie Nr. 1
26.10.2015
Agenda







Auditankündigung
Die Prüfer
Der Scope
Der Verantwortliche
Die Prüfung 30 + 10
SOM Prozesse
Die Lizenzvorschriften
 Interne und externe Zugriffe
 Industrial Devices
 Gebrauchte Software
 Die Konsequenzen: Keine Panik, oder doch?
DGRI
Folie Nr. 2
26.10.2015
Auditankündigung
 Nahezu alle Hersteller behalten sich das Recht zur
Überprüfung des Lizenzierungsstandes bei ihren
Kunden vor.
-
DGRI
Microsoft:
"Sie müssen über die Produkte, die Sie und Ihre verbundenen Unternehmen unter
einem Lizenzvertrag laufen lassen, Aufzeichnungen führen. Wir sind berechtigt, die
Einhaltung der Lizenzverträge auf eigene Kosten während der Laufzeit des
jeweiligen Lizenzvertrages und eines Beitrittes sowie für ein Jahr danach zu
überprüfen.
Wir werden hierfür einen unabhängigen Buch- oder Wirtschaftsprüfer einer
international anerkannten Wirtschaftsprüfungsgesellschaft, welche
Vertraulichkeitsverpflichtungen unterliegt, beauftragen. Die Überprüfung wird
mindestens 30 Tage vorher angekündigt und findet während der normalen Geschäftszeiten in einer Art und Weise, die Ihre normale Geschäftstätigkeit nicht
unangemessen beeinträchtigt, statt. Alternativ können wir Sie auffordern, unseren
Eigenprüfungs-Fragebogen in Bezug auf die Produkte für Sie und Ihre
verbundenen Unternehmen, die an einem Lizenzvertrag teilnehmen, korrekt
auszufüllen.“
Folie Nr. 3
26.10.2015
Auditankündigung
Ankündigung der Lizenz-Plausibilisierung
• Mit der Nominierung zu einer Lizenz-Plausibilisierung teilt Microsoft Ihnen die Rahmenparameter mit
• Beauftragtes Wirtschaftsprüfungsunternehmen (z.B. KPMG, Rölfs Partner, etc.)
• Zeitrahmen der Lizenz-Plausibilisierung
• In der Regel recht kurzfristig, es besteht jedoch die Möglichkeit die Termine mit dem
Wirtschaftsprüfer abzustimmen
• Aufforderung des Wirtschaftsprüfers einen Lizenz-Audit-Fragebogen vor dem Vor-Ort-Termin zur
Verfügung zu stellen
DGRI
Folie Nr. 4
26.10.2015
Auditankündigung
Lizenz-Audit-Fragebogen
• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:
• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.
• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, ITInfrastruktur
• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern
• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen
• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar
DGRI
Folie Nr. 5
26.10.2015
Auditankündigung
Lizenz-Audit-Fragebogen
• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:
• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.
• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, ITInfrastruktur
• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern
• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen
• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar
DGRI
Folie Nr. 6
26.10.2015
Die Prüfer
 KPMG
 Deloitte
 Rölfs & Partner
 BSA Business Software Alliance
 Microsoft SAM Team
 European Operation Center (MIOL)
DGRI
Folie Nr. 7
26.10.2015
Microsoft
DGRI
Folie Nr. 8
26.10.2015
Microsoft
DGRI
Folie Nr. 9
26.10.2015
Der Scope
 Vertrag / Verträge
Unternehmensstruktur
• Anzahl der Unternehmen / Gesellschaften
• Anzahl der Standorte
• Anzahl der Länder
IT-Infrastruktur (Kennzahlen)
• Anzahl der User
• Anzahl der Clients
• Anzahl der Server
DGRI
Folie Nr. 10
26.10.2015
Der Verantwortliche
 CIO
 Geschäftsführer/Vorstand
 Bereichsverantwortliche
DGRI
Folie Nr. 11
26.10.2015
Der Verantwortliche
WER HAFTET IN EINEM UNTERNEHMEN?




§ 31 BGB Organhaftung: das Unternehmen für seine Mitarbeiter
§ 31a BGB Verschulden: persönlich Haftung, wenn sie selbst eine Verantwortlichkeit für
Rechtsverletzungen trifft (Vorsatz, grobe Fahrlässigkeit)
§ 278 BGB Organisation: Geschäftsführer und Vorstände eines Unternehmens und dessen
Mitarbeiter (Erfüllungs- und Verrichtungsgehilfen)
§ 831 Abs. 1 BGB Organisationsverschulden: Exkulpationsmöglichkeit bei nachgewiesenem Einsatz
von Richtlinien und Prozessen (ordnungsgemäßen Auswahl und Leitung)
WOFÜR HAFTET EIN UNTERNEHMEN?

