| URMZ, Hochschule, Service

„Ein Compliance-Nachweis ist für die Universität unerlässlich“

Ende 2020 sorgte die Ankündigung des Universitätsrechen- und Medienzentrums (URMZ), die Uni Erfurt wird ein neues sogenanntes Software Asset Management Tool (SAM) einführen, bei einigen Kolleginnen und Kollegen für Unruhe. Manche von ihnen befürchteten Datenschutzverletzungen und kritisierten eine mögliche Überwachung ihrer Arbeit am Computer durch das URMZ. Wir haben dazu bei Frank Trefflich, dem Leiter des Rechenzentrums, nachgefragt…

Herr Trefflich, was leistet die neue Software und warum ist ihre Einführung notwendig?
Wegen der sich immer komplexer gestaltenden Lizenzmodelle der verschiedenen Softwarehersteller wird es nicht nur für die Universität Erfurt immer schwieriger, den Nachweis einer ausreichenden Lizenzierung (Compliance) zu erbringen. Wenn wir dies aber nicht sauber belegen können, kann das für die Universität sehr teuer werden. Mit der Einführung des Software Asset Management Tools kann die Uni einen solchen Nachweis künftig automatisiert führen – das macht die Sache für alle rechtssicher und spart nebenbei auch noch Arbeit.

Wie lösen die anderen Hochschulen in Thüringen das Problem?
Genau so. Die Thüringer Hochschulen sind ja in einem gemeinsamen IT-Zentrum koordiniert und stimmen sich dort auch zu solchen Fragestellungen ab. Die Einführung haben sie vor dem genannten Hintergrund gemeinsam für alle beschlossen. An ersten Hochschulen, z.B. an der FH Erfurt, ist das auch schon geschehen, andere, wie die TU Ilmenau und wir, stehen kurz davor. Aber auch außerhalb Thüringens wird das System bereits genutzt, z.B. an der Humboldt-Uni Berlin, der Uni Würzburg, der Uni Gießen und der Uni Magdeburg.

Welche Geräte betrifft das – auch die selbstadministrierten oder ausschließlich die vom Rechenzentrum administrierten?
In einem ersten Schritt betrifft das ausschließlich die vom URMZ administrierten Geräte. Aktuell diskutieren wir noch, wie wir im nächsten Schritt auch den Schutz für die selbstadministrierten Rechner anbieten können. Für letztere planen wir noch eine eigene Informationsveranstaltung, bei der auch die Fragen der Nutzer*innen geklärt werden sollen. Wohlgemerkt, es geht hier nicht um private Rechner, sondern um Dienstgeräte – für die die Universität Erfurt ja verantwortlich zeichnet.

Und wie arbeitet das Lizenz-Management-System?
Um eine Übersicht über alle installierten Lizenzen zu bekommen, wird mit Hilfe eines Scanners, konkret des „Columbus Inventory Agent“, der auf dem Rechner / Server installiert wird, die Software mit Versionsstand und der für das Lizenzmanagement relevanten Hardware-Informationen (z.B. Anzahl der CPU) ermittelt. Diese Informationen werden an die Datenbank des SAM-Systems übergeben. Dort werden dann anhand eines Kataloges die Lizenznutzungsbedingungen der jeweiligen Software erkannt und erfasste Lizenzen entsprechend zugeordnet.

Das System verarbeitet die erfassten Daten durch Vergleich mit innerhalb des Systems vorliegenden Lizenz-Katalogen und ermittelt dann, um welches Produkt es sich handelt. Sollte das Produkt noch nicht im Katalog vorhanden sein, werden die Informationen anonymisiert an den Software-Hersteller übertragen, damit das Produkt in den Katalog aufgenommen werden kann. Dies ist erforderlich, um den so genannten Compliance Check, d.h. den Vergleich von an der Hochschule vorhandener Software (= Soll-Stand), mit der installierten Software (= Ist-Stand), vornehmen zu können, wozu die Hochschulen auch vertraglich und gesetzlich verpflichtet sind.

Je nach Konfiguration werden die IP-Adresse des Rechners und der Hauptnutzer automatisch ermittelt. Das ist z.B. für die Zuordnung und die Compliance-Berechnung von Named-User-Lizenzen zwingend erforderlich, denn immer mehr Lizenzgeber stellen ihre Lizenzmodelle von gerätebezogener auf die nutzerbezogene Lizenzierung um. Sollte dies nicht automatisch möglich sein, weil es z.B. keinen Hauptnutzer gibt (z.B. Pool-PCs), kann eine manuelle Zuordnung erfolgen.

Wann genau soll denn die Einführung starten?
Die Einführung soll zunächst im Senat diskutiert werden. Erst dann würden wir mit der Installation starten. Und, wie bereits gesagt, zunächst erst einmal nur mit der Installation auf den vom URMZ administrierten Rechnern.

Wird die Software dann über das Rechenzentrum automatisch eingespielt oder muss ich als Nutzer irgendetwas veranlassen?
Bei allen vom URMZ administrierten Arbeitsplatzrechnern wird der Agent automatisch per Softwareverteilung installiert. Bei Notebooks ist zu beachten, dass sich diese dafür im Campusnetz befinden und der Nutzer angemeldet sein muss. Dies ist aber ohnehin von Zeit zu Zeit erforderlich, um auch alle anderen notwendigen Updates (insbesondere Sicherheitsupdates) auf den Geräten einspielen zu können.

Und wie sieht das mit dem Datenschutz aus? Müssen die Kolleginnen und Kollegen nun befürchten, in Bezug auf die von ihnen genutzten Programme vom Rechenzentrum „überwacht“ zu werden?
Nein, das möchte ich auch noch einmal ausdrücklich betonen. Durch die Nutzung des Scanners wird ausschließlich die installierte Software des Rechners erfasst. Es werden keine Daten erhoben, die Rückschlüsse auf die Nutzung der auf dem Rechner installierten Software ermöglichen. Das heißt: Was im Rechenzentrum registriert wird, ist lediglich, ob für alle genutzten Programme auch eine entsprechende Anzahl von Lizenzen vorliegt, das Ganze also rechtssicher ist, um mögliche Strafzahlungen zu verhindern. Erfasst wird nicht, ob und wenn ja, wie oft oder lange jemand ein Programm bzw. eine Software nutzt. Wir schützen damit auch die Kolleginnen und Kollegen vor rechtlichen Konsequenzen. Und selbstverständlich war und ist auch die Datenschutzbeauftragte in diesen Prozess eingebunden.

Und wenn ich nun auf meinem Rechner Software nutze, die bislang nicht zentral angeboten wurde, – muss ich befürchten, dass mir die Nutzung untersagt wird?
Nein, nochmal: Es geht darum, belegen zu können, dass es für jede auf Dienstrechnern genutzte Software auch eine entsprechende Lizenz gibt. Um nicht mehr. Im Gegenteil: Vielleicht stellt sich ja heraus, dass vergleichsweise viele Kolleginnen und Kollegen Programme nutzen, die vom URMZ bislang nicht zentral angeboten wurden. Dann könnte man über eine zentrale Beschaffung nachdenken – von der dann am Ende alle profitieren.

Für darüber hinaus gehende Fragen steht Ihnen der Leiter des URMZ, Frank Trefflich, gern zur Verfügung.