Wissen > Software-Audits

Software-Audits verstehen und meistern

Bist du fit für das nächste Software-Audit?

Was macht Software-Audits zur Herausforderung?

Die zunehmende Nutzung und der einfache Zugang zu SaaS-Tools haben die Art und Weise, wie Unternehmen ihre digitalen Arbeitsprozesse gestalten, in den letzten Jahren grundlegend verändert.

Cloud-basierte Lösungen bieten überzeugende Vorteile – insbesondere durch ihre hohe Flexibilität und Skalierbarkeit. Mit der Etablierung von SaaS im Arbeitsalltag entstehen aber auch neue, bislang unbekannte Herausforderungen in den Bereichen Sicherheit, Compliance und Transparenz.

Unternehmen müssen sicherstellen, dass die genutzten SaaS-Anwendungen Datenschutzrichtlinien einhalten, ordnungsgemäß lizenziert sind und keine unbemerkten Risiken für die IT-Sicherheit bergen. Gerade in dynamischen, dezentralen IT-Landschaften wird diese Kontrolle immer komplexer.

Mitarbeitende können heute eigenständig SaaS-Tools installieren und nutzen – oft auch ohne Rücksprache mit der IT-Abteilung. Diese auch als Shadow-IT bezeichnete Praxis, führt zu einer zunehmenden Intransparenz über Softwarezugriffe, Datenflüsse und Sicherheitslücken.

Es entsteht eine schwierige Gratwanderung zwischen Über- und Unterlizenzierung.

Ist ein Unternehmen überlizenziert, werden finanzielle Ressourcen des Unternehmens verschwendet. Ist ein Unternehmen hingegen unterlizenziert, kann es im Rahmen des Audits zu sehr hohen Nachzahlungen kommen.

Umso wichtiger ist es demnach, die Lizenzen von SaaS-Tools stets im Blick zu haben und souverän zu managen. Software Asset Management Lösungen wie USU und saasmetrix können hier Abhilfe schaffen und Kosten sparen.

Mit einer zentralen Plattform für das SaaS-Lizenzmanagement wie saasmetrix behalten Unternehmen den Überblick über alle aktiven Lizenzen und können sich optimal auf Audits vorbereiten.

Software-Audits können für Unternehmen zu unerwarteten finanziellen, personellen und zeitlichen Belastungen führen, wenn sie nicht gut vorbereitet sind. Daher ist es wichtig, die Mechanismen hinter diesen Audits zu verstehen und proaktive Maßnahmen zu ergreifen.

Das musst du über Software-Audits wissen

Software-Audits sind sehr gründliche Überprüfungen von Software-Lizenzen und ihrer tatsächlichen Nutzung im Unternehmen. In der Regel werden diese Audits von Wirtschaftsprüfenden durchgeführt, die für einen Softwareanbieter arbeiten und von diesem entsandt wurden.

Für Softwarehersteller besteht das Ziel von Audits darin, sicherzustellen, dass ihre Tools in den Unternehmen gemäß den vereinbarten Lizenzbedingungen eingesetzt werden.

Audits können für Softwarehersteller ein sehr lukratives Geschäft sein und folgen daher nicht immer einem Fair-Play-Prinzip zwischen Hersteller und nutzendem Unternehmen.

Die Herausforderung für das Software-Audit liegt vor allem…

im spontanen Auftreten des Audits.
Zwischen der Ankündigung des Audits und der Durchführung des Audits liegen in der Regel nur 30 Tage.
im erhöhten Mehraufwand für die Unternehmen.
Innerhalb kurzer Zeit sind Mitarbeitende aus verschiedenen Unternehmensbereichen stark in den Auditprozess eingebunden. Vorbereitung, Begleitung und Nachbereitung des Audits sind zeitintensiv.
in Informationsasymmetrien zwischen Lizenzmanager:innen und Auditor:innen.
Die Lizenzmanager:innen in Unternehmen müssen mit einer Vielzahl von Lizenzen verschiedener Software jonglieren. Auditor:innen hingegen sind Expert:innen für eine Software.

Die Bedeutung von SAM-Tools

Eine gute Vorbereitung ist das A und O, wenn ihr den Ablauf eures Audits optimal steuern und gleichzeitig größtmöglichen Einfluss auf das Ergebnis des externen Audits nehmen wollt.

