Bundesamt für Sicherheit in der Informationstechnik

G 2.188 Unzureichende Vorgaben zum Lizenzmanagement bei Cloud-Nutzung

Im Zusammenhang mit dem Lizenzmanagement besteht für eine Institution, auch bei der Nutzung von Cloud Services, die Notwendigkeit zur Definition von klaren Verantwortlichkeiten. Gerade die Thematik der Lizenzen wird jedoch bei Cloud-Nutzung häufig nicht ausreichend betrachtet.

Ohne eindeutige Regelung, für welche Lizenzen die nutzende Institution und für welche der Cloud-Diensteanbieter verantwortlich zeichnet, drohen rechtliche Konsequenzen. Bei Lizenzprüfungen kann unter Umständen kein valider Nachweis über die rechtmäßige Nutzung der eingesetzten Lizenzen erbracht werden. Um finanzielle Nachforderungen oder anderweitige Konsequenzen zu vermeiden, sollte die Institution darüber auskunftsfähig sein, welche Lizenzen sie in den Cloud Service eingebracht hat und welche Lizenzen vom Cloud-Diensteanbieter bezogen werden beziehungsweise in seinem Verantwortungsbereich liegen.

Beispiele:

  • Eine Institution benötigt insgesamt 500 Windows-Server. 300 dieser Server werden mit Lizenzen betrieben, die direkt durch die Institution erworben wurden. Die restlichen 200 Lizenzen für den Betrieb der Server werden vom Cloud-Diensteanbieter bezogen.
  • Für die Verwendung einer Office-Web-Applikation lässt sich die benötigte Anzahl der Lizenzen für interne Anwender einfach ermitteln. Die Zahl der extern benötigten Lizenzen ist jedoch für die Institution unklar. In der Folge dürfen Mitarbeiter die Office-Web-Applikation nur für interne Zwecke einsetzen.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK