Archiv

IT im MittelstandDatensicherheit, Lizenzierung und Cloud Computing

Für viele Mittelständler ist IT ein zweischneidiges Schwert: Sie wird gebraucht und doch gefürchtet, die wenigsten blicken wirklich durch. Probleme bereiten vor allem Sicherheitsfragen und Lizenzierungen.
erschienen: 21.06.2010

Wenn Sven Michael Prüser die durchschnittliche Grundausstattung der Informations- und Kommunikationstechnologie (IKT)  in kleinen und mittelständischen Unternehmen (KMU) beschreibt, kann er sich einen gewissen ironischen Unterton nicht verkneifen. Von „bunten IKT-Zoos“ und „wertvollen historischen IKT-Museen“ spricht er dann, wohl wissend um die Probleme, die eine notwendige, aber dennoch oft verfluchte IT diesen Unternehmen  in der Mehrzahl bereitet. Der ehemalige Leiter des Geschäftsbereichs „CeBIT International“ und Professor an der Hochschule für Technik und Wirtschaft (HTW) in Berlin beschreibt denn auch den Zustand, der in vielen KMU heute vorherrscht:

„Wenn es gerade passt oder nötig ist, werden immer mal wieder einzelne IT-Lösungen installiert, gelegentlich erweitert oder aktualisiert, und irgendwie laufen die dann auch.“

Obwohl es mittlerweile auch in mittelständischen Unternehmen angekommen sein sollte, dass eine leistungsstarke IT für eine reibungslose Kommunikation mit Kunden und Mitarbeitern sowie für effiziente Geschäftsprozesse unabdingbar ist, werden die Vorteile daraus immer noch nicht ausgeschöpft. Entscheidungen gegen eine IT-Investition kommen meist durch einen Teufelskreis zustande: IT wurde jahrelang ohne eine klare Strategie implementiert und eher als Ärgernis denn als Bereicherung empfunden.

Ein Ranking der IT-Probleme im Mittelstand, die das Deutsche Institut für kleine und mittlere Unternehmen (DIKMU) im Rahmen einer Befragung unter 500 Betrieben 2009 durchführte, zeigt Überraschendes: Die Hälfte der befragten Unternehmen glaubt, bei ihrer IT bestehe überhaupt kein Handlungsbedarf. Eine Haltung, die sich auch aus Angst vor Kosten und fehlendem IT-Know-how speist. Prüser ergänzt:

„Der normale Mittelständler ist kein Technik-Fan, sondern ein Arbeitgeber, der im Wettbewerb bestehen und Arbeitsplätze sichern möchte.“

Es sei daher vor allem Aufgabe der IT-Anbieter, ihren Kunden den Nutzen einer bestimmten Technik unkompliziert und „in abkürzungsfreiem Deutsch“ zu erläutern. 

IT-Sicherheit: Störfälle werden nicht schnell genug behoben

Mit 142 Nennungen stehen die Kosten ganz oben auf der IT-Problemliste, gefolgt von Wachstum und Kompatibilität sowie Hilfe bei der Nutzung. Das Thema Sicherheit folgt auf Platz vier. Karl-Heinz Liebrenz, Senior Consultant IT-Sicherheit vom Systemhaus Bechtle aus Freiburg, sagt:

„Welche Auswirkungen der Ausfall von IT-Ressourcen haben kann, ist für KMU oft nicht nachzuvollziehen.“

Seine Lösung: Ein Notfallplan, in dem mögliche Worst-Case-Szenarien durchdacht und entsprechende Reaktionen und die Verantwortlichen festgeschrieben sind. Trotzdem gehen gerade kleine und mittelständische Unternehmen mit IT-Sicherheit oft allzu lax um.

Eine europaweite Studie des Software-Hersteller Acronis Deutschland GmbH und des Forschungsunternehmens Vanson Bourne unter 600 Betrieben kommt zu einem ernüchternden Ergebnis: 56 Prozent der deutschen Unternehmen benötigen nach IT-Störfällen eine Wiederanlaufzeit von einem Tag bis zu einer Woche. Zwei Prozent sind überhaupt nicht in der Lage, ihre Daten und Systeme wiederherzustellen.

