Klassisch serverbasierte On-Premise-Software, Software-Virtualisierung, Infrastruktur-, Plattform- und Software as a Service im lupenreinen, rein nutzungsbasierten Cloudbetriebsmodell oder doch besser in einer hybriden Infrastruktur mit dem Besten aus beiden Welten? Die komplexen Welten des zeitgenössischen industriellen Computings finden ihren Niederschlag auch in vielfältigen, meist herstellerspezifischen Lizenzierungsmodellen. Die Gefahr ist groß, sich im Tarifdschungel der Volumen-, Leistungs- oder Nutzungsabrechnungsmodelle zu verlieren. Lizenzverstöße können teuer werden. CIOs sind daher gut beraten, sich über ein ausgefeiltes Lizenzmanagement auf dem aktuellen Stand zu halten.
"Die erste große Herausforderung für das klassische Soft-ware-Lizenzmanagement kam mit dem Thema Virtualisierung auf", analysiert Christian Tueffers, Cloud Computing-Koordinator bei Accenture für Deutschland, Österreich und die Schweiz (DACH). Bereits auf der Ebene der On-Premise-Software hat man sich hierbei von der zugrundeliegenden IT-Infrastruktur gelöst. Die meisten Software-Lizenzen, die im Einsatz sind, richten sich nach der Nutzerzahl oder der Anzahl und Leistung der Prozessoren. Tueffers: "In einer virtuellen Infrastruktur dagegen ist es sehr schwierig, exakt zu bestimmen, wie viel Kapazität wirklich genutzt wird und ob das tatsächlich dem entspricht, was lizenziert worden ist oder nicht."
Virtuelle CPUs werden in der Praxis des Lizenzmanagements heute weitgehend der physischen Prozessorleistung gleichgesetzt: "Die Hersteller gegen davon aus, dass anstelle der Maximalnutzung der virtuellen Instanzen auch die maximale physikalische Infrastruktur genutzt werden könnte", so Tueffers. Der Cloud- und Lizenzexperte würde sich von den Herstellern allerdings mehr Flexibilität wünschen: Völlig ohne die Cloud bestünde für viele Unternehmen somit bereits Gefahr, sich in einem komplexen Lizenzierungsdschungel zu verlieren und im schlimmsten Falle saftige Vertragsstrafen berappen zu müssen.
Einer der möglichen Auswege sei es, sich über den Aufbau eines Lizenzmanagements – mit oder ohne Tool – über die im Unternehmen installierte oder genutzte Software auf dem Laufenden zu halten. Tueffers: "Erschwerend kommt noch hinzu, dass einige Anbieter in ihren Lizenzverträgen die Nutzung einer virtuellen Infrastruktur ausgeschlossen haben, obwohl diese technisch möglich wäre."
- 9 Basisanforderungen an einen Cloud-Vertrag
Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen. - 1. Zugangsrechte
Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern. - 2. Gesetzliche Compliance
Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz. - 3. Anwendungszertifikate
Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen. - 4. Datenursprung
Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen. - 5. Datentrennung
Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen. - 6. Datenwiederherstellung (Recovery)
Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln. - 7. Transfer der Applikationen
Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig. - 8. Business Continuity
Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen. - 9. Monitoring und Reporting
ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.
Neue Lizenzmodelle für die Cloud
Einige Komplexitätsgrade obendrauf birgt der Weg in die Cloud. Zwei Fälle sind zu unterscheiden: zum einen Software as a Service (SaaS), wobei ein Provider einen kompletten Service anbietet. Tueffers: „Die Applikation ist sozusagen fertig und steht den Nutzern komplett als Service zur Verfügung.“ Das Lizenzmodell zwischen Nutzer, Anwenderfirma und Provider ist mit cloudspezifischen Bedingungen wie beispielsweise einem Abrechnungsmodell nach tatsächlicher Nutzung, klar und eindeutig geregelt.
Bei den dem Cloudbetriebsmodell ebenfalls zugrundeliegenden Varianten Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) ist das schon deutlich komplexer. "Bei Infrastructure as a Service wird beispielsweise nur Rechenkapazität zur Verfügung gestellt: Server mit einem entsprechenden Leistungsspektrum", so Tueffers. Offene Fragen bleiben: Wie gehen Anwender mit den Betriebssystemlizenzen um? Kann beispielsweise der Windows-Server mit dem momentanen Lizenzmodell darauf installiert werden? Die Spitze des Eisbergs: Platform as a Service. Neben dem Betriebssystem verfügt man auf dieser unterlagerten Cloudebene eventuell noch über ein eigenes Datenbanksystem und mehrere Applikationsserver – selbstverständlich mit jeweils unterschiedlichen Lizenzierungsmodellen.
Jedes Produkt mit eigenem Bepreisungsmodell
Manche Cloud-Provider bieten an, bereits vorhandene On-Premise-Lizenzen weiterzunutzen. Bei anderen Anbietern wiederum herrschen entsprechend eigene Lizenzbestimmungen, die das Cloudbetriebsmodell entsprechend einpreisen. Oftmals sind die Lizenzbestimmungen sogar innerhalb eines Providers – wie beispielsweise bei Microsoft und SAP – von Produkt zu Produkt unterschiedlich geregelt. "Im Hause SAP hat jedes Produkt ein eigenes Bepreisungsmodell", bestätigt Bert Schulze, VP Co-Innovation für die Cloud Suite der SAP. Gängige Metriken sind die Anzahl der Nutzer, der Mitarbeiter oder der Kundendatensätze. Auch die ausgeführten Transaktionen oder die Prozessorleistung können für die Lizenzierung herangezogen werden. Schulze: "Beim Cloud Computing kommt der Mietkauf noch hinzu."
