Verteidigung gegen Software-Anbieter-Audits: Microsoft, Oracle, Adobe
Wenn der Audit-Brief eintrifft, haben Sie 30–60 Tage, um die Unterlagen zusammenzustellen. Gut gemacht, schliesst der Audit neutral oder zu Ihren Gunsten ab. Schlecht gemacht, unterzeichnen Sie einen sechsstelligen True-Up. Hier ist das vertretbare Playbook für jeden grossen Anbieter.
Microsoft, Oracle, IBM, Adobe, SAP und Autodesk führen alle formelle Lizenzaudit-Programme durch. Das Auditrecht ist in Ihrem Master-Vertrag; Ablehnung ist keine echte Option. Was optional ist, ist ob Sie vorbereitet ankommen oder in Panik geraten.
Die Audit-Form ist bei den Anbietern konsistent: Discovery-Scan, Lizenzanspruchs-Überprüfung, Lückenberechnung, True-Up-Angebot. Der Trick ist zu wissen, wonach jeder Anbieter sucht und wo die verhandelbaren Linien liegen.
Das allgemeine Defense-Playbook (jeder Anbieter)
- Schriftlich bestätigen, aber noch keine Zeitachse zusagen. Standardformulierung: „Wir bestätigen den Eingang und werden innerhalb von 10 Werktagen mit einem vorgeschlagenen Zeitplan antworten."
- Legal und Beschaffung einbeziehen. Audits werden durch den Master-Vertrag geregelt; die meisten haben Bekanntmachungs-, Umfangs- und Angemessenheitsklauseln. Diese lesen.
- Ein kleines Audit-Team bilden: ein IT-Lead, ein Finance-Lead, ein Legal-Lead. Einzige Anlaufstelle für den Anbieter.
- Eigene Discovery zuerst durchführen. Bevor der Anbieter scannt, wissen, was er finden wird. Mit Ansprüchen abgleichen. Lücken identifizieren und die Erklärung vorbereiten.
- Umfang begrenzen. Die Audit-Klausel ist selten so breit wie die erste Anfrage des Anbieters. Stichprobengrössen, Zeiträume und in-Scope-Entitäten verhandeln.
- Was erforderlich ist bereitstellen, nicht mehr. Keine Daten freiwillig anbieten. Keinen Zugriff über den vertraglichen Umfang hinaus gewähren.
- Befunde anfechten. Rohe Discovery-Ausgaben sind nicht die endgültige Zahl. Vertragliche Ansprüche, Fair-Use-Klauseln, Versions-Herabstufungen und Dekommissionierungsnachweise anwenden.
- Den True-Up verhandeln. Selbst ein bestätigtes Defizit wird selten zum Listenpreis bezahlt. Rabatte von 30–60% auf den vom Audit genannten True-Up sind normal, wenn Sie Hebel haben.
Microsoft (SAM-Engagement / SPLA / EA-Audits)
Microsofts Audits laufen über zertifizierte Drittparteien (Deloitte, KPMG, EY) im Rahmen des SAM-Programms. Sie konzentrieren sich auf:
- Server-Lizenzierung — Windows Server, SQL Server, insbesondere Kernbasislizenz-Fehlzählungen.
- Office 365 / Microsoft 365 Benutzerlizenzierung — zugewiesene vs. verbrauchte Seats.
- VDI / RDS-Szenarien, bei denen Nutzer remote auf Desktop-Software zugreifen.
- SQL Server Enterprise vs. Standard-Missbrauch (Enterprise-Features auf Standard-Lizenzen verwendet).
Wo die Lücken normalerweise sind
- Hyperthreading und Virtualisierung: Kernbasislizenzierung erfordert das Zählen von Kernen, nicht VMs. Missverständnis hier treibt ~40% der Microsoft-Befunde an.
- SQL Server-Features: Features wie Always On, In-Memory OLTP erfordern Enterprise; ihre Nutzung auf Standard ist der zweithäufigste Befund.
- O365-Überbereitstellung: deaktivierte Nutzer, die noch Lizenzen verbrauchen.
Der Defense-Hebel
Microsoft bietet „License Mobility" und Downgrade-Rechte an. Ein Befund, der besagt, dass Sie Enterprise-Features verwenden, kann manchmal durch Upgrade-dann-Downgrade oder Neuzuweisung von Lizenzen im Unternehmen behoben werden. Immer prüfen, ob Sie anderswo ungenutzte Enterprise-Lizenzen haben, bevor Sie dem Kauf neuer zustimmen.
Oracle (LMS-Engagement)
Oracles License Management Services (LMS)-Audits sind die aggressivsten in der Branche. Sie konzentrieren sich auf:
- Datenbank — Standard Edition vs. Enterprise Edition Feature-Nutzung.
- Java SE — ja, Java wird jetzt lizenziert; Prüfung annehmen.
