Bei manchen Softwareprodukten hat man die Wahl, ob man userbasiert oder gerätebasiert lizenzieren will. Beide Modelle haben ihren Charme, aber auch ihre Tücken. Lesen Sie in welcher Situation welches Modell besser ist und welche Probleme es zu umschiffen gilt.
Ich möchte die Gelegenheit nutzen, dieses Thema etwas ausführlicher zu beleuchten – ganz so einfach, ist das nämlich leider nicht zu beantworten. Zumal unterschiedliche Aspekte berücksichtigt werden sollten: Neben den Gesamtkosten für die Lizenzen spielt nämlich auch eine Rolle, ob die Compliance im jeweiligen Lizenzmodell überhaupt sichergestellt werden kann. Dazu später mehr.
Alles eine Frage der Kosten?
Bei der Einschätzung der Kosten schießt einem oftmals der Gedanke in den Kopf: Wovon habe ich denn mehr: Geräte oder User?
Stellt sich die Frage des Lizenzmodells im Zusammenhang einer flächendeckend über alle User oder Geräte zu lizenzierenden Software, ist dies tatsächlich die einzig relevante Frage. Ist die Anzahl der User geringer als die Anzahl der Geräte, so ist (bei gleichen Kosten der Einzellizenz im jeweiligen Modell) das User-Modell günstiger. Insbesondere dann, wenn die Nutzung nicht nur von einem Desktop-Gerät erfolgt (erfolgen kann) und man vielmehr sämtliche netzwerkfähigen Geräte zählen und lizenzieren muss (als Beispiel zählt hier die Core-CAL-Suite von Microsoft).
Die Form der Softwarebereitstellung spielt eine wesentliche Rolle.
Oftmals stellt sich die Frage des Lizenzmodells aber auch bei Software, die nur für bestimmte User oder Geräte lizenziert werden soll. Nun wird es spannend: Hier muss man berücksichtigen, welche Form der Softwarebereitstellung bzw. Nutzung im jeweiligen Unternehmenskontext ermöglicht wird.
Da haben wir zum einen die traditionelle Form der Bereitstellung: über eine lokale Installation am PC/Notebook. Diese lässt sich oftmals mit dem Einsatz einer Scanlösung (z. B. Microsoft SCCM, Matrix42 Empirum, Frontrange bis hin zu frei verfügbaren Skripten usw.) auslesen und so inventarisieren. In diesem Szenario hat die Gerätemetrik ihre Stärken. Denn während sich das Vorhandensein einer Installation leicht identifizieren lässt, ist die Identifikation der User, die diese Installation nutzen, ungleich schwerer (wenn mehrere User das gleiche Gerät nutzen können).
Das Gegenteil ist der Fall, wenn die Bereitstellung bzw. die Nutzung über eine Virtuelle Desktop Infrastruktur (VDI) wie bspw. mittels Citrix erfolgt. Während hier oftmals klar ist, welcher User eine Berechtigung für das jeweilige System und im Optimalfall auch für die jeweilige Software hat, lässt sich nur schwer feststellen, über welches Gerät die Nutzung erfolgt. Gerade die geräteunabhängige Nutzung ist ja der Hauptvorteil der VDI.
Wichtiger Hinweis: In diesen Szenarien sind oftmals die zugreifenden Geräte und nicht der Server, auf dem die Software installiert ist, lizenzpflichtig!
Eine gerätebasierende Lizenzierung im Zusammenhang mit VDI kann dann sogar zu einem regelrechten Complianceproblem führen, was gerne in Auditsituationen thematisiert wird.
Können die zugreifenden Geräte nicht plausibel eingegrenzt werden, müssen im Zweifel alle Geräte lizenziert werden.
Mögliche Lösungen
Mit etwas Glück reicht einem Auditor in der Auditsituation schon eine Zuordnungsliste, aus der hervorgeht, welcher User „im Normalfall“ mit welchem Gerät arbeitet. Die Chancen stehen insbesondere dann gut, wenn der User technisch kein anderes Gerät nutzen kann (weil er nur für sein eigenes Gerät berechtigt ist). Bei Roaming Profiles oder der Möglichkeit des Fernzugriffs, welche es hingegen erlauben, dass ein User faktisch jedes Gerät nutzen kann, sinken die Chancen jedoch.
In jedem Fall bessere Chancen haben Sie, wenn Sie belegen können, welcher User von welchem Gerät zugegriffen hat. Hier helfen Scan-Tools, die den Zugriff von Usern und Geräten protokollieren. Problem dabei ist, dass dies schon sehr nah an Metering heranreicht – mit all seinen organisatorischen Herausforderungen, wenn protokolliert wird, welcher User, wann und mit welchem Gerät, welche Anwendung genutzt hat.
Die größten Chancen haben Sie, wenn Sie mittels technischer Hilfsmittel verhindern, dass ein nicht lizenziertes Gerät auf eine Software zugreift, bzw. diese startet (Stichwort: Ausführungsverhinderung).
Ist auch dies keine Option, bleibt Ihnen nur der Verzicht auf entsprechende VDI-Technologien (zumindest im Zusammenhang mit der fraglichen Software), die Ausgabe dieser Software mit einem Notebook oder die Verhandlung von entsprechenden Regelungen (Nebenabreden) in den Lizenzverträgen.
Zusammenfassung
Wird Software lokal auf den Geräten installiert und können mehrere User ein und dasselbe Gerät nutzen (bspw. Roaming Profiles), ist das User-Modell im Nachteil und eine Gerätemetrik sollte gewählt werden.
Wird die Software jedoch zentral auf einem Server bereitgestellt und berechtigte User können beliebige Geräte nutzen, sollte die User-Metrik gewählt werden.
Bieten Sie Ihren Anwendern beide Formen der Softwarenutzung, bleibt Ihnen nicht viel anderes übrig, als über die zuvor skizzierten organisatorischen oder technischen Alternativen/Optionen nachzudenken.