Die neue Stabsstelle Softwarebeschaffung: So läuft das Geschäft mit „softer“ Ware

Im September 2021 wurde die neue Stabsstelle Softwarebeschaffung ins Leben gerufen. Sie unterstützt die RRZE-Leitung bei Beschaffungsentscheidungen im Bereich Software. Da das RRZE nicht nur mengenmäßig, sondern auch in Bezug auf das Finanzvolumen ein großes Portfolio an unterschiedlichster Software bereitstellt, sind viele strategische Entscheidungen notwendig. (BI97, K. Böhm)

Softwarebeschaffung ist nicht nur einfach kaufen, zahlen und bereitstellen

Software muss dem Bedarf der Anwenderinnen und Anwender und dem Stand der Technik entsprechen sowie den Sicherheitsanforderungen genügen, aber der Softwareeinsatz muss auch wirtschaftlich sein. Damit die Software zur Anwenderin/zum Anwender kommt ist zu entscheiden, welche IT-Infrastruktur dafür gebraucht wird. Und nicht zuletzt sind die Bedingungen dafür zu schaffen, dass die Softwarenutzenden ohne Probleme arbeiten können. Genau aus diesen Gründen hat das RRZE den Auftrag, die für Verwaltung, Forschung und Lehre der FAU notwendige Software zu beschaffen. Die Stabsstelle arbeitet dabei mit den Fachbereichen zusammen, wenn es um fachspezifische Software geht. Die Zusammenarbeit mit den Abteilungen des RRZE ist wichtig, um die IT-Infrastruktur für eine reibungslose Softwareanwendung zu schaffen.

Software und Lizenzbedingungen im Rahmen von Cloud-Services sind die Herausforderung der Zukunft

Die anstehenden Herausforderungen lassen sich auch anhand von Textstellen aus dem Rundschreiben der bundesweiten Hochschulrektorenkonferenz vom 29. September 2021 beschreiben:

  • Seit einiger Zeit findet ein tiefgreifender Wandel in der Nutzung von Software statt. Angebotene Dienste werden nicht mehr vollständig auf der lokalen Infrastruktur („on-premises“) installiert, sondern mit Cloud-Diensten gekoppelt.
  • Hersteller wie zum Beispiel Microsoft, Adobe, Esri oder Autodesk stellen ihre neueste Softwaregeneration nur noch als Cloud-Version zur Verfügung.
  • Die Lizenzierung der Software erfolgt bei vielen Herstellern nur noch für einen vertraglich vereinbarten Zeitraum („Mietlizenzen“). Nach Ablauf des Vertrags ist die Software lizenzrechtlich und meist auch praktisch nicht mehr nutzbar. Damit besteht die Gefahr einer langfristigen Bindung an einen Hersteller, sofern keine Exit-Strategie vorhanden ist. Hier sind strategische Entscheidungen der Hochschulleitungen erforderlich.
  • Die Hochschulen müssen den Stand der Lizenzbedingungen und das Dienste-Angebot selbst kontinuierlich überwachen. Ein permanentes Monitoring der Lizenzbedingungen und des Dienste-Portfolios stellt Hochschulen vor große Probleme.
  • Die Hochschulen müssen kooperative Strukturen schaffen, um hochschulübergreifend Synergieeffekte zu erzielen und Ressourcen effizient und effektiv einzusetzen.

Zu den Dienstleistungen der Stabsstelle Softwarebeschaffung, die Einrichtungen der FAU und der Regionalpartner sowie die Studierenden in Anspruch nehmen können, gehören:

  • Beschaffung von Software und Lizenzen für Verwaltung, Forschung und Lehre
  • Betrieb des RRZE-eigenen Kundenportals für die Softwarebeschaffung („Software-Shop“)
  • Betreuung der Softwareangebote für Personal und Studierende zur privaten Nutzung in den bayernweiten Distributionsportalen StudiSoft und WebShop4all
  • Bereitstellung der Software zum Download
  • Kundenberatung zur Auswahl und Beschaffung von Software, bei Compliance- und Lizenzfragen sowie Downloadproblemen

Außerdem gehört das Projekt zur „Einführung eines Software Asset Managements (SAM) an der FAU“ zum Verantwortungsbereich der Stabsstelle. Für Lehre und nichtkommerzielle Forschung bieten die meisten Softwarehersteller rabattierte Software an. Das RRZE ist bestrebt, durch die Bündelung von Lizenzen und den Abschluss von Rahmen-, Volumenlizenz-, Campus- und Landesverträgen Software zu günstigen Preisen zu erwerben. Für diese Produkte kümmert sich die Stabsstelle um die Vertragsangelegenheiten mit den entsprechenden Firmen sowie um Lizenzverlängerungen und Bereitstellung der Software/Softwareupdates.

