Bundesamt für Sicherheit in der Informationstechnik

M 2.88 Lizenzverwaltung und Versionskontrolle von Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation

Ohne eine geeignete Versionskontrolle und Lizenzkontrolle kommt es erfahrungsgemäß schnell zur Verwendung verschiedenster Software-Versionen auf einem IT -System oder innerhalb einer Organisationseinheit, von denen eventuell einige ohne Lizenz benutzt werden.

Auf allen IT-Systemen einer Institution darf ausschließlich lizenzierte Software eingesetzt werden. Diese Regelung muss allen Mitarbeitern bekanntgemacht werden, die Administratoren der verschiedenen IT-Systeme müssen sicherstellen, dass nur lizenzierte Software eingesetzt wird. Dafür müssen sie mit geeigneten Werkzeugen zur Lizenzkontrolle ausgestattet werden.

Häufig werden in einer Institution verschiedene Versionen einer Anwendung eingesetzt. Im Rahmen der Lizenzkontrolle sollte es auch möglich sein, einen Überblick über alle eingesetzten Software-Versionen zu erhalten. Damit kann gewährleistet werden, dass alte Versionen durch neuere ersetzt werden, sobald dies notwendig ist, und dass bei der Rückgabe von Lizenzen alle Versionen gelöscht werden.

Darüber hinaus sind die verschiedenen Konfigurationen der installierten Software zu dokumentieren. Damit muss es möglich sein, sich einen Überblick zu verschaffen, an welchem IT-System welche sicherheitsrelevanten Einstellungen eines Produktes durch die Freigabe vorgegeben und welche tatsächlich installiert wurden. Damit kann z. B. schnell geklärt werden, an welchen Rechnern beim Produkt XYZ die Makro-Programmierung installiert worden ist und an welchen nicht.

Damit Lizenzen bei Hardware-Defekten nicht ungültig werden, sollten möglichst Hardware-unabhängige Lizenzen eingesetzt werden. So kann ein IT-System mit weniger Aufwand ersetzt werden, wenn die Hardware ausfällt.

Wenn es notwendig ist, ein Produkt online über einen Lizenzierungsserver des Herstellers zu aktivieren, kann die Lizenz nachträglich verfallen und das Produkt deaktiviert werden. Wenn möglich, sollten Produkte gewählt werden, die nicht online aktiviert werden müssen.

Wenn es möglich und wirtschaftlich sinnvoll ist, sollten unbefristete Lizenzen bevorzugt werden. Damit kann eine Funktionseinschränkung verhindert werden, wenn die Lizenz abgelaufen ist oder die Systemzeit stark abweicht.

Prüffragen:

  • Existiert eine Regelung zur ausschließlichen Nutzung von lizenzierter Software und ist diese allen Mitarbeitern bekannt gemacht?

  • Sind die Administratoren mit Werkzeugen zur Lizenzkontrolle ausgestattet?

  • Existiert eine Übersicht aller eingesetzten Software-Versionen?

  • Sind die verschiedenen Konfigurationen installierter Software dokumentiert?

Stand: 13. EL Stand 2013