Der Software-Freigabeprozess – des einen Freud, des anderen Leid

In manchen Unternehmen schon gelebter Standard, in anderen steckt er noch in den Kinderschuhen: Der Software-Freigabeprozess. Nicht der für hausintern entwickelte Lösungen, sondern die Prüfung, Bewertung und Freigabe von Software, die von Dritten gekauft, gemietet und lizenziert werden muss.Ein Thema, bei dem sich viele Firmen schwertun. Im Idealfall nämlich greifen hier einige Abteilungen ineinander, Schnittstellen müssen definiert und Absprachen getätigt werden. Das erfordert vor allem eins: Zeit. Und Ressourcen. Ressourcen, die in Zeiten von Personalmangel und wirtschaftlichen Herausforderungen keiner hat, um aufwändige Prüfungen durchzuführen und Personal zu binden mit Aufgaben, die weit über die Stellenbeschreibung hinausgehen.

Warum braucht es eine Software-Freigabe?

Ziel des Ganzen ist es, die im Unternehmen verbreiteten Anwendungen zu kontrollieren, eine lizenzkonforme Nutzung sicherzustellen, Sicherheitslücken zu vermeiden – insgesamt also Risiken zu minimieren. Denn diese sind vielfältig: eine klassische Nutzungsfreigabe beleuchtet unter anderem Aspekte wie Nutzungsbedingungen, IT Security, Datenschutz, Barrierefreiheit und Verträglichkeit mit anderen Anwendungen. Die Kunst ist es, diesen Prozess so schlank wie möglich, aber so genau wie nötig zu gestalten, ohne dabei die Anforderer vor zu große Hürden zu stellen und dadurch Schatten-IT zu fördern.

Wie sollte man vorgehen? – Ersteinführung des Softwarefreigabe-Prozesses

Der Freigabeprozess ist aufwändig, benötigt Ressourcen und verzögert im Zweifel die Erstbeschaffung einer Software, die bislang noch nicht freigegeben wurde. Damit die Akzeptanz hoch und die Widerstände gegen den Prozess und seine Aufgaben gering sind, muss der Nutzen klar erkennbar sein und das Management einbezogen werden. Unterstützen kann  das Ergebnis eines Assessments, das durch einen externen Gutachter erstellt wurde, in dem es bestehende Risiken aufdeckt und Argumente für die Risikominderung durch einen Freigabeprozess liefert.
Um ressourcenschonend vorzugehen ist es sinnvoll, den Freigabeprozess stufenweise einzuführen: vom Anwendungsfall über ein Pilot Projekt bis hin zur Unternehmensfreigabe. In jeder Phase ist aber vor allem eines wichtig: klar definierte  Verantwortlichkeiten für klar definierte Prüfkriterien. . Da es meist mehrere Verantwortliche gibt, empfiehlt sich Teamarbeit, damit ein sukzessives Vorgehen den Prozess mit vielen Beteiligten nicht unnötig verlangsamt. Paralleles Arbeiten des Prüfungsgremiums anstelle von aufeinander folgenden Arbeitsschritten beschleunigt den Prozess.

CCP unterstützt bei der Einführung und Durchführung

Ihnen fehlen gänzlich die Ressourcen für einen aufwändigen, mehrstufigen Freigabeprozess von Softwareanwendungen? Sie haben zwar Personal, aber es mangelt an klar definierten Prozessen, die auch praxistauglich sind? Sie tun sich schwer mit Rollendefinitionen und der Erstellung von Checklisten und Richtlinien? Unsere Consultants schaffen Abhilfe: Von der Beratung über die Umsetzung und Einführung bis hin zum Outsourcing des kompletten oder teilweisen Software-Freigabeprozesses unterstützen unsere Experten Sie auf dem Weg zu einer nachhaltigen Lösung, die für alle Seiten praktikabel ist. Denn nur dann werden Prozesse eingehalten und in der Praxis gelebt.

Zusätzliche Informationen und wertvolle Tipps aus der Praxis gibt es in unserer Podcast Folge 51 der „Lizenzlage“ mit Dietmar Thullner vom SWR zum Thema „Software-Freigabeprozess – Aufwand, der sich lohnt“.

Lebenszyklusbetrachtung –
Wie kriegt man Änderungen unter Kontrolle?

Compliance im Software Lifecycle

In Zeiten von klassischen Kauflizenzen war es einfacher, mit der Weiterentwicklung von Software und deren Nutzungsbedingungen Schritt zu halten. Die Lizenzbedingungen wurden beim Kauf geprüft, Updates nur in größeren Abständen und unternehmensseitig durchgeführt. Doch die Zeiten haben sich geändert: Der Lebenszyklus von Software-Anwendungen ist nicht mehr durch die Nutzer, sondern vielmehr durch Abonnements und herstellerseitige Update-Releases bestimmt. Der Freigabeprozess wird dadurch häufiger fällig als es den meisten Unternehmen lieb ist. Eine regelmäßige Überprüfung der sich immer wieder ändernden Lizenzbedingungen sowie die kontinuierliche Bewertung der Sicherheitsaspekte von bereits freigegebener Software ist unumgänglich. 