Einige Lizenzverträge werden vom RRZE vorfinanziert. Die Lizenzgebühren werden per Leistungsverrechnung auf die Organisationseinheiten entsprechend des Nutzungsumfangs umgelegt.

Grafik der meistverwendeten Softwareprodukte
Für die dienstliche Nutzung werden im RRZE-Kundenportal derzeit rund 52.000 Lizenzen verwaltet. Die 63 Produktgruppen enthalten etwa 200 Einzelprodukte. Microsoft Windows-Produkte, Adobe Acrobat, Citavi, SPSS und Corel-Produkte sind FAU-weit in Gebrauch.

Die große Produktvielfalt ist durch die schnelle Entwicklung im Softwaremarkt ständig in Bewegung. Zur Gewährleistung von Aktualität und Sicherheit werden für die meisten Softwareprodukte Wartungs- und Supportverträge abgeschlossen.

Von der Softwarebeschaffung zur Softwarenutzung: Software-Lizenzen im Spannungsfeld von Lizenzrecht, Technik, Datenschutz und Anwendungskomfort

Die kaufmännischen Entscheidungen der Beschaffung verschiedenster Softwareprodukte allein machen die Komplexität des Aufgabenbereichs der Stabsstelle nicht aus. Sie entsteht durch die von jedem Softwarehersteller individuell vorgegebenen Lizenznutzungsbedingungen. Ein Standardvorgehen für die Benutzungsfreigabe und Bereitstellung aller Softwareprodukte ist damit ausgeschlossen.

Es gibt Nutzungsrechte („Lizenzen“), die den Einsatz der Software ausschließlich auf den dienstlichen Geräten im Eigentum der FAU ermöglichen. Das heißt, dass sowohl privat mitgebrachte Geräte, als auch Leihgaben von Drittmittelgebern oder Forschungspartnern sowie Rechner von Gästen der Universität häufig nicht mit der Software der FAU genutzt werden dürfen. Bei anderen Produkten ist diese Nutzung explizit erlaubt. Das ist kompliziert, aber rechtlich bindend.

Software für die ausschließliche Nutzung auf Dienstgeräten

Auszug aus einem Lizenzvertrag:

Für diese Produkte und Services gestattet [der Hersteller] die Nutzung durch Geräte (Desktop oder Note-/Netbook, Tablets), welche sich im Eigentum des Teilnehmers oder des Benutzers befinden oder von diesem gemietet oder geleast werden bzw. über die der Teilnehmer allein tatsächlich verfügen kann, unabhängig von den Eigentumsverhältnissen.

Um die Lizenzbedingungen einzuhalten – man nennt das: Compliance –, müssen die technischen Systeme und die Kontrollprozesse passen. Zudem müssen die Softwareanwendenden über ihre zusätzlich zu den in der „Richtlinie für die Bereitstellung und Nutzung von Systemen und Verfahren der Informationstechnologie“ festgehaltenen Pflichten informiert sein.

Lizenzverträge sind ohne Ausnahme einzuhalten, so dass die Anwendenden auch über alles Bescheid wissen müssen. Die Produktvielfalt und die komplizierte Sprache des Lizenzvertragsrechts machen es schwer, Benutzungsinformationen verständlich aufzubereiten und genau den Personen zu übergeben, die die Software tatsächlich verwenden. Letztlich ist dann entscheidend, dass sich der Endanwender/die Endanwenderin „compliant“ verhält, das heißt, sich an die Vorgaben hält.

Was sollte man über das Thema „Software und Recht“ wissen?

Software ist grundsätzlich durch das Urheberrecht geschützt, wenn sie nicht ausdrücklich als „Public Domain“ gekennzeichnet wurde. Der Inhaber/die Inhaberin des Urheberrechts hat das ausschließliche Recht zur Reproduktion und zum Vertrieb der Software. Daher ist es verboten, Software (und ihre Dokumentation) ohne Erlaubnis des Eigentümers/der Eigentümerin zu duplizieren oder weiterzugeben.

Von einer rechtmäßig erworbenen Kopie darf jedoch in der Regel eine Sicherungskopie (ausschließlich für eigene Zwecke) als Vorsorge für den Fall, dass das Original bei der Arbeit beschädigt wird, erstellt werden.

Aber auch gesetzliche Vorgaben zum Datenschutz und zur IT-Sicherheit spielen eine große Rolle bei der Softwarenutzung.

