Monat: Juni 2021

Bezahlpflichtige Software ist in verschiedenen Preismodellen erhältlich. Manchmal bezahlt man pro Person, manchmal pro Rechenmaschine, auf der die Software installiert oder ausgeführt wird.

Damit nicht mehr Lizenzen genutzt werden, als eingekauft wurden, und dem System-Admin dennoch eine Installation und Verteilung von Einzelschlüsseln erspart bleibt, verlangt manche Software die Installation und den Betrieb eines Lizenzservers. Das hat im Regelfall den Vorteil, dass die Software auf vielen Rechnern vorinstalliert und auf beliebigen Rechnern genutzt werden kann.

Startet ein lizenziertes Programm am Arbeitsplatzrechner, meldet es sich beim Lizenzserver und dieser meldet zurück, ob noch Lizenzen frei sind. Wird das Programm geschlossen, wird auch das an den Server gemeldet und der kann nun wieder eine Lizenz mehr herausgeben.

Problem 1: Arbeitsplatzrechner stürzt ab

Stürzt ein Arbeitsplatzrechner ab oder wird er vom Netzwerk vor Beendigung des lizenzpflichtigen Programms getrennt, kann keine Meldung an den Lizenzserver erfolgen, dass wieder eine Lizenz frei ist. Im Extremfall wird der Lizenzserver dem Arbeitsplatzrechner bei dessen Neustart eine neue Lizenz zuteilen, oder, wenn keine Lizenz mehr übrig ist, dem Rechner sagen: Du darfst das Programm nicht mehr starten, weil das Lizenzkontingent ausgeschöpft ist.

Das wäre ja ganz einfach zu beheben denkt man; die aktiven Programme müssten dem Server nur regelmäßig sagen, dass sie die Lizenz noch benötigen und der Lizenzserver könnte Lizenzen inaktiver Rechner freigeben. Leider hat sich gezeigt, dass Herstellern das zu kompliziert ist, und die einzige Lösung bei Lizenzknappheit in Folge neustartender Arbeitsplatzrechner der Neustart des Lizenzservers ist. Manchmal mit der Folge, dass laufende Programme mit zugewiesener Lizenz dann auch nicht mehr wollen.

Problem 2: Der Lizenzserver stürzt ab oder läuft nicht

Dann kann das lizenzpflichtige Programm auf dem Arbeitsplatzrechner auch nicht starten. Ungünstig, wenn das Softwareprodukt auf einer gerade laufenden Tagung eingesetzt werden soll.

Kommen euch die Update-Beschreibungen einiger Apps aus dem Google Play Store und dem Apple App Store auch so nichtssagend vor? Manche Hersteller schreiben dauerhaft hin, dass sie ihre App immer besser machen.

Problem 1: Daten

In den meisten Fällen hat der Kunde keine Chance zu erfahren, ob er von einer Sicherheitslücke durch die Nutzung der App betroffen war, weil weder die Beschreibung das eindeutig sagen, noch ein Zugriff auf den Quellcode besteht. Die Hersteller sollten dem Kunden nach DSGVO zwar Bescheid sagten, aber gemessen an der Anzahl von Datenlacks, wie häufig wurden Sie schon benachrichtigt?

Problem 2: Änderungen

Auch wenn ein Update nur verschiedene Bugfixes und performance improvements verspricht, werden doch gelegentlich grundlegende Funktionen geändert. Stellen Sie sich eine Closed Source Umfragesoftware vor, nennen wir sie AdamSys, die einen Auswertungsalgorithmus ändert oder die Darstellung. Sie hätten keine Möglichkeit ohne den Hersteller zu erfahren, was genau geändert wurde.

Fragt man bei Auskunftspflichtigen, beispielsweise einer Verwaltungseinheit, die fast ausschließlich mit personenbezogenen Daten hantiert nach, was bestimmte Softwareprodukte ohne Quellcodeoffenlegung mit eingebauter Telemetrie nun genau an den Hersteller übermitteln, und ob darunter auch personenbezogene Datein sein könnten, wenn sie bei einem Crash zufällig diese gerade verarbeiteten, erhält man meist Achselzucken oder Beschwichtigungen als Antwort.

Unübertroffen an Aufwand ist der Lizenzaudit. Gebunden an die Nutzung bestimmter Software ist das Recht der Hersteller einen anlasslosen Lizenzaudit durchzuführen.

Wie läuft so etwas ab? Der Hersteller selbst oder eine von ihm beauftrage Firma verlangt, einen bestimmten Prozentsatz der Rechner auf den Einsatz ihrer Software untersuchen zu dürfen. Zusätzlich dürfen Sie Kennzahlen und weitere Antworten zuarbeiten.

Wenn der Hersteller die Untersuchungsmethode ungünstig vorgibt, besteht auch die Gefahr, dass er im Rahmen dieses Audits personenbezogene Daten zu Gesicht bekommt, die er niemals hätte sehen sollen. Man stelle sich folgendes Szenario vor: Die Firma Büromaschinen möchte wissen, ob ihr Name irgendwo in Dateien auf den gewählten Servern vorkommt und Sie haben dort eine Datenbanksicherung liegen, die eine Tabelle Benutzer enthält:

Benutzer(name, pass_hash, hobbies)

Hat ein Benutzer ein Hobby, das mit Büromaschinen zu tun hat, so stehen die Chancen gut, dass mindestens der Datensatz dieses Benutzers während des Audits angezeigt wird. Sowohl die Hobbies, als auch das Passwort sind für den Auditor aber eigentlich Tabu.

Da nicht jeder Rechner von der gleichen Person betreut wird und solche Datenleaks durch Wissen über die auf den Rechnern liegenden Daten verhindert werden muss, muss nahezu die gesamte Einrichtung am Audit mitwirken. Insgesamt kann das gern über 20 Personenarbeitsstunden kosten.

Damit ist es aber noch nicht getan. Im Vorfeld müssen die Bedingungen vereinbart und gesampelt werden. Und wenn man so etwas nicht regelmäßig von der gleichen Firma hat, prüft man natürlich auch nochmal die Lizenzverträge und -nutzung.

Kennt ihr das? Die Kolleg*innen, die gerne einer Blackboxsoftware ihre personenbezogenen Daten oder genialsten Ideen anvertrauen, haben eine Software bestellt, aber der Schlüssel wird an andere zugestellt, z.B. die Softwarebeschaffung oder den Support, die aber gerade im Urlaub sind? Auf der Suche nach ihrem Schlüssel fragen sie sich durch die ganze Einrichtung, nur um resigniert feststellen zu müssen, dass sie aktuell nicht an ihren Lizenzschlüssel kommen.

Huch, schon wieder abgelaufen. Schnell nachkaufen! Über 500 Euro? Dann geht’s nach VOL/A wohl mindestens in die freihändige Vergabe und etwa 14 Tage Geduld für einen fairen Bieterwettbewerb und den juristischen Overhead.

Lizenzbeschaffung kostet Zeit, nicht nur auf gemeinsamen Sitzungen; wenn man merkt, dass es zu spät zum Ausdrucken oder Rendern des fertigen Videos ist, sondern auch die Zeit von Vergabejursten. Und dann muss die (häufig) billigste Firma auch noch liefern. Selbst nach erfolgreicher Beschaffung hat man meist nur die Lizenz, keinen Support und niemanden den man fragen kann.