Wenn man sich mit Lizenzmanagement und Cloud-Kostenoptimierung befasst, stößt man immer wieder auf die im Titel genannten Stichworte: SAM, ITAM – und neuerdings auch FinOps. Alle drei stehen für Management-Konzepte, die versprechen, Rechtssicherheit und Wirtschaftlichkeit in den Software-Einsatz zu bringen. Aber warum gibt es sie und worin unterscheiden sie sich? Dem möchte ich im Folgenden auf den Grund gehen.
Meine persönliche Reise durch die Welt des Software Asset- und Lizenzmanagements begann vor ca. 15 Jahren. Damals, in der Folgezeit der Finanzkrise, machte sich Microsoft einen unrühmlichen Namen mit der verstärkten Durchführung von Lizenzaudits bei seinen Kunden, um letztlich den eigenen Lizenzumsatz anzukurbeln. Meist freundlich verpackt in einem Angebot, das man nicht ablehnen konnte: „Wir helfen Ihnen, einen Überblick über Ihren Softwareeinsatz zu verschaffen, wodurch Sie Geld sparen können.“ Im Kern war das korrekt und stimmt auch heute noch: Nur wenn man weiß, was man einsetzt und was man besitzt, kann man dies auch optimieren. Wenn ein Softwarehersteller dies jedoch anbietet, sollte man evtl. hellhörig werden.
Der Start von SAM
Die Unternehmen wurden damals kalt erwischt. Selbst renommierte Konzerne waren mit den entsprechenden Auditankündigungen überfordert: Der Überblick über die IT-Landschaft fehlte, Transparenz über die eingesetzte Software und rechtssichere Nachweise zum rechtmäßigen Erwerb von Software war schlichtweg nicht gegeben – und man musste hektisch seine „Leichen im Keller“ finden und beseitigen.
Das Software Asset Management (SAM) hatte seine Blütezeit. Software als Asset (also als Vermögenswert mit hoher Bedeutung für die Geschäftstätigkeit) zu verstehen und professionell zu managen, leuchtete allen ein, die auch nur mal kurz einen Blick auf die jährlichen Softwareausgaben warfen.
Wie kann es sein, dass wir jährlich Millionen für Software ausgeben und hinterher nicht mal wissen wo, zu welchem Zweck, und was eigentlich wirklich benötigt wird?
SAM räumte hier auf. Der Lösungsansatz besteht darin, Prozesse (Arbeitsabläufe), Rollen (Tätigkeits- und Verantwortungsprofile) und Richtlinien (Verhaltensregeln) in der eigenen Organisation zu etablieren, die sicherstellen, dass Software stets rechtssicher und wirtschaftlich eingesetzt wird. So muss insbesondere ein hochrangiger „SAM-Owner“ etabliert werden, in dessen Verantwortung steht, sich regelmäßig den Status Quo, Fortschritte, Risiken und Errungenschaften berichten zu lassen. Von ihm muss ein Lizenzmanager benannt und befähigt werden, der diese Ziele verfolgen und deren Erreichung sicherstellen soll und kann.
Damals war SAM noch einfach und tatsächlich eine passende Lösung für das Problem der fehlenden Transparenz und der damit einhergehenden Compliance-Risiken: Man musste herausfinden und kontrollieren, welche Software wo und wie oft installiert ist und gleichzeitig überwachen, welche Lizenzen mit welchen Nutzungsrechten erworben wurden. Das konnte man dann gegenüberstellen – und schon hatte man eine Lizenzbilanz, die die Über- oder Unterlizenzierung auswies.
In 15 Jahren ist aber technologisch viel passiert. Lokale Installationen auf Clients oder Servern wurden und werden nach und nach ersetzt von Terminal Servern, virtuellen Desktops, Applikationsvirtualisierung und ähnlichem. Die Softwarehersteller reagierten darauf mit immer differenzierteren Lizenzmodellen. Die Folge: Das einfache Zählen von Installationen reicht schon lange nicht mehr aus. Man muss viel mehr über die Art und Weise der Softwarenutzung erfahren, um den korrekten Lizenzbedarf zu bestimmen: Über welche Technologien wird die Software genutzt? Welche Hardware kommt zum Einsatz? Wie viele (und welche) Prozessoren stehen der Applikation zur Verfügung? Erfolgt ein Zugriff auch über mobile oder gar private Endgeräte?
Aus SAM wird ITAM
Es reicht schlichtweg nicht mehr aus, nur die Software losgelöst zu betrachten. Mehr und mehr erhielten Informationen über die gesamte IT-Landschaft eine höhere Bedeutung. SAM musste sich weiterentwickeln, den Fokus vergrößern und wurde so zu ITAM, also IT-Asset-Management. Neben Informationen zur verwendeten Hardware spielt darin auch das Zusammenspiel von IT-Lösungen eine Rolle. Erst wenn das alles kontrolliert wird, kann man die weiterhin relevanten Ziele Rechtssicherheit und Wirtschaftlichkeit auch verfolgen und erreichen.