Alarmzeichen erkennen und ernst nehmen

Das Software Lifecycle Management erfordert klare Prozessdefinitionen und das Erkennen von Alarmzeichen, die eine wiederholte Prüfung auch nach der Erstfreigabe notwendig machen. Freigaben sollten vor allem dann hinterfragt werden, wenn der Hersteller einer Software von einem Mitbewerber aufgekauft wird oder neue Versionen veröffentlicht werden. Klassischerweise ändern sich in diesen Fällen nämlich auch die Lizenzbedingungen, Folgeverträge gelten meist ab dem nächsten Release. Auch Veränderungen im Nutzungsverhalten sollten beobachtet werden, um gegebenenfalls nachzusteuern. Verbreiten sich Anwendungen unkontrolliert im Unternehmen, hilft sauberes Software-Metering, um lizenzrechtlich auf der sicheren Seite zu bleiben und im Falle von Audits oder Sicherheitswarnungen schnell reagieren zu können. 

Awareness bei den Nutzern steigern

Auch das Nutzerverhalten hat direkte Auswirkungen auf die Lizenzsituation im Unternehmen: Durch die Möglichkeit der „Selbstbedienung“ in Portalen stellen die User selbst ein Risiko dar. Eine Sensibilisierung der Nutzer auf das Thema Lizenz- und Nutzungsrechte ist daher unerlässlich. Leichter gesagt als getan bei inflationär steigender Anzahl an Anwendungen. Nichtsdestotrotz gilt es, Bewusstsein für die so genannte „EULA“  (End User License Agreement) und deren Inhalte zu schaffen. Um dem Informationsgefälle von Fachbereichen zu Anwendern entgegenzuwirken, hilft es, schon bei der Erstfreigabe die wichtigsten Informationen zu den Nutzungsrechten herauszufiltern, für den Anwender zu „übersetzen“ und proaktiv in die Anwenderschar zu streuen. Auch im weiteren Verlauf des Software Lifecycles ist ein beständiger Dialog von Fachabteilung und Anwendern notwendig, damit aktuelle Regeln verstanden und eingehalten werden können. Schulungen und Trainings für Standard-Anwendungen im Unternehmen können zusätzlich das Risiko von Falschnutzung senken.

Regelmäßige Folgeprüfungen durchführen

Damit Prozesse und Lizenzregeln während des kompletten Software-Lebenszyklus eingehalten werden können, bedarf es klarer Prozessstrukturen – sowohl für die Erstfreigabe von Software als auch für die Folgeprüfung und die Kriterien, die eine solche erforderlich machen. Praxistaugliche Prozesse erfordern eine exakte Rollenbeschreibungen und die Zuweisung der erforderlichen Befugnisse, damit Mitarbeiter in ihrer Funktion handlungsfähig sind. Entscheidend dafür ist die eindeutige Verteilung von Verantwortlichkeiten.

Ist eine Software nach der Erstfreigabe schon fester Bestandteil der IT-Landschaft, sollten interne Prozesse eine regelmäßige Folgeprüfung nach einer fest definierten Zeit erforderlich machen. Klare Prüfkriterien rechtfertigen dann den fortlaufenden Einsatz der Software im Unternehmen. Darüber hinaus sollten Alarmzeichen festgelegt werden, die eine Folgeprüfung außerhalb des festgelegten Nachprüfzeitraums notwendig machen. 

Die Mischung macht’s

Der Softwarefreigabeprozess und notwendige Folgeprüfungen sind aufwändig – doch der Aufwand lohnt sich, um ernst zu nehmende Risiken von Schatten-IT zu vermeiden. Je einfacher und praxistauglicher die Prozesse gestrickt sind, desto eher werden sie eingehalten. Im Endeffekt ist es die Kombination aus Sensibilisierung, Prozessoptimierung und technischer Kontrolle, die Risiken minimiert und Sicherheit und Effizienz im Unternehmen gewährleistet.

CCP unterstützt bei der Einführung und Durchführung

Ihnen fehlen die Ressourcen für einen aufwändigen und wiederholten Freigabeprozess von Softwareanwendungen? Sie haben zwar Personal, aber es mangelt an klar definierten Prozessen, die auch praxistauglich sind? Sie tun sich schwer mit Rollendefinitionen und der Erstellung von Checklisten und Richtlinien? Unsere Consultants schaffen Abhilfe: Von der Beratung über die Umsetzung und Einführung bis hin zum Outsourcing des kompletten oder teilweisen Softwarefreigabeprozesses unterstützen unsere Experten Sie auf dem Weg zu einer nachhaltigen Lösung, die für alle Seiten praktikabel ist. Denn nur dann werden Prozesse eingehalten und in der Praxis gelebt.

Interessiert? Melden Sie sich gern bei uns: consulting@ccpsoft.de

Zusätzliche Informationen und wertvolle Tipps aus der Praxis gibt es in unserer Podcast Folge 51 der „Lizenzlage“ mit Dietmar Thullner vom SWR zum Thema „Software-Freigabeprozess – Aufwand, der sich lohnt“.

Frank Heberling informiert zum Thema Software-Freigabeprozess