Am Beispiel der FAU-weit von derzeit über 3.000 Mitarbeiterinnen und Mitarbeitern in Verwaltung, Lehre und Forschung verwendeten Software der Firma Adobe kann das Zusammenspiel der verschiedenen Faktoren, die vor der Benutzungsfreigabe einer beschafften Software zu berücksichtigen sind, verdeutlicht werden.

Das Zusammenspiel der verschiedenen Faktoren, die vor der Benutzungsfreigabe einer beschafften Software zu berücksichtigen sind, am Beispiel der Firma Adobe

Die FAU ist zwei bayerischen Landesrahmenverträgen mit Adobe Systems Software Ireland beigetreten.

Sie erlauben die Beschaffung, Bereitstellung und Verwaltung großer Mengen an Softwarelizenzen zu vergünstigten Preisen. Aus diesen bezieht die FAU die Produkte „Adobe Creative Cloud Complete All Apps und Captivate“ und „Adobe Acrobat Professional DC“.

Problematik 1: Der Softwarehersteller erzwingt personengebundene Lizenzierung

Seit 2017 beschränkt Adobe die Laufzeit von seriennummernbasierten Lizenzen immer weiter, sodass die Produkte ab 2022 fast nur noch Mietlizenzen in Form von Abos mit personengebundener Zuweisung, sogenannten Named User License (NUL), sind. Für die FAU heißt das, dass die meisten Adobe-Produkte ohne Umstellung auf nutzerbasierte Lizenzierung vorsorglich ab 1. Dezember 2021 nicht mehr einsetzbar sind.
An der FAU sind derzeit mehr als 4.500 gerätebezogene (alte) Adobe-Lizenzen für Verwaltung, Forschung und Lehre im Einsatz. Wenn die Zählung der Lizenzen auf Personen umgestellt wird, erhöht sich (theoretisch) die Lizenzanzahl, da auf eine Geräteinstallation häufig mehrere Personen zugreifen.

Warum ist das problematisch?

Nun, zuerst einmal sammelt der Hersteller fleißig Personendaten aus den Benutzerkonten und kann mit der validierten E-Mail-Adresse zielgerichtet Werbung platzieren. Das darf die FAU als Datenverantwortliche nicht zulassen. Die Beschränkung der unberechtigten Datenabgabe wird technisch realisiert.

Soweit die Nutzerinnen und Nutzer keine weiteren Daten im Adobe-Benutzerkonto pflegen und damit freiwillig selbst abgeben, werden nur die Daten an Adobe weitergegeben, zu denen die FAU vertraglich verpflichtet ist. Hierzu muss die FAU wiederum die Zustimmung ihrer Mitarbeiterinnen und Mitarbeiter einholen.

Jede Person, die mit einer Adobe NUL arbeitet, muss der (kontrollierten) Datenweitergabe zustimmen. Dies geschieht per Self Service im IdM-Portal der FAU.

Eine weitere technische Infrastruktur musste entwickelt werden, um die Bestellung einer Adobe-Lizenz im RRZE-Kundenportal und die Zuweisung der Lizenzen auf eine Person zu verknüpfen. Details hierzu finden sich auf dem RRZE-Portal zur Verwaltung von Named User-Lizenzen (NUL)

Erst, wenn eine Person beziehungsweise deren Daten mit einer Lizenz verknüpft sind, ist das zugehörige Adobe-Abo aktiv.
Jede Nutzerin und jeder Nutzer mit einem aktiven Abo kann sich im Adobe-Programm mit seiner IdM-Kennung (idm-kennung@fauad.fau.de) per SSO anmelden. So ist technisch auch abgesichert, dass sich niemand unbefugt einer FAU-Lizenz bedient.

Problematik 2: Der Softwarehersteller erlaubt den Zugriff nur noch über die Cloud

Um dieses Problem zu beschreiben, muss man für Nicht-IT-Spezialisten etwas ausholen.

Die Technik spricht vom Cloud Computing (Rechner-/ Datenwolke) und meint damit, dass – über das Internet und geräteunabhängig – geteilte Computerressourcen als Dienstleistung, etwa in Form von Servern, Datenspeichern oder Applikationen, bereitgestellt und nach Nutzung abgerechnet werden.

Im Fall der Adobe-Programme bedeutet dies, dass zum Beispiel Adobe Stock, ein Dienst mit Millionen von Fotos, Videos und Vektorillustrationen, online aufgerufen und durchsucht werden kann. Die Daten befinden sich nicht auf einem FAU-Server, sondern in der „Cloud“, außerhalb des FAU-Netzes.

Das ist einerseits eine feine Sache, denn so hat man Zugriff auf eine riesige Auswahl oder man kann mit einigen Apps an einem Projekt zwischen Desktop und Mobilgeräten per Cloudsynchronisation wechselnd arbeiten.