§ 101, S. 1 UrhG: Auskunftspflicht (Frist 30 Tage)
• Welche urheberrechtlich geschützten Produkte (§ 69a Abs. 3 UrhG) sind eingesetzt?
• Welche Berechtigungen (Lizenznachweise) habe ich dafür erworben?
• (ggf aus Vertrag): Wie ist die Zuweisung der Berechtigungen dokumentiert?
• Wie passen diese Daten zusammen (Compliance Status)?
• Wie wurden diese Daten ermittelt?
DGRI
Folie Nr. 12
26.10.2015
Der Verantwortliche
GLOBAL
Exkulpation
CEO
(Verantwortlich/Haftbar)
CIO
(Erfüllungsgehilfe)
Globaler Lizenz Manager
LOCAL
Exkulpation
Geschäftsführer
(Erfüllungsgehilfe)
(Verantwortlich/Haftbar)
IT Verantwortlicher
(Erfüllungsgehilfe)
Lokaler Lizenz Manager
DGRI
(Erfüllungsgehilfe)
Folie Nr. 13
26.10.2015
Die Prüfung
Vor-Ort-Plausibilisierung in Ihrem Unternehmen
• Der Wirtschaftsprüfer beginnt in der Regel mit einem Startgespräch, in dem der organisatorische Ablauf des
Besuchs abgestimmt wird, sowie die für die Plausibilisierung benötigten Unterlagen benannt werden
• Im Anschluss an das Startgespräch wird der Wirtschaftsprüfer die von Ihnen erhaltenen Daten auswerten
• Der Wirtschaftsprüfer wird die von Ihnen genutzten Microsoft Server Produkte im Rahmen von Installationstest
überprüfen:
• z.b. auf Basis des Active Directory, Update Protokolle von Virenscannern, Admin-Konsole von Exchange und
Citrix, etc.
• Ergänzend werden Installationstest an PCs durchgeführt, d.h. Sie werden gebeten, die installierte Software an
ausgewählten Systemen anzuzeigen
• In einem Abschlussgespräch wird der Wirtschaftsprüfer Ihnen die Ergebnisse im Entwurf präsentieren und
eventuelle Fragen klären
DGRI
Folie Nr. 14
26.10.2015
SOM Prozesse
 4 Stufige Einteilung aller Prozesse
 Ergebnis: Schwachstellen in der Prozessstruktur fließen in die Schätzung ein
DGRI
Folie Nr. 15
26.10.2015
SOM Prozesse
 10 Fragen zur Überprüfung des Umgangs mit Software
ISO 19770-1 Kategorie
Kernkompetenz
Frage
Organisationsmanagement
SAM organisationsweit
Wie wird das Software-Ressourcenmanagement (dokumentierte Verfahren, Rollen,
Verantwortlichkeiten und Executive-Sponsoring) in den einzelnen Infrastrukturgruppen umgesetzt?
Organisationsmanagement
SAM-Optimierungsplan
SAM-Inventar
Hardware- und
Softwareinventar
SAM-Inventar
Korrektheit des Inventars
Wie viel Prozent der PCs und Server werden in einem zentralen Softwareinventar/CMDB
(Configuration Management Database) erfasst? Wie viel Prozent der PCs und Server werden aktuell
von einem Tool zum Verwalten der Hardware und Software erfasst und gepflegt?
Wie häufig wird das Softwareinventar mit anderen Quellen abgeglichen, um die Korrektheit der
Lizenzangaben (zum Beispiel Nutzerzählungen auf Basis von Personaldaten) zu überprüfen?
SAM-Verifizierung
Dokumentation der
Lizenzberechtigungen
Wie viel Prozent der erworbenen Softwarelizenzen werden in einem Lizenzberechtigungsinventar
dokumentiert (zentrale Datenhaltung/Verfolgung aller erworbenen Lizenzen)?
SAM-Verifizierung
Regelmäßige
Selbstüberprüfung
SAMProzessmanagement
und -Schnittstellen
Schnittstellen zum
Lebenszyklusprozess
ProzessmanagementSchnittstellen
Beschaffungsprozess
Schnittstellen zum
Lebenszyklusprozess
Bereitstellungsprozess
Schnittstellen zum
Lebenszyklusprozess
Ausmusterungsprozess
DGRI
Verfügt Ihre Organisation über einen abgesegneten Plan zur eigenständigen Optimierung von SAM?
Wie häufig wird die eingesetzte (verwendete) Software mit den vorhandenen
Softwareberechtigungen (erworbenen Lizenzen) abgeglichen? Softwareberechtigungen sind
erworbene Softwarelizenzen.
In welchem Maß nutzen die Prozessmanagementfunktionen (Verträge, Anlagevermögen,
Servicesupport, Sicherheit, Netzwerkbelange) die Software- und Hardwareinventare?
