Lizenzmodelle der Netzwerkausrüster

Doch was ist eine Lizenz genau? Sie ist eine rechtsgültige Erlaubnis, die einem Nutzer (Lizenznehmer) vom Inhaber eines Schutzrechts (Lizenzgeber) erteilt wird, um dessen immateriellen Rechte innerhalb definierter Grenzen wirtschaftlich zu nutzen. Diese Nutzungsrechte sind im entsprechenden Vertrag geregelt, der unter anderem Umfang, Laufzeit, Entgelt und Vertragsstrafen regelt. Der Lizenznehmer darf die Rechte des Lizenzgebers nutzen, ohne Eigentümer zu sein. Als Gegenleistung werden in den meisten Fällen Gebühren fällig.

Dabei beschränkt sich die Thematik nicht auf den Netzwerk-Bereich. Nahezu jede Software ist an Lizenzbedingungen geknüpft – auch dann, wenn sie kostenlos genutzt oder als Open-Source-Projekt angeboten wird. Bezogen auf die Betriebssoftware der Netzwerkkomponenten heißt das, dass der Hersteller, neben dem Verkauf der Hardware, eine (kostenpflichtige) Nutzung der Software regelt.

Dieser Artikel fokussiert sich auf die praktische Seite der Lizenzierung im Netzwerk-Umfeld und klammert eine tiefe rechtliche Analyse bewusst aus. Stattdessen beleuchten wir praxisrelevante Aspekte wie unterschiedliche Typen, Laufzeiten, das Management und typische Fallstricke bei Beschaffung und Umgang mit Lizenzen. Ein für die Betriebskosten entscheidender Punkt ist hierbei die oft übersehene Trennung zwischen Funktion, Support und Updates. Hier wurde lange Zeit zwischen dauerhaften und laufzeitbasierten Lizenzen (Subscriptions) unterschieden. Doch diese Abgrenzung wird zunehmend aufgeweicht. Es gibt immer weniger Netzkomponenten, für die keine Lizenz erworben werden muss oder für die keine Subscriptions abgeschlossen werden können bzw. müssen. Das Modell und die benötigten Lizenzen haben eine unmittelbare Auswirkung auf die Auswahl der infrage kommenden Komponenten und die Betriebskosten über die Lebenszeit der Hardware. Eine unvollständige Bestellung, Unwissen über Folgekosten nach der Erstlaufzeit sowie umständliches und zeitintensives Handling sind typische Herausforderungen im Betriebsalltag.

Basierend auf den Erfahrungen aus zahlreichen Projekten der vergangenen Jahre beobachten wir, dass der Anteil an Subscriptions weiter zunimmt. Ein Grund für diese Zunahme ist sicherlich, dass die Hersteller von dem kontinuierlichen Cashflow profitieren und die Kunden über einen längeren Zeitraum an sich binden als bei einem Einmal-Kauf. Damit vergrößert sich auch der durch laufende Kosten entstehende Anteil an den Gesamtkosten eines IT-Systems.

Am Beispiel eines Campus-Access-Switches eines europäischen Herstellers wird das schnell deutlich: Bezogen auf die Gesamtkosten beträgt der Anteil der Management-Lizenzen nach einer Laufzeit von 8 Jahren ca. 30%. Dabei bietet der Hersteller hinsichtlich des Managements gute Alternativen, mit deren Hilfe man, wenn auch verbunden mit einem gewissen Komfort-Verlust, auf das Cloud-Management verzichten könnte.
An einem anderen Beispiel wird der Unterschied zwischen den Kosten für die Hardware und die für den Betrieb notwendigen Lizenzen noch deutlicher: Bei einem renommierten Firewall-Hersteller beträgt der Anschaffungspreis für die Firewall-Hardware 6.200,00 €. Die Kosten für die notwendigen Features einschließlich einer Hardware-Wartung für 5 Jahre belaufen sich auf ca. 26.300 €. Damit betragen die Hardwarekosten gerade mal 20% der Gesamtkosten. Zudem kann die Firewall ohne eine Verlängerung nach Ablauf der 5 Jahre kaum sinnvoll weiterbetrieben werden.

Arten von Lizenzen

Im Folgenden gehen wir auf die verschiedenen und verbreiteten Arten von Lizenzen im Netzwerk-Bereich ein. Typischerweise werden in der Praxis mehrere Arten miteinander kombiniert, sodass für ein Produkt oft mehrere erforderlich sind. Zudem kann es vorkommen, dass nicht alle davon für ein Produkt relevant sind bzw. dass sie bereits im Hardwarepreis oder in anderen Vereinbarungen enthalten sind.

Feature- und Funktions-Lizenzen

Klassische Feature-Lizenzen sind häufig anzutreffen. Hier werden bestimmte Funktionalitäten der Komponenten an den Erwerb einer entsprechenden Lizenz gekoppelt. Eine Grund-Funktionalität ist durch eine Basis-Lizenz abgedeckt, die beim Kauf bereits enthalten ist oder zwingend gekauft werden muss. Bei einem Switch sind beispielsweise grundlegende Layer-2-Funktionen enthalten, was für viele Anwendungsfälle bereits ausreicht. Erweiterte Funktionen, wie Routing-Fähigkeit oder erweiterte Analyse-Funktionen, müssen hingegen über eine zusätzliche Funktions-Lizenz freigeschaltet werden.

Ein weiterer Ansatz ist, den Datendurchsatz von Geräten anhand verschiedener Stufen zu regulieren – ein typischer Fallstrick bei der Bestellung von Routing-Hardware. Auch wenn die Ausstattung einer Komponente einen hohen Durchsatz vermuten lässt (z.B. durch SFP28-Interfaces für 25 Gbit/s), bedeutet das nicht, dass dieser ohne eine passende Kapazität erreicht wird. Hier ist die Aufteilung in Stufen noch klarer abgegrenzt. Oft ist im Basisumfang nur ein geringer Durchsatz freigeschaltet, der durch höhere Stufen erweitert werden muss. Diese Lizenz kommt dann zusätzlich zu den ohnehin erforderlichen Funktionen für Protokolle wie BGP oder IPsec hinzu.

Da die Auswahl einzelner Lizenzen sehr anspruchsvoll sein kann, bieten Hersteller nicht selten gebündelte Pakete an. Dabei werden die für einen Anwendungsfall benötigte Einzellizenzen zusammengefasst, was die Bestellung vereinfacht. Diese Pakete folgen meist einer „Tiering-Logik“ mit Stufen wie „Basic“ oder „Advanced“, wobei höhere Stufen die Funktionen der darunterliegenden inkludieren. Eine Mischung verschiedener Level auf einem Gerät ist in der Regel nicht möglich. Der Vorteil liegt in der Einfachheit. Der Nachteil: Benötigen Sie nur eine einzige Funktion aus einem teureren Paket, müssen Sie oft die gesamte höhere Stufe erwerben und bezahlen für viele Features, die ungenutzt bleiben. Dies reduziert die Flexibilität und kann die Kosten ohne realen Mehrwert erhöhen. Dieser Umstand ist beabsichtigt, da Hersteller ein Interesse daran haben, die teureren Pakete zu verkaufen und die notwendigen Informationen in unübersichtlichen Dokumenten “verstecken”. Aus Sicht des Technikers führt dies in der Praxis dazu, dass man „zur Sicherheit“ eine zu große Lizenz bestellt, um nachträgliche und aufwändige Nachbestellungen sowie unangenehme Rückfragen zu vermeiden.

Positiv zu bewerten und von den jeweiligen Herstellern entsprechend beworben sind Komponenten, bei denen alle verfügbaren Leistungsmerkmale im Grundpreis enthalten sind. Auf diese Weise entfällt zumindest die Auswahl der passenden Feature-Lizenz.