- WebLogic, Middleware — Feature-basierte Packs.
- Virtualisierung — VMware insbesondere. Oracles Standpunkt: der gesamte vSphere-Cluster muss lizenziert sein, sofern nicht physisch partitioniert. Das ist umstritten, aber teuer zu bekämpfen.
Wo die Lücken normalerweise sind
- Enterprise Edition-Features auf Standard: Partitionierung, Advanced Security, Real Application Clusters.
- Java SE: jede Oracle JDK-Installation nach Jan. 2019 benötigt wahrscheinlich ein Abonnement.
- VMware-Host-Anzahl: der Streit ist, ob jeder Host, der eine Oracle-VM ausführen könnte, lizenziert werden muss.
Der Defense-Hebel
Oracles Befunde umfassen häufig bestrittene Positionen (insbesondere zur Virtualisierung). Hard Partitioning, vMotion-deaktivierte Cluster und vertragliche Ausnahmen dokumentieren. Wenn Sie keine ULA-Abdeckung haben, ist der Zeitpunkt, eine zu verhandeln, möglicherweise während des Audits — Oracle tauscht Audit-Befunde in vielen Fällen gegen eine mehrjährige ULA.
Die Java-Falle
Oracle Java SE wechselte 2019 zu einem Abonnement. Viele Unternehmen nutzten Oracle JDK weiterhin, ohne es zu merken. Wenn Ihr Entwicklerpark Oracle JDK (statt OpenJDK oder Adoptium) betreibt, haben Sie ein echtes Risiko. Vor dem Audit auf OpenJDK wechseln, nicht während.
Adobe
Adobes Audits zielen auf Creative Cloud und Acrobat ab. Sie konzentrieren sich auf:
- Benutzerzuweisung vs. Installation — Adobe verkauft pro Nutzer; mehr Geräteinstallationen als die Lizenz erlaubt sind nicht gestattet.
- Gleichzeitige Nutzer auf gemeinsamen Workstations.
- Bildungs- vs. kommerzielle Lizenzierung für Organisationen, die Bildungslizenzen kauften, aber kommerziell nutzen.
Der Defense-Hebel
Adobe reagiert sehr empfänglich auf ein „Wir verlängern auf höherem Tier"-Angebot. Audit-Befunde werden häufig in eine Verlängerung zu günstigen Konditionen umgewandelt.
IBM, SAP, Autodesk — Kurznotizen
| Anbieter | Worauf sie achten |
|---|---|
| IBM | PVU-Lizenzierung (Processor Value Unit) auf Middleware. Sub-Capacity-Lizenzierung erfordert, dass ILMT (IBM License Metric Tool) mindestens 90 Tage vor dem Audit läuft. |
| SAP | Indirekter / digitaler Zugriff — Drittanbieter-Systeme, die SAP aufrufen. Der berühmte „Diageo-Fall" (£55 Mio. True-Up) stammt daher. API-Zugriff sorgfältig dokumentieren. |
| Autodesk | Gleichzeitige vs. benannte Nutzer. Software-Piraterie-Untersuchungen manchmal durch Hinweise von Händlern ausgelöst. |
Pre-Audit-Hygiene, die 80% der Befunde verhindert
- Lizenzanspruchs-Datensatz pro Anbieter: Verträge hochgeladen, Anspruchsmengen extrahiert, Daten gültig bis.
- Discovery-Daten monatlich aktualisiert: wer was wo seit wann installiert hat.
- Abstimmungsbericht: Anspruch vs. Verbrauch, Lücken mit Erklärungen hervorgehoben.
- Dekommissionierungsnachweise: wenn Sie eine Bereitstellung entfernen, dokumentieren Sie es. Anbieter zählen alles, was sie als bereitgestellt nachweisen können.
- Vertragsklauseln extrahiert: Kündigungsfristen, Audit-Häufigkeitsgrenzen, Umfangsgrenzen.
Wenn Sie all das auf Anfrage vorlegen können, wird ein Audit zu Papierkram. Ohne es wird es zu einer Verhandlung, die von der Worst-Case-Rechnung des Anbieters ausgeht.
Wie InventorIA hilft
InventorIA verfolgt Lizenzansprüche vs. tatsächliche Nutzung kontinuierlich, nicht nur zum Audit-Zeitpunkt. Microsoft 365 / Adobe / Oracle / Salesforce-Integrationen speisen Seat-Verbrauch automatisch ein; Vertragsanalyse zieht Anspruchsmengen aus PDFs. Das Ergebnis: wenn der Audit-Brief eintrifft, ist die Abstimmung bereits erledigt — Sie antworten aus Daten, nicht aus Panik.
Audit-bereit sein, bevor der Brief eintrifft
Kontinuierliche Anspruchs-vs.-Verbrauchs-Verfolgung. Kostenloser Tarif für 10 Nutzer.
Kostenlos starten →