Unübertroffen an Aufwand ist der Lizenzaudit. Gebunden an die Nutzung bestimmter Software ist das Recht der Hersteller einen anlasslosen Lizenzaudit durchzuführen.
Wie läuft so etwas ab? Der Hersteller selbst oder eine von ihm beauftrage Firma verlangt, einen bestimmten Prozentsatz der Rechner auf den Einsatz ihrer Software untersuchen zu dürfen. Zusätzlich dürfen Sie Kennzahlen und weitere Antworten zuarbeiten.
Wenn der Hersteller die Untersuchungsmethode ungünstig vorgibt, besteht auch die Gefahr, dass er im Rahmen dieses Audits personenbezogene Daten zu Gesicht bekommt, die er niemals hätte sehen sollen. Man stelle sich folgendes Szenario vor: Die Firma Büromaschinen möchte wissen, ob ihr Name irgendwo in Dateien auf den gewählten Servern vorkommt und Sie haben dort eine Datenbanksicherung liegen, die eine Tabelle Benutzer enthält:
Benutzer(name, pass_hash, hobbies)
Hat ein Benutzer ein Hobby, das mit Büromaschinen zu tun hat, so stehen die Chancen gut, dass mindestens der Datensatz dieses Benutzers während des Audits angezeigt wird. Sowohl die Hobbies, als auch das Passwort sind für den Auditor aber eigentlich Tabu.
Da nicht jeder Rechner von der gleichen Person betreut wird und solche Datenleaks durch Wissen über die auf den Rechnern liegenden Daten verhindert werden muss, muss nahezu die gesamte Einrichtung am Audit mitwirken. Insgesamt kann das gern über 20 Personenarbeitsstunden kosten.
Damit ist es aber noch nicht getan. Im Vorfeld müssen die Bedingungen vereinbart und gesampelt werden. Und wenn man so etwas nicht regelmäßig von der gleichen Firma hat, prüft man natürlich auch nochmal die Lizenzverträge und -nutzung.