Obwohl global vernetzt, verfolgen viele eine katastrophale Backup-Strategie. Nur zehn Prozent der deutschen Unternehmen meinen in der Lage zu sein, ihre IT-Systeme nach Hardwareschäden oder Virenbefall innerhalb einer Stunde wieder zum Laufen zu bringen. Geschäftsschäden, die manchmal nur schwer oder gar nicht mehr verkraftet werden können, sind so nicht selten vorprogrammiert. Liebrenz warnt:

„Wissen ist in Form von Daten in IT-Systemen gespeichert. Da wird schnell mal ein Excel-Sheet mit sensiblen Informationen per E-Mail versehentlich an einen falschen Empfänger verschickt.“

Der internationale Konkurrenzdruck und damit verbundene Kostendruck zwinge die Unternehmen jedoch zu schnellen und effektiven Geschäftsprozessen und zur Unterstützung durch entsprechende Informations- und Kommunikationstechnologien. Das eigentlich Fatale dabei: Die meisten KMU glauben, Sicherheitsvorfälle hätten nur innerbetriebliche Konsequenzen.

Falsch, wie die neueste Studie „2009 SMB Disaster Preparedness Survey“ des Sicherheitsunternehmens Symantec belegt. IT-Ausfälle werden von Kunden längst nicht mehr toleriert. 42 Prozent der befragten Kunden wandern bei einem Störfall ihres bevorzugten Anbieters zur Konkurrenz ab, zwei Drittel waren der Ansicht, der Störfall habe dem Ansehen ihres Anbieters geschadet. Trotzdem macht sich deswegen in Deutschland kein einziges befragtes Unternehmen Gedanken – eine trügerische Illusion. Gleichwohl sollten Sicherheitsmaßnahmen auf das jeweilige Unternehmen und die Branche abgestimmt werden. IT-Experte Liebrenz:

„Nicht jedes Unternehmen muss zu einem ‚Fort Knox‘ umgebaut werden.“

Ein Patentrezept für Sicherheit gibt es nicht. Wer wissen will, welche Sicherheitstechniken für sein Unternehmen in Frage kommen, sollte über den Reifegrad der verfügbaren Sicherheitslösungen im Bilde sein und unterscheiden können, welche etabliert und welche gerade erst aus den Labors im Silicon Valley entsprungen sind.

Firewall und Virenschutz sind Standard, doch zur Herausforderung gerät die Bestimmung und Gewichtung der Gefahrenquellen. Nur wer die Risiken kennt, kann beurteilen, welche Investition in die eigene IT-Sicherheit nötig ist. Steht zum Beispiel der Schutz sensibler Kundendaten im Vordergrund oder geht gar von den eigenen Mitarbeitern über die Nutzung mobiler Endgeräte eine Gefahr aus? Martin Foshag, Vorstand der Leitwerk AG, einem Systemhaus aus Appenweier, kennt noch ein ganz anderes Problem:

„Oft ist der IT-Leiter alleiniger Herr über die Technik. Aufgrund fehlenden Know-hows trauen sich Geschäftsführer dann meist gar nicht, sich dem Thema anzunehmen.“

Hinweis

Was für die IT-Sicherheit gilt, setzt sich nahtlos bei den Software-Lizenzen fort. In einer aktuellen Umfrage kommt die Software-Initiative Deutschland zu dem Schluss, dass der deutschen Wirtschaft 2010 alleine durch nicht korrekt lizenzierte Software ein Schaden von bis zu 30 Milliarden Euro entsteht. Lesen Sie in unserem Experten-Interview mit dem Fachanwalt für IT-Recht Timo Schutt, was Unternehmen bei Lizenzierungen beachten sollten und wie ein ordentliches Lizenzmanagement aussieht.

Peter Ruchatz, Direktor Business Solutions von Microsoft Deutschland, hat die IT-Grundausstattung im Mittelstand gegenüber dem Magazin IT-Mittelstand einmal so beschrieben:

„Sie besteht aus einzelnen, häufig veralteten Anwendungen, die als Insellösungen nebeneinander stehen.“

Außerdem werde nicht vernetzt gearbeitet, jeder koche sein eigenes Süppchen. Stattdessen müssten Mitarbeiter in der Lage sein, in Teams zusammenzuarbeiten, gemeinsam effizient auf Dokumente zuzugreifen und diese auch zu bearbeiten. Seine Lösung:

  • Integration der einzelnen Produkte zu einer großen Gesamtlösung, die abteilungsübergreifend Daten bereit stellt, Prozesse automatisiert und Analysen per Knopfdruck ermöglicht.
  • Die Lösungen sollen mit den Unternehmen mitwachsen können und so die Investitionen sichern.
  • Vertraute Bedieneroberflächen, die relativ einfach verstanden werden können und zum produktiven Arbeiten einladen.