Je besser ihr über euer Lizenzmanagement und dessen Nutzung im Unternehmen Bescheid wisst, desto souveräner könnt ihr Fragen beantworten, potenzielle Missverständnisse direkt ausräumen und die Gesprächsführung aktiv übernehmen.

Fehlt euch dieses Wissen, steht ihr nicht nur durch die 30-Tage-Frist unter Zeitdruck, euch kurzfristig in das Lizenzmanagement einzuarbeiten – ihr vermittelt den Auditor:innen auch weniger Sicherheit und riskiert, dass bei den Auditor:innen Zweifel geweckt werden und sie euer Lizenzmanagement noch genauer unter die Lupe zu nehmen.

Gerade stiefmütterlich behandeltes Lizenzmanagement ist für Vertreter:innen von Softwareherstellen demnach ein gefundenes Fressen.

Warum werden wir für ein Software-Audit ausgewählt?

Ob und wann ein Unternehmen für ein Software-Audit ausgewählt wird, hängt oft davon ab, ob es beim Software-Hersteller Aufmerksamkeit auf sich gezogen hat oder ob es unauffällig bleibt.

Häufig werden Audits ausgelöst,…

wenn dein Unternehmen aus einem ULA (Unlimited License Agreement) aussteigt.
wenn innerhalb eines bestimmten Zeitraums keine neuen Bestellungen oder Verträge (Lizenzen oder Produkte) abgeschlossen wurden.
wenn sich Unternehmen expandieren oder fusionieren oder
wenn ein schwieriges Verhältnis zwischen Anbieter und Unternehmen besteht.

Zwar muss für die Durchführung eines Audits grundsätzlich ein Grund angeführt werden.

Meist finden sich jedoch in den Nutzungsbedingungen oder den Allgemeinen Geschäftsbedingungen Klauseln und Formulierungen, die sich genau dieses Recht zur Durchführung von Audits vorbehalten.

Ein Unlimited License Agreement (ULA) ist eine besondere Form der Lizenzvereinbarung, die Unternehmen mit bestimmten Softwareanbietern abschließen können.

Während der vereinbarten Laufzeit können sie gegen eine feste Pauschale eine unbegrenzte Anzahl von Softwarelizenzen nutzen.

Nach dem Ablauf der ULA gibt es zwei Möglichkeiten:

Vertragsverlängerung – Das Unternehmen kann den Vertrag verlängern, um weiterhin unbegrenzt Lizenzen gegen eine Pauschalzahlung nutzen zu können.
Ausstieg aus dem ULA – In diesem Fall muss das Unternehmen die genutzten Lizenzen zertifizieren, d.h. nachweisen, wie viele Lizenzen tatsächlich im Einsatz sind.

Was macht Software-Audits so herausfordernd?

Software-Audits haben in vielen Unternehmen keinen guten Ruf – und das nicht ohne Grund.

Sie werden häufig in Phasen interner Umstrukturierungen angesetzt, also genau dann, wenn ohnehin schon viel Unruhe herrscht. Für Softwarehersteller ist dieses Timing strategisch klug, denn die 30-Tage-Frist setzt die Unternehmen zusätzlich unter Druck.

Wie stark dieser Druck ist, hängt von der internen Organisation ab. Sind die Prozesse in solchen Situationen nicht optimal aufgestellt, kann das Risiko von Flüchtigkeitsfehlern im Auditprozess oder Unstimmigkeiten im Lizenzbericht steigen – was wiederum teure Nachzahlungen, oder Gewinne für die Softwarehersteller, bedeuten kann.

Erschwerend kommt hinzu, dass die Softwarehersteller die Regeln für die Nutzung der Software festgelegt haben. Komplexe Metriken, sich teilweise gegenseitig ausschließende und verwirrende Erläuterungen der Lizenzbedingungen sind nicht unüblich.

Diese geben den Herstellern einen Wissensvorsprung gegenüber dem Anwenderunternehmen.

Software-Bundles erschweren das Verständnis

Insbesondere vom Hersteller angebotene Software-Bundles oder auch Downgrade-Rechte erschweren das Verständnis für die korrekte Nutzung von Software-Lizenzen für dich. Diesen Vorteil wissen die Hersteller produktiv für sich zu nutzen, um weitere Kosten einzunehmen.

