FAQ Software-Asset-Management

Wer oder was ist SAM?

  • Software-Asset-Management (SAM) bezeichnet die Gesamtheit aller Prozesse, Regeln und organisatorischer Aspekte in einer Unternehmung, welche den Lebenszyklus von Software-Assets steuern und zu einem legalen, vertragskonformen und effizienten Umgang mit Softwareprodukten führen. Verschiedene Rollenträger mit definierten Verantwortungen gestalten, steuern und nutzen Prozesse und Richtlinien, welche teilweise durch geeignete Werkzeuge unterstützt werden. SAM wird im ISO-Standard 19770-x beschrieben.
  • SAM wird in einen strategischen und einen operativen Teil gegliedert. Im strategischen Teil werden SAM-Konzepte entwickelt und optimiert, Rollen und Prozesse grundsätzlich definiert und Vorschläge zur Governance erarbeitet. Entscheidend ist, dass SAM bei der IT-Architektur nicht nur berücksichtigt, sondern fest eingebunden wird, insbesondere bei Change-Prozessen (Life Cycle). Im operativen Teil werden die in der Strategie festgesetzten Massnahmen durchgeführt und systematisch auf ihren Nutzen überprüft. SAM findet also nicht bloss an einem Ort – z.B. beim SAM-Manager statt, sondern muss in allen Teilen der Unternehmung gelebt werden.

Ziele von SAM

  • Ziel von SAM ist es, nachhaltig Compliance und Rechtmässigkeit herzustellen, Kosten zu senken und Transparenz zu schaffen.
  • Bezüglich Compliance stellt SAM sicher, dass die im Lizenzvertrag vereinbarte Nutzung auch tatsächlich in der Praxis so gehandhabt wird. Eine wichtige Aufgabe von SAM ist es daher auch, dafür zu sorgen, dass den gesetzlichen Bestimmungen (Stichwort Urheberrecht) nachgelebt wird. SAM-Betrachtungen sind in diesem Zusammenhang immer auch Risiko-Betrachtungen.
  • Bezüglich der Kosten hinterfragt SAM die tatsächliche Nutzung und stellt sie in Bezug zu den erworbenen Nutzungsrechten. Hat man beispielsweise «zu viele» Lizenzen – oder die falschen Lizenz-Metriken – sorgt SAM dafür, dass dies erkannt wird und die entsprechenden Massnahmen ergriffen werden können, um den Sachverhalt nachhaltig zu bereinigen.
  • SAM sorgt auch für Transparenz im Unternehmen, weil Prozesse und Verantwortlichkeiten rund um den Gebrauch von Software-Assets beleuchtet und optimiert werden. Die daraus gewonnenen Erkenntnisse dienen nicht nur dem Management als strategische Entscheidungshilfe, sondern können auch für Optimierungsmöglichkeiten vor Ort genutzt werden.

Was bedeutet Software-Inventarisierung?

  • Bei der Software-Inventarisierung wird die Anzahl der genutzten Software-Installationen gezählt und mit den erworbenen Lizenzrechten verglichen. Es handelt sich um einen technischen Zählvorgang, bei dem u.a. Attribute wie Versionsnummer, Sprache, Betriebssystem etc. erfasst werden.

Warum wird Software-Inventarisierung an der ETH Zürich von den Informatikdiensten durchgeführt?

  • Seit vielen Jahren profitieren ETH-Angehörige von einem attraktiven Angebot an Campus-Software. Diese Software wird durch die Informatikdienste der ETH Zürich eingekauft und dann (z.B. via IT Shop) an die ETH-Angehörigen abgegeben.
  • Nutzungsbestimmungen für Software sind oftmals sehr komplex. Beispielsweise muss die ETH Zürich als Lizenznehmerin sicherstellen, dass nur die im Vertrag angegebene Menge an Lizenzen genutzt wird oder dass die Hardware den im Vertrag festgelegten Bestimmungen entspricht (z.B. Anzahl CPUs etc.).
  • Die Informatikdienste müssen deshalb Werkzeuge einsetzen, um die Einhaltung der Bestimmungen zu überprüfen, damit ggf. Anpassungen an Verträgen vorgenommen werden können. Der Grund für den Einsatz solcher Werkzeuge basiert also nicht auf einem «Misstrauen» gegenüber den Anwenderinnen und Anwendern und es liegt auch kein konkreter Verdachtsfall vor, dass gegen Lizenzbestimmungen verstossen wurde. Die Informatikdienste müssen aber aus vertraglichen Verpflichtungen heraus in der Lage sein, dem Lizenzgeber Rechenschaft über die tatsächliche Installationsbasis zu geben.

Wie funktioniert eine Software-Inventarisierung?