Gerade für Firmen, die schnell wachsen, scheint eine neue Technologie Abhilfe zu schaffen vom immer wiederkehrenden Zyklus des Kaufs und der Installation neuer Software: das sogenannte Cloud Computing. Dabei werden Geschäftsanwendungen und Software sowie die dafür erforderlichen zentralen Rechnersysteme nicht mehr vor Ort im eigenen Unternehmen vorgehalten und betrieben, sondern bei einem Provider.

Anwender rufen dann einfach übers Internet ihre Arbeitswerkzeuge wie Textverarbeitungsprogramme oder CRM-Systeme beim Provider und über dessen jeweilige Rechenzentren (Clouds) ab – eine Aufwandsersparnis und die Möglichkeit, leichter mit neuer Software aufzurüsten. Kann also Cloud Computing dazu beitragen, das IT-Chaos im Mittelstand zu dämpfen? Sven Michael Prüser nennt die Voraussetzungen dafür, damit sich die neue Technologie auch im Mittelstand durchsetzt:

„Unter den vielen Themen, die in der IKT-Industrie derzeit auf der Tagesordnung stehen, halte ich Cloud Computing für mit Abstand am wichtigsten. Doch der normale Mittelständler sieht keinen Sinn darin, sich mit ‚Wolken’ auseinanderzusetzen, sehr wohl aber ist er daran interessiert, IKT-Kosten zu reduzieren und seine Prozesse effizienter zu betreiben. Die Erfahrung zeigt: Mittelständler hören sehr genau hin, wenn man ihnen beweist, das Daten erheblich kostengünstiger als im eigenen Haus gelagert werden können. Dass es sich dabei um das Phänomen ‚Cloud Computing‘ handelt, ist absolut unwichtig.“

Also alles nur ein Vermarktungsproblem? Dies würde eventuell erklären, warum bislang ein großer Teil der Unternehmen sich noch nie mit Cloud Computing beschäftigt oder sich sogar dagegen entschieden hat. Laut einer Studie des IT-Marktbeobachters IDC nutzt die Hälfte der befragten Betriebe mit mehr als 5.000 Mitarbeitern Cloud Computing.

Unter den Unternehmen, die sich gegen den Einsatz von Cloud Computing entschieden haben, befinden sich jedoch verhältnismäßig viele Mittelständler. Innerhalb dieser Gruppe der Befragten sind 89 Prozent der Ansicht, Cloud Computing müsse erst noch die Praxistauglichkeit bestehen. Trotz dieser Ergebnisse geht IDC weiter davon aus, dass sich der Umsatz von Cloud Computing bis 2012 verdreifachen und künftig sogar zehn Prozent der gesamten IT-Ausgaben ausmachen wird.

Wäre da nicht wieder die Sicherheitsproblematik: Wo allenthalben mit Kostenersparnissen geworben wird, treten Sicherheitsexperten auf die Euphoriebremse. Vor allem in Deutschland haben Bedenkenträger Angst, die Kontrolle über Daten und Systeme zu verlieren. Diese Ansicht teilt sogar Cisco-Systems-Chef John Chambers, wenn er sagt:

„It is a security nightmare and it can’t be handled in traditional ways.“

Beispielhaft werden folgende Bedenken beim Einsatz von Cloud Computing geäußert:

  • zu lange Implementierung,
  • hohe Service-Kosten,
  • schlechte Integration von Lösungen,
  • kompletter Systemausfall, ähnlich wie bei der mobilen Kommunikation (passiert bei Google 2009, als Millionen Nutzer rund eine Stunde lang nicht mehr auf die Suchmaschine zugreifen konnten),
  • Kosten für die Umstellung, die Architektur und den Betrieb.

Zu guter Letzt kommen rechtliche Aspekte hinzu. Ohne rechtlichen Beistand, raten Experten, solle man sich nicht blindlings für Cloud Computing entscheiden. So sollte zum Beispiel geklärt werden, wer beim Cloud-Betreiber Zugang zu vertraulichen Daten hat und auf welche Weise die Informationen geschützt werden. Apropos Recht: Marketer behaupten, mit Cloud Computing entfielen die ungeliebten Software-Lizenzen. Ein Irrtum, wie IT-Rechtsexperte und Fachanwalt Timo Schutt im folgenden Experten-Interview verrät.