Darüber hinaus besteht die Gefahr, immer wieder für Software-Audits ausgewählt zu werden, wenn Diskrepanzen zwischen der Lizenzierung und der Nutzung der Software bestehen.

Die Softwarehersteller möchten überprüfen, ob ihr z.B. nach dem Nachweis einer Unterlizenzierung entsprechende Maßnahmen zur korrekten Lizenzierung getroffen habt.

Erheblicher Mehraufwand

Für dein Unternehmen ist dies jedoch mit einem erheblichen Mehraufwand verbunden, da bei jedem Audit erneut eine Vielzahl von Informationen in kurzer Zeit zusammengestellt und der Auditprozess begleitet werden muss.

Eine starke Abwehr von Auditprozessen reduziert daher nicht nur die Wahrscheinlichkeit weiterer Audits, sondern schont auch nachhaltig zeitliche und personelle Ressourcen des Unternehmens.

So laufen Software-Audits ab

Der Auditprozess beginnt immer mit der Ankündigung der Durchführung – in der Regel 30 Tage vor dem Audit im Unternehmen. Ab diesem Zeitpunkt kann ein Audit gewissermaßen als Wettlauf gegen die Zeit verstanden werden.

Es gilt in kurzer Zeit möglichst schlüssig und lückenlos alle Daten zur Lizenzierung und Nutzung der betroffenen Software zusammenzustellen. Dies impliziert eine intensive Vorbereitung auf das Audit, um Fragen zur Nutzung und Lizenzverteilung bestmöglich beantworten zu können.

Eine Übersicht über die im Unternehmen genutzten Softwarelizenzen wird dann am Tag des Audits von den IT-Verantwortlichen und den Auditor:innen begutachtet.

Dabei werden auch Unklarheiten und Rückfragen zu den Daten geklärt.

Vor Ort wird zudem stichprobenartig die tatsächliche Nutzung der Software überprüft – also ob die vom Unternehmen vorgelegte Dokumentation mit der tatsächlichen Nutzung der SaaS-Lizenzen übereinstimmt (Konformitätsprüfung).

Nach dieser Prüfung erstellen die Auditor:innen einen Auditbericht. Dieser basiert auf 3 Säulen:

Dokumentation der Lizenzen,
Beurteilung der vorgelegten Dokumentation
Tatsächlichen Nutzung der Software durch die Stichprobe

Der Auditbericht wird anschließend sowohl an dein Unternehmen als auch an den Softwarehersteller übermittelt.

Sind alle Lizenzen ordnungsgemäß verwaltet, hat das Software-Audit von Seiten des Softwareherstellers folgenlos und das Audit ist abgeschlossen.

Wird eine Unterlizenzierung festgestellt, kommen hohe Nachzahlungen auf das unterlizenzierende Unternehmen zu.

Eine Überlizenzierung kann (und sollte) von Unternehmensmitarbeitenden zum Anlass genommen werden, die Verwaltungsprozesse anzupassen, um Ressourcen zu schonen und unnötige Kosten einzusparen.

Um Zeit zu sparen, hat sich bewährt, im Unternehmen ein spezielles Projektteam für Audits einzurichten, das den gesamten Auditprozess begleitet.

Wenn die Zuständigkeiten bereits vor der Ankündigung des Audits klar sind, kann mehr Zeit für die Vorbereitung des Audits selbst aufgewendet werden.

Das Audit-Team sollte sich aus folgenden Parteien zusammensetzen:

Einkauf
Projektmanager
Rechtsabteilung
Lizenzmanagement

Welche Daten werden untersucht und müssen bereitgestellt werden?

Im Rahmen eines Software-Audits wird eine Vielzahl von Daten angefordert sowie Anweisungen, wie und in welchem Format die Auditor:innen diese Daten zur Verfügung gestellt haben wollen.

Dabei kann es sich z.B. dabei um detaillierte Installations- und Konfigurationsinformationen handeln oder um Antworten zur Lizenznutzung, die mittels Fragebögen erhoben werden.

Eine Vielzahl von Folgemails, um weitere Unklarheiten zu beseitigen, sind ebenfalls ein gängiges Vorgehen der Prüfer:innen. Es kann durchaus vorkommen, dass die Auditor:innen die Daten akzeptieren, die ihr aus eurem SAM-Tool entnehmt.

