Gefahren eindämmen

Software Asset Management trifft Cyber-Security

Wer das Thema Softwarelizenzen im Unternehmen vernachlässigt, riskiert nicht nur finanzielle Nachteile. Schlecht oder gar nicht verwaltete Softwaresysteme können auch zu ernsten Sicherheitsproblemen führen.

Unternehmen investieren in der Regel 25 Prozent ihres IT-Budgets in Software. Aber anders als bei Sachwerten wie Schreibtische, Stühle oder Maschinen, lässt sich Software nur sehr schwierig nachverfolgen und inventarisieren. Ein Blick auf die Anzahl von Desktops, Laptops, mobilen Geräten, Servern und Cloud-basierten Anwendungen in einem Unternehmen, auf denen Software installiert ist, macht das nur zu deutlich.

Wo genau Software auf den Geräten vorhanden ist, macht dabei nur einen Aspekt aus. Viel wichtiger ist es oft, einen Überblick zu haben, wie diese Software genutzt wird und ob diese Nutzung den vertraglichen Compliance-Richtlinien entspricht. Liegt die tatsächliche Nutzung über den vereinten Bedingungen, liegt ein Lizenzverstoß vor und das Unternehmen muss mit außerplanmäßigen Ausgleichszahlungen und Strafen rechnen. Diese können sich pro Jahr und je unlizenzierter Anwendung auf mehrere Millionen Euro belaufen. Nutzen Unternehmen ihre Lizenzen nicht voll aus, zahlen sie den vollen Preis für eine Ware, die sie kaum oder gar nicht benutzen.

Laut einem aktuellen IDC-Report, verschlingt das komplexe Management von Softwarelizenzen in Unternehmen indirekt durchschnittlich 25 Prozent des jährlichen Budgets für Softwarelizenzen. Unternehmen setzen daher mehr und mehr auf umfassende Programme zur Softwarelizenzoptimierung, die Mitarbeiter, Prozesse und Automatisierungswerkzeuge einbeziehen. So lassen sich unwirtschaftliche Ausgaben für Softwarelizenzen vermeiden und Compliance-Risiken im Zusammenhang mit nicht verwalteter Software niedrig halten.

Security-Risiken durch schlecht verwaltete Software

Softwarebestände, die nicht richtig gepflegt und verwaltet werden, verursachen enorme Risiken für die Cyber-Security in Unternehmen. Viele Organisationen haben sich daher diesem Thema angenommen und eine Reihe von Sicherheitsstandards und Rahmenvorgaben entwickelt. Dazu gehört auch das SANS Institute, das eine Prioritätenliste von Sicherheitsmaßnahmen erstellt hat, das Unternehmen vor realen Bedrohungen im Netz wappnen soll. Ganz oben auf der Liste: Unternehmen müssen in der Lage sein, ihre gesamte Hardware aktiv zu verwalten - einschließlich Inventarisierung, Nachverfolgung und Fehlerbehebung. Die zweite wichtige Maßnahme konzentriert sich auf die Inventarisierung von autorisierter und nicht autorisierter Software.

Malware und Viren können sich in schlecht verwalteten Softwareumgebungen besonders leicht ausbreiten.
Malware und Viren können sich in schlecht verwalteten Softwareumgebungen besonders leicht ausbreiten.
Foto: santiago silver, Fotolia.com

Wie zentral das Software Asset Managements (SAM) für die Cybersecurity ist, verdeutlichte auch der Business Software Alliance (BSA)/IDC-Report. Je mehr Software demnach unlizenziert auf den Rechnern eines Unternehmens läuft, desto höher ist das Risiko von Malware. Das Fazit der Experten: Unternehmen müssen nicht lizenzierte Software auf ein Minimum reduzieren, um die Sicherheit ihrer Netzwerke gewährleisten zu können.

Allein im Jahr 2014 konnten 15.435 Schwachstellen in 3.870 Softwareprodukten entdeckt werden. Das bedeutet einen Anstieg von 55 Prozent gegenüber dem Vorjahr und setzt den Trend der letzten fünf Jahre fort. Für 83 Prozent aller Sicherheitslücken stehen bereits am Tag der Veröffentlichung Patches zur Verfügung. Im Klartext heißt das: Jede Schwachstelle kann behoben werden, Unternehmen müssen nur wissen, wo sie zu finden sind. Software Vulnerability Management entwickelt sich daher zu einem wesentlichen Bestandteil innerhalb von Sicherheitskonzepten.