Hinweis

Mehr zum Thema Cloud Computing, auch in Sachen Gütesiegel für Anbieter, lesen Sie auf den Webseiten der Initiative EuroCloud Deutschland.

Worauf kommt es bei einem vernünftigen Software-Lizenzmanagement an und wo liegen die Fallstricke bei Lizenzierungen? Darüber sprach business-wissen.de-Redakteur David Wolf mit Timo Schutt, Fachanwalt für IT-Recht und Partner der Kanzlei Schutt, Waetke Rechtsanwälte.

Herr Schutt, Studien belegen: Mit dem Lizenzmanagement in Unternehmen sieht es ähnlich aus wie mit der IT-Sicherheit – keiner kümmert sich richtig darum und blickt konsequent durch. Woran liegt das Ihrer  Ansicht nach?

Ich denke, dass die Haftungsprobleme im Lizenzbereich in den Unternehmen noch nicht entsprechend wahrgenommen werden. Das mag daran liegen, dass die Lizenzen ein virtuelles Gut sind. Keiner kann sie wirklich greifen. Sie werden gekauft und genutzt, ohne dass das Verhältnis von tatsächlicher Nutzung zur bestehenden Lizenzierung regelmäßig geprüft wird. Gerade das Problem der Unterlizenzierung, das nicht selten auftaucht, gerät so oft zur Haftungsfalle. Wenn der Lizenzgeber bemerkt, dass zu wenig Lizenzen gekauft wurden, zum Beispiel über ein Audit, sind nicht nur die Lizenzgebühren nach zu bezahlen, sondern es droht zudem ein Schadensersatzanspruch.

Ein Vorwurf wird vor allem den Herstellern gemacht, die mit ihren Lizenzbestimmungen für Verwirrung sorgen und diese häufig ändern. Können Sie diese Ansicht bestätigen?

Rechtsanwalt Timo Schutt: Es ist nicht schwierig, ein Lizenzmanagement zu etablieren, doch viele Unternehmen verkennen die Problematik.
Rechtsanwalt Timo Schutt: Es ist nicht schwierig, ein Lizenzmanagement zu etablieren, doch viele Unternehmen verkennen die Problematik.

Selbst für Fachanwälte ist es schwierig, durch das Dickicht der verschiedenen Lizenzbedingungen zu dringen. Oftmals verstricken sich die Lizenzgeber durch unterschiedliche Versionen in Widersprüche, die teilweise erst durch ein Gericht aufgelöst werden können. Ich denke, ein Großteil des Problems liegt auch darin begründet, dass Lizenzbedingungen nicht von Juristen, sondern von Technikern entworfen werden. Diese sind oftmals schlicht unwirksam.

Wie sieht es bei mittelständischen Unternehmen aus: Überwiegen hier die Fälle von Über- oder Unterlizenzierung, welche Erfahrungen haben Sie gemacht?

Beides ist an der Tagesordnung. Da ein vernünftiges Lizenzmanagement fast nirgendwo existiert, gibt es kaum kleine oder mittelständische Unternehmen, die exakt die Lizenzen haben, die sie auch brauchen. Entweder gibt es zu viele Lizenzen, oder – was öfter der Fall ist, zu wenige. Dann wächst das Unternehmen, ohne die Lizenzierung mitzunehmen. Beides ist problematisch.

Bei einer Unterlizenzierung drohen rechtliche Konsequenzen. Wie ist das zu verstehen und können Sie ein Beispiel für ein solches Szenario nennen?

Der Begriff „Lizenz“ ist eigentlich nicht juristisch, denn er taucht in keinem Gesetz auf. Hier sprechen wir eigentlich von Nutzungsrechten. Eine Softwarelizenz bedeutet nichts anderes als das Recht, diese im Rahmen der Lizenzbedingungen zu nutzen. Überschreite ich diesen Rahmen, nutze ich die Software rechtswidrig und löse damit Ansprüche auf Unterlassung und Schadensersatz aus.