Die Risiken hinter diesem Anwendungskomfort sind jedoch tiefgreifend. Lizenzgeber und Cloudbetreiber können bislang bestehende Zugangsberechtigungen in einem gewissen rechtlichen Rahmen jederzeit nicht nur rechtlich, sondern auch physisch beenden oder einen Nachkauf fordern. Diese Abhängigkeit bestand vor Einführung des cloudbasierten Abo-Modells nicht.

Als Lizenznehmerin eines Rahmenvertrags ist die FAU den Änderungen der Lizenzbedingungen durch Adobe nicht ganz so schutzlos ausgeliefert wie private Nutzende, aber jede Änderung der Lizenzbedingungen zieht eine ganze Reihe technischer Entwicklungen sowie organisatorischer und rechtlicher Regelungen nach sich.

Cloud-Dienste müssen auch zur Wahrung des Dienstgeheimnisses äußerst bewusst genutzt werden. Zum Beispiel dürfen keine sensiblen Daten in der programmeigenen Document Cloud abgelegt werden. Darauf müssen die Nutzerinnen und Nutzer achten. Manche Dienste werden vom RRZE von vornherein deaktiviert, weil sie den Datenschutzbestimmungen widersprechen.

Problematik 3: Der Softwarehersteller bietet nur noch wenige Einzelprodukte an, ansonsten nur das (Fast-) Komplett-Paket

Ein Kollege hat die Problematik sehr gut umschrieben:

Wenn man ein Glas Milch möchte, kauft man sich nicht gleich eine Kuh.

Adobe hat jedoch mit der neuen Adobe Creative Cloud Complete ein solches „Kuh“-Produkt geschaffen. Die bisher einzeln lizenzierbaren Programme Photoshop, InDesign und weitere gibt es nur noch im großen Paket. Adobe Acrobat ist als einzige Software des Pakets im separaten persönlichen Abo erhältlich.

Das Creative-Cloud-Paket ist ein Traum für dauerhaft Kreative, für den gelegentlichen Gebrauch ist es dagegen ein kostenmäßiges Schwergewicht. Um diese Kosten im Griff zu behalten, müssen die Mitarbeiterinnen und Mitarbeiter genau abwägen und nur die benötigten Lizenzen genau jenen Personen zuweisen, die mit den Programmen arbeiten. Da es keinen „geteilten“ Zugriff mehr auf ein Programm gibt, müssen unter Umständen auch organisatorische Entscheidungen getroffen werden.

Insgesamt ist deshalb absehbar, dass sich die Anzahl an Adobe-Creative-Cloud-Lizenzen aufgrund der Einzelpersonennutzung und der hohen Kosten gering halten wird. Dagegen ist die flächendeckende Nutzung der Adobe-Acrobat-Lizenzen durchaus gewünscht, denn hierfür gibt es einen Flatrate-Vertrag; alle Mitarbeitenden der FAU dürfen für den dienstlichen Gebrauch auf Dienstgeräten mit dem Programm arbeiten.
Für CIP-Pools bedeutet das Shared-Device-Lizenzierungsmodell (SDL), dass nicht mehr auf jedem Gerät Adobe Acrobat verfügbar sein kann, denn die Kosten würden explodieren. Es können nur noch einzelne Multiuser-Arbeitsplätze mit Adobe Creative Cloud (inklusive Acrobat) in der neuesten Version oder gegebenenfalls alle mit Acrobat in der (alten) Version 2018 bestückt werden, oder es muss auf Adobe-Alternativen zurückgegriffen werden.

Das Beispiel Adobe-Software zeigt sehr deutlich, dass sich Softwarelizenzen im Spannungsfeld von Lizenzrecht, Technik, Datenschutz und Anwendungskomfort befinden.

Es ergeht deshalb die Bitte an alle Nutzerinnen und Nutzer, die Bedingungen für die dienstliche Nutzung von Adobe-Lizenzen mit Cloud-Diensten auf der RRZE-Webseite sehr sorgfältig zu lesen und bei der Arbeit zu beachten. Wir hoffen jedoch, dass unter all den Vorschriften die Kreativität nicht leidet.

Kontakt

Software

Beratung und Information zu Software/Lizenzen (RRZE)

  • Kathrin Böhm
    Raum: Raum 2.021
    Martensstraße 1
    91058 Erlangen
  • Dipl.-Bw. (FH) Thomas Reinfelder
    Raum: Raum 2.021
    Martensstraße 1
    91058 Erlangen
  • Elmar Hergenröder
    Raum: Raum 1.035
    Martensstraße 1
    91058 Erlangen