Überprüfung der IBM Software-Lizenzierung: So vermeidet man unangenehme Überraschungen

In den vergangenen 15 Jahren zählte IBM hinsichtlich von Aktivitäten zur Überprüfung der korrekten Lizenzierung seiner Kunden mit zu den aktivsten Software-Herstellern. Nachdem die Überprüfungen Covid-bedingt global stark nachließen, laufen sie momentan wieder verstärkt an. Zudem wurden die Metriken durch die Einführung von IBM Cloud Paks zwischenzeitlich nochmals wesentlich komplexer. Stichwort: Das neue Container-Lizenzierungsmodell, das auf individuellen Umrechnungs-Ratios der gebündelten Programme und  Virtual Processor Core (VPC)-Metriken basiert. Welche Möglichkeiten haben Unternehmen, um zu prüfen, ob sie mit ihrer IBM-Lizenzierung noch auf der sicheren Seite sind und darüber hinaus, Kosten zu sparen und ihre IBM Investitionen zu optimieren? Mit diesen Fragen beschäftigt sich dieser Blogbeitrag.

IBM wendet in Regel drei verschiedene Verfahren zur Lizenzüberprüfung an:

1. Die Selbstauskunft (Self Assessment) – IBM fordert einen Kunden zu einer Selbstauskunft auf. Der Hersteller verlässt sich dann auf die vom Kunden zur Verfügung gestellten Daten. Dabei kann es seitens des Herstellers allerdings auch zu so genannten „Test“-Aktivitäten kommen - also etwa zu einem Stichprobentest der gesamten IT-Umgebung und Daten-Vollständigkeits-Prüfungen.  Die klassischen „Test“-Aktivitäten (beispielsweise Stichprobentest der gesamten IT-Umgebung und Daten-Vollständigkeits-Prüfungen) sind dann in der Regel nicht Teil der „Selbstauskunft“. IBM führt diese Form der Lizenzüberprüfung normalerweise nur bei kleineren Kunden durch oder mit einer Beschränkung auf bestimmte Produkte – etwa solche, bei denen der Hersteller aus irgendeinem Grund vermutet, dass Fehler in der Lizenzierung vorliegen könnten. Je nach dem Verlauf oder Ergebnis der Selbstauskunft kann sich IBM natürlich dazu entschließen, die „Selbstauskunft“ in ein offizielles Standard-Audit umzuwandeln.
2. Das Standard-Audit – Ein Standard-Audit wird von IBM in Zusammenarbeit mit einem externen Prüfer (Deloitte oder KPMG) durchgeführt. Das Audit basiert auf der in der Passport Advantage-Vereinbarung enthaltenen Klausel „Compliance Verification“ und ist die „invasivste“ Form der Verifizierung. Invasiv, weil der Prüfer die Bereitstellung und Nutzung der IBM-Programme der letzten 2 Jahre analysiert und den Kunden auffordert, Skripts auszuführen (positive und negative) sowie Stichprobentests durchzuführen. Normalerweise steht auch ein Besuch beim Kunden vor Ort auf dem Programm; alternativ findet dieser Kontakt auch online statt. 
   Als Faustregel gilt, dass jeder Kunde von IBM alle 2-4 Jahre auditiert wird.
3. Das IBM Authorized SAM Provider Program (IASP) – IASP ist ein von ausgesuchten IBM Partnern durchgeführtes Programm zur Selbstauskunft, bei dem IBM vorab bereits genau alle Einzelheiten, sowie die Art und Weise, in der Berichte zur IBM Nutzung gehandhabt werden müssen, definiert hat. Hierbei wählt der Kunde einen der wenigen, von IBM autorisierten Partner (Anglepoint, KPMG, EY oder Deloitte) als seinen IASP-Serviceanbieter aus.
   Als Vorteile für die Kunden stellt IBM zwar neben einer Verminderung von Audits, bei längerer Nutzung des Programms auch eine Vertragsoptimierung in Aussicht. Tatsächlich bedeutet das Programm für Kunden jedoch auch, dass sie sich in einem „immerwährenden Audit“ befinden, bei dem sich der Kunde verpflichtet, die vom IASP Partner ausgewiesenen Nutzungsdaten an IBM zu übermitteln und eventuell vorhandene Unterlizenzierungen unverzüglich auszugleichen.