  • Ein Inventarisierungswerkzeug erfasst auf den ETH-Rechnern installierte Software-Produkte, damit eine lizenzrelevante Auswertung möglich wird.
  • Die Installation eines Inventarisierungsprogramms auf den Zielrechnern erfolgt durch Softwareverteilung auf Basis des Active-Directorys mittels Microsoft-Installer. Dabei wird einer Organisationseinheit (OU) eine Gruppenrichtlinie (GPO) zugewiesen und damit auf allen enthaltenen Rechnern die Software installiert. Die Zuweisung erfolgt durch die zuständigen AD-Admins pro OU (i.d.R. die ISLs).
  • Nach Abschluss einer Inventarisierungsperiode wird das Programm wieder durch die Softwareverteilung deinstalliert.

Wer macht das und darf man das machen?

  • Diese Inventarisierung wird von den Informatikdiensten der ETH Zürich (als Service-Provider bezüglich Abgabe von Campus-Software) durchgeführt und ist mit der SGU, dem Rechtsdienst der ETH Zürich und dem Chief Information Security Officer (CI-TSO) der ID koordiniert.

Was wird genau gemacht/welche Daten erhoben?

  • Bei der Inventarisierung werden – ausser dem Login-Namen des Benutzenden – keine personenbezogenen Daten (s.u.) erfasst. Bei der Analyse der Daten wird der Login-Name ignoriert, weil nur die installierten Softwareprodukte für das Software-Inventar von Interesse sind. Das Inventarisierungswerkzeug kann nur die installierten Softwareprodukte sowie deren Release-/Versionsdaten) erfassen. Das Werkzeug ist technisch nicht in der Lage, irgendwelche andere Daten wie z.B. Bilder, Texte etc. zu erfassen, die sich auf dem Rechner befinden. Ausserdem erfasst das Werkzeug die Hardwaredaten des Rechners, also z.B. die Marke, die Anzahl der Prozessoren etc.
  • Der technische Prozess der Inventarisierung erfolgt im Hintergrund, dauert pro Gerät nur jeweils wenige Sekunden und belastet das System kaum, so dass er für Endbenutzenden nicht spürbar ist.

Warum werden nicht die Daten von bestehenden Datenquellen wie zum Beispiel Baramundi benutzt?

  • Grundsätzlich sind in bestehenden Datentöpfen SAM-relevante Daten vorhanden, diese liegen aber nicht in einer für SAM auswertbaren Form vor.

Wer bzw. was ist betroffen?

  • Alle Windows-basierten im Active-Directory erfassten ETH-Rechner sind Gegenstand der Inventarisierung. Dies können Tischrechner, virtuelle Server und Laptops sein.
  • Nicht erfasst werden hingegen private Maschinen von Studierenden oder Rechner mit einem anderen Betriebssystem als Windows.

Was ist seitens der Endbenutzenden zu tun?

  • Als Endbenutzerin bzw. Endbenutzer müssen Sie gar nichts aktiv beitragen. Ihr IT-Verantwortlicher wird – in Zusammenarbeit mit den Informatikdiensten – die technischen Voraussetzungen für die Inventarisierung schaffen (z.B. Firewall-Settings anpassen).

Welchen Nutzen hat die Inventarisierung?

  • Einerseits hilft die Inventarisierung, die Compliance-Bemühungen der Informatikdienste der ETH Zürich zu unterstützen. Diese sind wiederum ein wichtiger Faktor bei Lizenzverhandlungen und führen letztendlich dazu, dass die Informatikdienste weiterhin günstige Campus-Software zur Verfügung stellen kann.
  • Letztendlich wollen die Informatikdienste aber die Inventarisierungsdaten auch den Departementen und Abteilungen zur Verfügung stellen, damit beispielsweise auf lokaler Ebene die internen Kosten für Software weiter optimiert werden können und die Software bedarfsgerecht eingesetzt werden kann.
  • Nutzen für die ETH
    • Reputationsrisiko wird verringert.
    • Finanzielles Risiko wird verringert.
    • Schaffung von Transparenz bezüglich Assets, (SAM-)Prozessen, Aufbauorganisation.
    • Schaffung bzw. Erhaltung von Compliance.
  • Nutzen für die ISLs
    • Erhält Transparenz innerhalb Departement bezüglich Assets/Kosten/Compliance.
    • Erkennt Kostentreiber und kann seine internen Kostenstrukturen anpassen.
    • Erhält quantitative Basisdaten zur Palette der «strategischen SW-Werkzeuge».
    • Spielt wertvolle Rolle als Asset-Manager.
  • Nutzen für die ID
    • Hilft allfällige Compliance-Probleme zu eruieren.
    • Hilft Verträge anzupassen und Kosten zu optimieren.
    • Hilft beim Bewirtschaften des gesamten SW-Life-Cycles.
    • Erhöht die Agilität der ID (Kontakt/Hilfe/Support/Fragen).

Kontakt Hilfe/Support/Fragen: An wen wenden?