Ähnlich sieht es bei Microsoft aus, das diverse Lizenzmodelle für die Cloud anbietet - wenn auch nicht in der gleichen Vielfalt wie bei seinen klassischen Produkten. "Es kommt immer darauf an, wie und für welche Zwecke der Service genutzt wird", sagt Claudia Fischer, als Volume Licensing Lead verantwortlich für die Lizenzmodelle bei Microsoft Deutschland. Bei der Cloudplattform Azure beispielsweise wird der tatsächlich genutzte Service abonniert. Klassische Lizenzmodelle mit Server- und Zugriffslizenzierung gehören dort faktisch der Historie an. Fischer: "Die Online-Services für E-Mail, Instant Messaging und weiterer Office-365-Lösungen dagegen orientieren sich mit einer Lizenzierung pro Nutzer noch eher an den klassischen Lizenz-Metriken."
Auf ihrem Weg in die Cloud sind die Anwender auf jeden Fall gut beraten, sich für jede einzelne Komponente exakt anzuschauen, ob das derzeitige Lizenzmodell auch den Einsatz in der Cloud erlaubt oder nicht. Tueffers: "Allen gängigen Varianten ist gemeinsam: Mit den ganzen Problematiken muss sich der Nutzer selbst auseinandersetzen – in der Pflicht, alles richtig zu machen, steht stets das einsetzende Unternehmen." Cloud Computing ist im Unterschied zu SaaS, On-Demand etc. nach wie vor ein sehr weit gefasster Begriff. In rechtlicher Hinsicht sei es unabdingbar, seinen Vertrag entsprechend schnell terminieren zu können – und zwar in beide Richtungen. Tueffers: "Das gehört – genauso wie Transparenz in der Verbrauchsnutzung und auch in der Abrechnung – einfach dazu." Auch hiefür gibt es verschiedene Abrechnungsmodelle. In der Praxis ganz weit vorne liegen die Gigahertz-Kapazität der CPUs pro Stunde oder im SaaS-Umfeld die Anzahl der Nutzer respektive Log-ins pro Monat.
Fehlender Standard
Cloud Computing oder On-Premise-Software? Immer mehr Anwender lösen diese Gretchenfrage mittlerweile mit einem klaren "sowohl als auch". Führende Hersteller wie Microsoft, SAP und IBM geben daher mittel- und langfristig dem Hybrid-Modell die besten Chancen, sich am Markt zu behaupten. Aus dem Blickwinkel des Lizenzmanagements ist dabei vor allem zu beachten, ob bereits existierende Lizenzen auch in der Cloud eingesetzt werden dürfen oder nicht. Tueffers: "Idealerweise wünscht man sich einen einheitlichen Standard. Diesen gibt es in der Branche momentan leider nicht." Ein Defizit, das von vielen Anbietern gar nicht oder sehr individuell gelöst wird. Es kann daher leicht die Situation eintreten, dass ein Unternehmen eigentlich genug Lizenzen besitzt, diese aber nicht in der Cloud nutzen darf. Tueffers: "Unser Wunsch wäre es, dass – sowohl On-Premise als auch in der Cloud – ein einheitlicher Rahmen dafür geschaffen wird, wie Software-Lizenzen genutzt werden können."
- IDC-Analyse über Cloud Computing
Für die Studie „Hybrid Cloud in Deutschland 2014“ hat der Marktforscher IDC IT-Chefs aus rund 200 Unternehmen befragt. - Kostensenken wird wichtiger
Als eine der wichtigsten Anforderungen an die IT gilt das Senken von Kosten. 48 Prozent der Befragten nennen diesen Punkt, in der Vorjahresstudie waren es mit 38 Prozent deutlich weniger. IDC spricht denn auch vom „zunehmenden Druck auf die IT-Budgets“. - Status Quo der Cloud-Nutzung
Nach den Zahlen der Studie nutzt gut jedes vierte Unternehmen (27 Prozent) Cloud Services, weitere 18 Prozent führen sie im Moment ein. 19 Prozent schließen die Cloud-Nutzung aus oder haben sich mit dem Thema noch nicht beschäftigt. - Externe Herausforderungen
Größte externe Herausforderungen beim Management einer hybriden Cloud sind Fragen der Sicherheit (65 Prozent) und Compliance (41 Prozent). - Interne Herausforderungen
Als größte interne Herausforderungen betrachten die IT-Chefs das Anpassen der Geschäftsprozesse (36 Prozent) und die steigende Komplexität der IT-Umgebungen (35 Prozent) sowie die aufwändige Integration der hauseigenen IT-Umgebung an die Cloud-Services (32 Prozent). - Software-Defined Datacenter
Als Brücke zwischen interner (physischer und virtualisierter) IT-Umgebung und externen Hosted oder Public Cloud Services sieht IDC ein Software-definiertes Datencenter (SDDC). Darin bündeln und automatisieren gekoppelte Software-Komponenten das Rechenzentrums-Provisioning.
Im Lizenzbereich sei man mittlerweile so weit, einen einheitlichen Standard aufzusetzen, an den sich alle Beteiligten - sowohl die Vendoren als auch die Anwender - halten können. Tueffers: "In Zusammenarbeit mit den Branchenverbänden könnten einheitliche Standards geschaffen werden, die es den Anwendern erleichtern in die Cloud zu gehen und damit gleichzeitig für Rechtssicherheit sorgen."