Wie viel Prozent der in Ihrer Organisation insgesamt erworbenen Software werden über eine zentrale
Beschaffung eingekauft, gesteuert und verfolgt?
Wie viel Prozent der organisationsweit auf PCs und Servern bereitgestellten Software (für alle
Betriebssysteme) werden durch zentrale Quellen oder über eine kontrollierte Verteilungsumgebung
installiert?
Wie viel Prozent der ausgemusterten Hardwareressourcen werden auf eine Weise verfolgt, die eine
Wiederverwendung der darauf befindlichen Software ermöglicht? Wie viel Prozent der installierten
Software werden beim Ausmustern der zugrundeliegenden Hardware erfasst und wiederverwendet?
Folie Nr. 16
26.10.2015
Management processes
Corporate Governance
Continuous
SAM reporting
Monitoring
SAM policies
Financial Management
Assuring
SAM Awareness
Internal
SAM Audit
Planning
IT budget
Planning
SAM budget
SAM Relationship Management
Managing
financial risks
SAM Service Management
Supplier Management
Roles and Responsibilities
for SAM
Managing SAM Scope
Outsourcing management
Continuous staff training
Service Level Management
for SAM
Monitoring
Product lifecycle
Review SAM processes
Contract
management
Continuous
SAM Improvement
Verification & Compliance processes
Monitoring Major
organizational
change
Monitoring
license contracts
Underlicensing
Overlicensing
Verification of
server access
Verification of
inventory data
Risk assessment
Calculation license status
Uninstall
Software
Software request
Retirement
Order
Hardware
Retirment
Core Asset
Management
processes
Identify license
need (Client)
Archiving of
old licenses
Retirement
Order
Identify license
need (Server)
Inventory Management
Application Lifecycle
processes
Operation
(technical) Procurement
Moving
Hardware
change
Receive Installation medium
Release
Management
Incident
Management
Problem
Management
Change
Management
ConSalt Breakout April 2014
Software
Inventory
Hardware
Inventory
License
Contracts
User
Software
Usage
Organization Service/
Software
catalog
SAM Data Interface
Deployment
Software
installation
Delivering
Installation Key
Server
Access
Hosting SAM Technology
Service &
Configuration
Management
License
Lifecycle processes
Optimization (commercial)
Procurement
Internal
procurement
License
optimizing
License
maintenance
External
procurement
Good Receiving
Assignment
License
assignment
License
registration
Archiving
proof of license
Folie Nr. 17
26.10.2015
Die Lizenzvorschriften
 Bekannte Schwachstellen
 Interne und externe Zugriffe
 Industrial Devices
 Gebrauchte Software
DGRI
Folie Nr. 18
26.10.2015
Die Konsequenzen
Hersteller
Audit Aktivitäten
Risiko
Oracle
Viele Audit Aktivitäten mit einer eigenen „Audit-Abteilung“ LMS (license
management services). Sehr analytisches Vorgehen beim Abschätzen der finanziellen
Chancen.
erhebliches Risiko

Microsoft
Hohe Aktivität in Verbindung mit Vertragsverhandlungen. Zusammenarbeit mit
Wirtschaftsprüfern.
erhebliches Risiko

Adobe
Viele Aktivitäten mit teilweise sehr aggressivem Verhalten.
erhebliches Risiko

SAP
Keine expliziten Audits per Definition. Eine jährliche Systemvermessung ist
Vertragsbestandteil. und wird mit dem SAP-eigene Tool LAW (License Administration
Workbench) durchgeführt.
erhebliches
finanzielles Risiko

IBM
Sporadische Audit-Aktivitäten in Zusammenarbeit mit dem Wirtschaftsprüfer (KPMG)
normales Risiko

DGRI
Folie Nr. 19
Symbol
26.10.2015
Die Konsequenzen
KPMG
Keine Panik – möchten Geld
DGRI
Folie Nr. 20
26.10.2015
Coming together is a beginning.
Keeping together is progress.
Working together is success.
(Henry Ford 1863-1947)

Download Report