Unternehmen investieren in der Regel 25 Prozent ihres IT-Budgets in Software. Aber anders als bei Sachwerten wie Schreibtische, Stühle oder Maschinen, lässt sich Software nur sehr schwierig nachverfolgen und inventarisieren. Ein Blick auf die Anzahl von Desktops, Laptops, mobilen Geräten, Servern und Cloud-basierten Anwendungen in einem Unternehmen, auf denen Software installiert ist, macht das nur zu deutlich.
Wo genau Software auf den Geräten vorhanden ist, macht dabei nur einen Aspekt aus. Viel wichtiger ist es oft, einen Überblick zu haben, wie diese Software genutzt wird und ob diese Nutzung den vertraglichen Compliance-Richtlinien entspricht. Liegt die tatsächliche Nutzung über den vereinten Bedingungen, liegt ein Lizenzverstoß vor und das Unternehmen muss mit außerplanmäßigen Ausgleichszahlungen und Strafen rechnen. Diese können sich pro Jahr und je unlizenzierter Anwendung auf mehrere Millionen Euro belaufen. Nutzen Unternehmen ihre Lizenzen nicht voll aus, zahlen sie den vollen Preis für eine Ware, die sie kaum oder gar nicht benutzen.
Laut einem aktuellen IDC-Report, verschlingt das komplexe Management von Softwarelizenzen in Unternehmen indirekt durchschnittlich 25 Prozent des jährlichen Budgets für Softwarelizenzen. Unternehmen setzen daher mehr und mehr auf umfassende Programme zur Softwarelizenzoptimierung, die Mitarbeiter, Prozesse und Automatisierungswerkzeuge einbeziehen. So lassen sich unwirtschaftliche Ausgaben für Softwarelizenzen vermeiden und Compliance-Risiken im Zusammenhang mit nicht verwalteter Software niedrig halten.
Security-Risiken durch schlecht verwaltete Software
Softwarebestände, die nicht richtig gepflegt und verwaltet werden, verursachen enorme Risiken für die Cyber-Security in Unternehmen. Viele Organisationen haben sich daher diesem Thema angenommen und eine Reihe von Sicherheitsstandards und Rahmenvorgaben entwickelt. Dazu gehört auch das SANS Institute, das eine Prioritätenliste von Sicherheitsmaßnahmen erstellt hat, das Unternehmen vor realen Bedrohungen im Netz wappnen soll. Ganz oben auf der Liste: Unternehmen müssen in der Lage sein, ihre gesamte Hardware aktiv zu verwalten - einschließlich Inventarisierung, Nachverfolgung und Fehlerbehebung. Die zweite wichtige Maßnahme konzentriert sich auf die Inventarisierung von autorisierter und nicht autorisierter Software.
Wie zentral das Software Asset Managements (SAM) für die Cybersecurity ist, verdeutlichte auch der Business Software Alliance (BSA)/IDC-Report. Je mehr Software demnach unlizenziert auf den Rechnern eines Unternehmens läuft, desto höher ist das Risiko von Malware. Das Fazit der Experten: Unternehmen müssen nicht lizenzierte Software auf ein Minimum reduzieren, um die Sicherheit ihrer Netzwerke gewährleisten zu können.
Allein im Jahr 2014 konnten 15.435 Schwachstellen in 3.870 Softwareprodukten entdeckt werden. Das bedeutet einen Anstieg von 55 Prozent gegenüber dem Vorjahr und setzt den Trend der letzten fünf Jahre fort. Für 83 Prozent aller Sicherheitslücken stehen bereits am Tag der Veröffentlichung Patches zur Verfügung. Im Klartext heißt das: Jede Schwachstelle kann behoben werden, Unternehmen müssen nur wissen, wo sie zu finden sind. Software Vulnerability Management entwickelt sich daher zu einem wesentlichen Bestandteil innerhalb von Sicherheitskonzepten.
Sicherheit und Inventarisierung oft in getrennten Teams
Sowohl SAM als auch Cyber-Security erfordern als Grundlage die genaue, effiziente und kontinuierliche Identifizierung und Inventarisierung von Hardware- und Software-Assets innerhalb eines Unternehmens. Gleiches gilt auch für die Softwarelizenzoptimierung. Die Implementierung von Programmen zur Softwarelizenzoptimierung sowie das Entdecken und die Inventarisierung erfolgen dabei gewöhnlich über das IT Asset Management (ITAM) oder das SAM-Team in einer IT-Abteilung. In vielen Unternehmen werden also die Aufgaben Discovery und Inventarisierung gleich von zwei Abteilungen ausgeführt - einmal im IT-Sicherheits-Team und ein weiteres Mal im IT-Betriebs-Team.
Für Unternehmen ist es wichtig zu erkennen, dass scheinbar voneinander unabhängige Aufgaben - nämlich Softwarelizenzoptimierung und Software Vulnerability Management - von zwei getrennten Teams gleichzeitig übernommen werden. Diese "doppelte" Arbeit ist nicht nur ineffizient, kostspielig und zeitintensiv. Sie hebt auch das Risiko von Sicherheitslücken, da Cyberangriffe unbemerkt bleiben können.
In der Realität sind SAM und Cyber-Security schon längst untrennbar miteinander verknüpft. Die Prozesse dementsprechend anzupassen, ist daher für Unternehmen nur der nächste logische Schritt. Ziel ist es, die sich überschneidenden Aufgabenfelder auf schnellstem Wege zusammenzulegen. So können sie unnötige Softwareausgaben vermeiden und gleichzeitig Sicherheitslücken schließen. (wh)