Was haben all diese Formen der Überprüfung gemeinsam?

Alle oben genannten Überprüfungsverfahren haben einige Aspekte gemeinsam. 

• Erstens werden sie hauptsächlich von Big 4-Prüfern durchgeführt, die von IBM beauftragt und bezahlt werden, um ihre Dienstleistung zu erbringen. In der Natur all dieser Prüfungen, einschließlich des IASP, liegt es, dass sie das Hauptaugenmerk natürlich auf das berechtigte Anliegen des Herstellers IBM richten müssen, die unlizenzierte Nutzung von Produkten festzustellen. Aus Sicht des Kunden stellt sich dabei natürlich die Frage, ob und wie weit der Fokus darüber hinaus auch auf der Optimierung seiner eigenen Governance-Struktur und vor allem der Kosten liegen kann.
• Zweitens enden alle geschilderten Auditaktivitäten - wie die aller anderen Software-Hersteller natürlich auch – meist immer mit einer kommerziellen Einigung zwischen den beiden Parteien, geht aber in der Regel nicht mit einer Reduzierung der IBM Ausgaben und der damit verbundenen jährlichen Wartungskosten einher. 

Wie optimiert man eigene Überprüfungen?

Wie aber bereitet man sich idealerweise vor und stellt darüber hinaus auch sicher, dass jedes der Programme zur Lizenzüberprüfung auch dem eigenen Unternehmen einen Mehrwert bietet - etwa hinsichtlich der Optimierung von Governance und Kosten? Es gibt mehrere Aspekte, die ein Kunde dazu unbedingt berücksichtigen muss:

• Der Zeitpunkt: Lizenzüberprüfungen erfolgen in der Regel zu einem unerwarteten Zeitpunkt, sollen den normalen Geschäftsbetrieb jedoch nach Möglichkeit nicht beeinträchtigen. Um Zeitdruck zu vermeiden, sollten Unternehmen unverzüglich einen für sie geeigneten Zeitplan vorschlagen und vereinbaren. Schließlich ist es das Ziel von IBM und damit auch des externen Prüfers, die Einnahmen aus der Nutzung der Software zu maximieren und nicht, die Überprüfung über das notwendige Maß hinaus in die Länge zu ziehen.
• Die Methodik: Unternehmen sollten bedenken, dass sie das Recht haben, sich unter Einhaltung der vereinbarten Vertragsbedingungen sowohl auf den zum Tragen kommenden Prozess sowie auch die bei der Datenerfassung zur Anwendung kommende Methodik zu einigen. Dabei sollte auch sichergestellt sein, dass nur diejenigen Informationen weitergegeben werden, die für den vereinbarten Prüfumfang auch wirklich relevant sind. Es empfiehlt sich, im Vorfeld zu validieren, welche Auswirkungen hinsichtlich Leistung und Sicherheit die externen Skripts haben, die ausgeführt werden sollen. Fragen sind vorab zu klären: 
  Wer haftet finanziell für Probleme bei der Leistung oder sogar Ausfällen bei geschäftskritischen Systemen, die durch diese Skripte verursacht werden? Ist die Wirtschaftsprüfungsgesellschaft hier zu einer finanziellen Haftung bereit?
• Alternative Optionen Es gibt Software Asset Management-Programme, die von Lizenzexperten durchgeführt werden, die dieselbe datengesteuerte Methodik verwenden, wie auch die Auditoren. Der Unterschied liegt darin, dass diese Experten den Fokus auf Kosteneinsparung des Kunden legen und in diesen Prozess nicht unbedingt den Hersteller selbst mit einbeziehen müssen.