Management-Lizenzen

Während sich Funktions-Lizenzen auf die Funktion des Gerätes selbst beziehen, ermöglichen Management-Lizenzen die zentrale Verwaltung von Geräten über eine herstellerspezifische Cloud- oder On-Prem-Plattform. Typ und Kosten hängen oft direkt vom Gerät und dessen zugewiesener Funktion ab. So ist eine Management-Lizenz für einen Switch mit Basisfunktion in der Regel günstiger als für einen mit stärkerer Hardware und erweitertem Funktionsumfang.

Auch bei Management-Lizenzen sind verschiedene Stufen verbreitet. Während eine Basis-Stufe die grundlegende Konfiguration und Überwachung abdeckt, schalten höhere Tiers erweiterte Funktionen wie tiefgehende Analysen, KI-gestützte Fehlerbehebung (Assurance) oder komplexe Automatisierungsfunktionen frei.

Lizenzen für Wartung und Support

Wartungs- und Support-Lizenzen sichern den Zugang zu Software-Updates und Herstellerunterstützung über die gesamte Produktlebensdauer der Komponenten und gewährleisten damit Stabilität und Sicherheit im Betrieb.

Die Wartungskomponente einer Lizenz sichert primär die laufende Softwarepflege. Für den lizenzierten Geräte- oder Softwarebestand stehen Software-Downloads, Dokumentationen, Versionsinformationen und „Release Notes“ bereit. Zwar stellen Hersteller besonders kritische Sicherheitsupdates auch ohne Wartungs-Lizenz zur Verfügung, doch sind für einen verlässlichen, stabilen Betrieb essenzielle, regelmäßige Bugfixes, Kompatibilitätsanpassungen und Qualitätsverbesserungen typischerweise an die Wartung gebunden.

Wartungs-Lizenzen werden oft mit einer Support-Lizenz gekoppelt. Support-Lizenzen gewähren je nach Stufe oder Service-Level den Zugriff auf Herstellersupport und ermöglichen den Austausch defekter Hardware – über eine gegebenenfalls eingeräumte Basis-Garantie hinaus. Häufig sind konkrete Reaktions- und Lösungszeiten sowie die Verfügbarkeit von Austausch-Hardware vorgegeben. Erst mit einer Support-Lizenz kann auf das Ticket-System des Herstellers oder Partners zugegriffen werden und Unterstützung bei Fehlern, Konfigurations- oder Hardware-Problemen angefragt werden. Insbesondere bei zeitkritischen Störungen oder einem vermuteten Hardware-Defekt kann der Herstellersupport Ausfallzeiten deutlich reduzieren und damit Produktivitätsverluste minimieren. Durch schnellen Expertenzugang, Diagnose und Ersatzteilmanagement verkürzen sich Reaktions- und Wiederherstellungszeiten spürbar. Eine entsprechende Bereitschaft ist natürlich nicht preisgünstig, sodass gerade im Bereich Support genau überlegt sein muss, welche Geräte mit welchem Level ausgestattet werden, oder wo Ausfallzeiten im Zweifelsfall verkraftbar sind.

Grundsätzlich gilt es zu klären, wie groß die Auswirkungen einer Nicht‑Verfügbarkeit des jeweiligen Systems ist und wie viele Bereiche und Mitarbeiter betroffen wären. Hierzu müssten sowohl unmittelbare Produktivitätsverluste als auch Auswirkungen auf Kunden, Compliance und Reputation geprüft werden. Der Herstellersupport ist dabei nur ein Baustein einer belastbaren und resilienten Infrastruktur. Weitere Maßnahmen wie Redundanz auf Hardware‑Ebene, Cold‑ bzw. Hot‑Standby, protokollbasierte Redundanz und passende organisatorische Maßnahmen gilt es ebenfalls zu berücksichtigen. Entscheidend ist das abgestimmte Zusammenspiel dieser Elemente.

Die genauen Leistungen werden durch SLAs (Service-Level-Agreements) definiert. Typische SLAs legen Reaktionszeiten des Herstellersupports und die Dauer für die Bereitstellung von Ersatzteilen fest. Den Einstieg bietet hier oft der „8 x 5 x Next Business Day“-Service.