Dies kann als Vorteil für euch gesehen werden, da ihr die Art und Weise, wie die Daten präsentiert werden, vorgeben könnt. Häufiger kommt es jedoch vor, dass euch Skripte zugeschickt werden, wie die Daten zu erfassen und darzustellen sind.

Wichtig ist, dass ihr das Skript des Anbieters immer erst in einer Testumgebung ausprobiert. So könnt ihr verhindern, dass die Auditor:innen mehr Daten von euch erhalten als ihr tatsächlich bereitstellen müsst und möchtet.

Statt also lediglich möglichst viele Informationen zu sammeln, sollten sich die Unternehmen auf die Daten beschränken, die für ihre Verteidigung im Audit relevant sind.

Grundsätzlich sollte dem Auditprozess und der Dokumentation der angeforderten Daten immer ein hohes Maß an Aufmerksamkeit und Genauigkeit in der Bearbeitung gewidmet werden.

Welche Daten können beim Audit geprüft werden?

Lizenz- und Nutzungsnachweise
Softwarehersteller prüfen, ob Kunden die Software entsprechend den Lizenzbedingungen nutzen.
- Lizenzverträge & Nutzungsbedingungen
- Anzahl aktiver Benutzer & Instanzen
- Installations- und Zugriffsdaten
- Logfiles & Nutzungsberichte
Sicherheits- und Compliance-Dokumentation
Softwarehersteller möchten sicherstellen, dass ihre Software sicher und regelkonform betrieben wird.
- Zertifizierungen & Compliance-Nachweise
- Sicherheitsrichtlinien
- Penetrationstestes & Schwachstellenmanagement
- Vorfallmanagement & Reaktionsprotokolle
System- und Architektur-Dokumentation
Diesbezüglich wird überprüft, wie die Software in die IT-Infrastruktur des Unternehmens eingebunden ist.
- Systemarchitektur-Diagramme
- Cloud- & Hosting-Informationen
- Datenflussdiagramme
Benutzer- und Zugriffsmanagement
Auditor:innen prüfen, ob nur berechtigte Personen Zugriff auf die Software haben.
- Identity & Access Management (IAM)
- Audit-Logs für Benutzerzugriffe
- Lizenznutzungskontrollen
Software-Entwicklung & Deployment
Falls das Unternehmen kundenspezifische Anpassungen oder Integrationen vorgenommen hat, können auch diese geprüft werden.
- Entwicklung & Custom Code
- Change-Management-Prozesse
- Sicherheitsrichtlinien für Softwareentwicklung
Betriebs- und Support-Daten
Die Softwarehersteller prüfen, ob die Software den vereinbarten Betriebsanforderungen entspricht.
- Service-Level Agreements
- Backup- & Desaster-Recovery-Pläne
- Monitoring & Fehlerprotokolle
Datenschutz & Datenmanagement
Gerade im SaaS-Bereich wird geprüft, wie personenbezogene und geschützte Daten behandelt werden.
- Datenverarbeitungsvereinbarungen (DPA)
- Datenlöschung & Retention Policies
- Datenschutz-Folgenabschätzungen (DPIA)

Fazit - So hilft saasmetrix

Software Audits sind ein komplexes Thema – insbesondere, wenn IT-Teams reaktiv agieren.

Ein proaktiver Ansatz in Form eines leistungsfähigen SAM-Systems kann langfristig viel Zeit, Ärger und Kosten einsparen.

Für Cloud-First Unternehmen ist saasmetrix solch eine Lösung. Mit unserer SaaS-Management-Software erhältst du einen vollständigen Überblick über sämtliche SaaS-Anwendungen und -Lizenzen im Unternehmen – auch von denen, die sich jetzt noch in der Schatten-IT befinden.

Auch für Unternehmen, die eine Hybrid-Strategie fahren, ist saasmetrix eine sinnvolle Ergänzung zu einem (bestehenden) SAM-System. Gängige SAM-Plattformen bilden die On-Premise Landschaft hervorragend ab, haben aber große Schwächen im Cloud-Bereich. Mit über 330+ SaaS-Integrationen und Verknüpfungen zu SAM-System lässt sich die bestende SAM-Plattform mit wenigen Klicks erweitern.

Erfahre in einer Demo, wie du dein SaaS-Chaos schnell in Griff bekommst

Buche dir einen unverbindlichen Demo-Termin. Hier zeigen wir dir das Produkt und beantworten all deine Fragen.