Eine eventuelle Überlizenzierung und die damit verbundenen Mehrkosten lassen sich durch ein strategisches Lizenzmanagement verhindern. Wie sollte das, gerade für Mittelständler, aussehen?

Eigentlich ist es gar nicht so schwierig ein Lizenzmanagement zu etablieren. Letztendlich sollte eine Person im Unternehmen dafür verantwortlich sein. Am Anfang stehen eine Bestandsaufnahme und die Frage,  welche Lizenzen es im Unternehmen überhaupt gibt. Doch die meisten wissen nicht einmal das. Ausgehend von der so erstellten Liste sollte der evaluierte Bedarf mit dem Bestand regelmäßig abgeglichen werden. So lässt sich leicht erkennen, wo die Schwachpunkte liegen.

Was passiert mit den Lizenzen, wenn der Lizenzgeber Insolvenz anmeldet und welche Konsequenzen können hier auf die Unternehmen zukommen?

Da eine Lizenz ein bloßes Nutzungsrecht ist, stellt die Insolvenz des Lizenzgebers ein Problem dar. Zum einen kann schon der Insolvenzverwalter bestimmte Verträge, auch längerfristige, kündigen, denn er hat ein Sonderkündigungsrecht. Handelt es sich bei der Lizenz um eine Softwaremiete, kann damit das Nutzungsrecht verloren gehen. Die gleiche Problematik taucht auch bei Bugfixes oder Upgrades auf. Ist der Lizenzgeber erst einmal verschwunden, gibt es in der Regel keinen, der einspringen kann, denn bei Standardsoftware wird der Quellcode nicht offen gelegt, so dass ein Support auch für einen Dritten gar nicht möglich ist.

Gibt es Absicherungsmöglichkeiten dagegen?

Da streiten sich die Juristen. Denkbar wäre zum Beispiel die Hinterlegung des Quellcodes bei einem Notar oder einem Rechtsanwalt. Gleichzeitig wird vereinbart, den Quellcode im Insolvenzfall zu Supportzwecken vom Treuhänder aushändigen zu lassen. Hier müsste eigentlich der Gesetzgeber aktiv werden. Zwar gibt es bereits einen entsprechenden Gesetzesentwurf zur Änderung der Insolvenzordnung, doch durch den Regierungswechsel muss dieser erneut ins Parlament eingebracht werden. Wann dies der Fall sein wird, ist derzeit nicht bekannt.

Stichwort Cloud Computing: Befürworter dieser neuen Technologie verweisen auf die Kostenvorteile und die leichtere Handhabbarkeit durch den Zugriff über den Browser. Ist damit das Ende der Software-Lizenzen eingeläutet?

Nein, weil dafür ja auch eine Lizenz benötigt wird, denn genutzt wird die Software immer, egal über welchen Weg. Lizenzen sind wie schon gesagt Nutzungsrechte. Bei Cloud Computing, in welcher Form auch immer, handelt es sich lediglich um eine andere Art der Nutzung, nämlich in der Regel um eine Miete. Hier werden üblicherweise monatliche Zahlungen geleistet und solange bezahlt wird, darf auch genutzt werden.

Das „alte“ Lizenzmodell hingegen, das die Installation von Standardsoftware auf dem Rechner vorsieht, ist jedoch in der Regel als Kaufvertrag anzusehen, da die Software durch eine Einmalzahlung erworben wird. Außerdem kann eine Lizenz auch durch eine Bestellung von Individualsoftware erworben werden – dann haben wir es in der Regel mit einem Werkvertrag zu tun.

Hier steckt der Teufel aber im Detail, denn bei jeder vertraglichen Vereinbarung sollte geprüft werden, welche Vertragsform vorliegt. Oftmals handelt es sich um sogenannte gemischte Vertragstypen, die keinem bestimmten Vertragstyp nach dem BGB zugeordnet werden können.

Vielen Dank für das Gespräch, Herr Schutt.

Über den Autor
David Wolf

David Wolf ist Redakteur bei business-wissen.de. Er betreut die externen Autoren, verantwortet die Themenplanung, erstellt den wöchentlichen Newsletter und managt den Auftritt von business-wissen.de in den sozialen Medien.

Anschriftb-wise GmbH
Bismarckstraße 21
76133 Karlsruhe
Telefon+49 721 1839721
E-Mailwolf@business-wissen.de
Internetwww.business-wissen.de
Xingwww.xing.com/profile/David_Wolf