Aber auch das war bzw. ist nur ein Zwischenschritt. Inzwischen spielen auch Cloudlösungen und Software-as-a-Service-Angebote eine große Rolle in Unternehmen – und langsam auch in der öffentlichen Verwaltung. Dies stellt nun alles auf den Kopf. Entsprechende Cloud-Lösungen werden nur noch konsumiert und verbrauchsorientiert abgerechnet. Man besitzt so gesehen gar keine Assets mehr – man nutzt Assets anderer Unternehmen bzw. Anbieter und zahlt am Ende eine Nutzungsgebühr. Dadurch fällt vieles weg, was uns (den Software nutzenden Unternehmen und Behörden) in der Vergangenheit das Leben schwergemacht hat. Um das ganze „Technikgeraffel“ kümmern sich nun andere, ich muss gar nicht mehr wissen, wo was läuft, welche Hardware zu Einsatz kommt etc.
Also alles gut? Haben wir nun die heile Welt geschaffen, in der wir sorgenfrei leben und arbeiten können?
Leider nicht ganz. Auch wenn Compliance-Verstöße nun unwahrscheinlicher werden und die Gefahr der Unterlizenzierung sinkt, eines ist sicher: Die Rechnung des SaaS- oder Cloudanbieters kommt bestimmt. Soll heißen, Rechtssicherheit tritt in den Hintergrund, die Wirtschaftlichkeit hingegen tritt in den Vordergrund. Es ist bereits sehr (oder sogar zu) einfach, IT-Lösungen aus der Cloud zu konsumieren. Ein paar Klicks, und schon kann man eine SaaS-Lösung nutzen. Keine nervigen Diskussionen mit der IT darüber, welches Tool angeschafft werden muss, keine langen Evaluierungs-, Entwicklungs- und Testzeiträume mehr. Nur noch kurz online bestellen und kurz darauf loslegen. Ggf. auch an der IT vorbei – die halten doch eh nur auf…
Aber was, wenn sich jetzt jeder Enduser seine eigene SaaS-Lösung nach persönlichem Interesse beschafft? Ist das wirtschaftlich? Ist das kompatibel? Ist das sicher? Weiß er, was er da tut? Weiß er, welche Rechte, Pflichten und Risiken er eingeht? Und wie bekommen wir das unter Kontrolle?
Finanzen + DevOps = FinOps
Eine Lehre, die sich diesen Herausforderungen zu stellen versucht, ist FinOps. Dies ist eine Wortkreation bestehend aus „Finanzen“ und „DevOps“, was wiederum die moderne Form der effektiven und effizienten Zusammenarbeit zwischen Entwicklung (Development) und Betrieb (Operations) durch Nutzung von Cloudtechnologien beschreibt. Im Kern von FinOps steht daher die Optimierung von Cloudkosten, was gemäß der FinOps Foundation (Community, die FinOps (weiter-) entwickelt) nur durch einen moderierten kulturellen Wandel hin zur finanziellen Verantwortlichkeit der handelnden Akteure zu erreichen ist.
Die Lösung besteht also darin, die neuen Möglichkeiten durch Cloudtechnologien nicht direkt wieder zu verteufeln, sondern prozessuale und organisatorische Lösungen in Zusammenarbeit zwischen den Fachbereichen (die entsprechende Bedarfe besitzen, die mittels Cloud- oder SaaS-Lösungen befriedigt werden können) und der IT-Strategie- und -Architekturabteilung (die für eine funktionierende, mehrwertstiftende Digitalisierung der Geschäftstätigkeiten sorgen sollen) zu entwickeln.
Löst FinOps nun ITAM ab? Wohl eher nicht. Die nächsten Jahre sind noch stark von hybriden Modellen geprägt, wo lokale („On-Prem“) Lösungen noch an der Tagesordnung sind, während Cloudlösungen jedoch immer mehr Platz einnehmen.
Die Lösung ist daher eine Koexistenz beider Disziplinen. Man muss sich schlichtweg um beides kümmern. Glücklicherweise habe ich nicht behauptet, dass alles einfacher wird. 🙂
Eine durchaus interessante Darstellung zum Zusammenspiel von ITAM und FinOps, sowie weiterführende Informationen habe ich bspw. hier gefunden: https://www.finops.org/framework/capabilities/finops-itam/
Wenn dieser Beitrag nun weitere Fragen bei Ihnen aufwirft, oder Sie Ihre IT-Organisation auf Vordermann bringen wollen und dabei Hilfe benötigen, melden Sie sich bei uns.
Wir helfen gerne weiter.