Compliance – ein immer wieder unterschätztes Risiko

Wer spricht denn heute noch von Software-Lizenzen, im Zeitalter von Open Source, Digitalisierung und Cloud?

Nun, für die Zukunft mag das Thema Lizenzierung an Relevanz verlieren. Aber dass es sich derzeit noch lohnt, die eigene Lizenzsituation unter die Lupe zu nehmen – oder vielmehr: dass das essentiell wichtig ist – zeigt das folgende Beispiel. Aber der Reihe nach …

Im Anschluss an eine Veranstaltung zum Thema Lizenzierung von Oracle Software kam ein Teilnehmer auf mich zu und bat mich, einmal persönlich bei ihm und seinem Chef vorbeizukommen. Er habe da so ein ungutes Gefühl …

Einige Tage später nun saßen wir zusammen und sprachen über die Situation, die bei meinem Gegenüber das besagte ungute Gefühl erzeugt hatte. Nach einer ersten Diskussion und einer groben Abschätzung der Rahmenbedingungen entschieden wir, die Compliance der Oracle Datenbanken des Unternehmens einmal im Detail zu überprüfen.

Insgesamt war das alles gar nicht so viel. Es ging um knapp 50 Datenbank-Instanzen, die größtenteils als Oracle Standard Edition (SE) lizenziert und weltweit in verschiedenen unternehmenseigenen Rechenzentren installiert und betrieben wurden. Ein paar Datenbanken der Oracle Enterprise Edition (EE) waren auch darunter. Mithilfe eines Vermessungsskripts analysierten wir sämtliche Instanzen, sammelten zusätzliche Informationen über die eingesetzte Hardware- und Betriebssystem-Infrastruktur und nahmen natürlich auch den Lizenzbestand auf.

Schon bei der technischen Analyse der Instanzen gab es erste Überraschungen: Einige der SE Datenbanken waren tatsächlich als EE Datenbanken installiert. Teilweise wurden Optionen eingesetzt (z. B. Partitioning, Advanced Compression), und auch die Enterprise Management Packs waren größtenteils freigeschaltet und daher auch teilweise in Verwendung, hier insbesondere Funktionalitäten der Diagnostics und Tuning Packs. Die Lizenzsituation war also nicht ganz „sauber“. Alles in allem waren die Unstimmigkeiten in diesem Bereich aber noch überschaubar und hätten im Falle eines formalen Audits durch Oracle zwar zu ärgerlichen Nachzahlungen geführt, blieben aber noch in einem vertretbaren Rahmen.

Bei der Analyse der Hardware- und Betriebssystem-Infrastruktur stellte sich die Lizenzsituation dann schon kritischer dar. Wie in vielen Unternehmen üblich trennte auch dieser Kunde den Sytembetrieb vom Betrieb der Oracle Datenbanken. Und so passierte, was passieren musste: Die Rechenzentren waren weltweit komplett mittels VMware virtualisiert. Sie konnten untereinander so transparent kommunizieren, dass von jedem Standort aus jedes System erreichbar war. Die Systeme wurden zwar in diversen vCentern verwaltet, aber eine weitergehende Trennung gab es nicht. Und eines Tages wurden sämtliche VMware-Umgebungen der Reihe nach auf die Version 6.0 aktualisiert.

Wer sich ein wenig mit der Lizenzpolitik von Oracle auskennt, weiß, dass dieser Umstand unweigerlich zu großen Problemen führt. In den Lizenzbedingungen von Oracle (Oracle Master Agreement, OMA) heißt es wörtlich „… alle Prozessoren, auf denen die Oracle Programme installiert sind und/oder ablaufen.“

Die Lizenzierung entsprach schon unter VMware 5.5 nicht ganz dieser Regel. Durch das Upgrade auf 6.0 musste nun die virtualisierte Hardware komplett aufgenommen und durchkalkuliert werden.

Zum Hintergrund: Durch vMotion Live Migration kann jede virtuelle Maschine vCenter-übergreifend in der gesamten Infrastruktur des Unternehmens verschoben werden, und zwar zur Laufzeit. Entsprechend nimmt Oracle an, dass auf allen Systemen eine Installation vorliegt – und da gemäß der Regelung im Oracle Master Agreement „alle Prozessoren, auf denen die Oracle Programme installiert sind und/oder ablaufen“ zu lizenzieren sind, wird dies auch hier verlangt. Dazu kommt, dass SE und EE als zwei verschiedene Produkte auch für die komplette Umgebung zu berücksichtigen sind. Das heißt, das Unternehmen meines Gesprächspartners hätte seine komplette Infrastruktur nicht nur einmalig weltweit lizenzieren müssen , sondern sogar doppelt, einmal für SE, einmal für EE inkl. einiger Optionen und Enterprise Management Packs.

Um die Größenordnung einzuschätzen: Nach Listenpreisen hätte sich für diesen Kunden eine Lizenzunterdeckung in Höhe von ca. 95 Mio. Euro ergeben, zuzüglich 22 % Support pro Jahr!

Man reagierte unvermittelt: Die Verantwortlichen gingen umgehend und mit höchster Priorität an die Bereinigung der Situation. Heute ist die Umgebung neu aufgesetzt und entsprechend den Lizenzbedingungen von Oracle installiert und konfiguriert. Ein Audit fand bislang nicht statt, aber man wäre dafür nun bestens gewappnet.

Compliance ist eben doch ein relevantes Thema …

Dieser Beitrag wurde unter Cloud & Infrastructure, Strategy & Methods veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s