• 8 x 5: Zeitraum zur Unterstützung Montag-Freitag (an 5 Tagen/Woche) in einem Zeitfenster von 8 Stunden, typischerweise 9-17 Uhr. Anfragen, die außerhalb dieses Zeitraums eingehen, werden erst am nächsten Tag bearbeitet und getrackt.
• NBD: Ein Service vor Ort oder ein Ersatzteil steht am nächsten Geschäftstag („Next Business Day“) zur Verfügung, sofern die Anfrage und Bearbeitung im 8×5-Zeitfenster erfolgt ist.

Ausgehend von diesem Zeitfenster ist eine Erweiterung der Service-Zeiten möglich. Typische Kombinationen sind 8x7xNBD, oder für kritische Komponenten 24x7x4, an denen eine Ersatzlieferung innerhalb von 4 Stunden nach Klassifizierung erfolgt. Hierbei sollte beachtet werden, dass nicht alle Hersteller alle Service-Level anbieten. Insbesondere 24x7x4 setzt eine Ersatzteilvorhaltung und entsprechende Logistik voraus.

Die benötigten Service-Level sollten schon bei der Evaluation möglicher Hersteller in Betracht gezogen werden. Gleichzeitig muss beachtet werden, dass auch interne Prozesse zu den ausgewählten SLAs passen. Kann der Mitarbeiter dem Herstellersupport auch die benötigten Informationen außerhalb der Kernarbeitszeiten zur Verfügung stellen? Wer tauscht das defekte Netzteil an einem Samstag vor Ort aus? Wie ist die Zutrittskontrolle außerhalb der Geschäftszeiten geregelt?

Für diejenigen, die mit weniger auskommen, verbinden viele Netzwerkausrüster eine Limited Lifetime Warranty (LLW) mit ihren Netzkomponenten. Die bereits im Grundpreis enthaltene LLW bietet herstellerabhängig eine Garantieverlängerung bis zum Erreichen des Status End of Life, einschließlich Hardware-Austausch bzw. Reparatur und Versorgung mit Sicherheitspatches. Darüber hinaus versprechen die Hersteller die kostenlose Bereitstellung von Funktions-Updates für zwei Jahre nach dem Erreichen des Status End of Sale. Natürlich gibt es mit einer LLW keine garantierte Lieferzeit, die an NBD oder 24x7x4 herankommt. Es empfiehlt sich dann zusätzlich eine Ersatzteilebevorratung vor Ort.

Bündelung verschiedener Lizenz-Typen

Die unterschiedlichen Lizenz-Typen können separat und in unterschiedlichen Stufen (“Lizenz-Tier”) erworben werden. Die richtige Zusammensetzung des Bündels ist teilweise aufwändig und erfordert Fachwissen über die jeweilige Bündelung.

Um dem entgegenzuwirken, verbinden Hersteller die klassischen Funktions-, Management- und Support-Lizenzen zu einem „All-in-One“-Paket, was die Grenzen zwischen den verschiedenen Typen aufhebt. Hierbei gilt es jedoch wieder zu unterscheiden:

• Freiwillige Bündelung: Hier werden typische Kombinationen von Einzellizenzen zusammengefasst und bieten oft einen Preisvorteil gegenüber dem Einzelkauf. Der Hersteller bündelt sinnvolle Funktionen in einem Gesamtpaket.
• Verpflichtende Bündel (meist Subscriptions): Der klare Trend geht jedoch zu untrennbaren (meist laufzeitbasierten) Lizenzen hin. Hier sind keine Einzellizenzen erhältlich, nur noch das verpflichtende “Gesamtpaket“, wenn auch häufig in verschiedenen Stufen (z.B. Basic und Advanced).

Open-Source-Lizenzen

Open-Source-Software spielt in der Netzwerkwelt eine Doppelrolle: Einerseits ist sie eine für den Nutzer unsichtbare, aber essenzielle Grundlage vieler kommerzieller Produkte. Andererseits ist sie als eigenständige Alternative zu den Lösungen der großen Hersteller möglich.

Open-Source als Komponente in kommerziellen Produkten

Auch wenn die Verbreitung als eigenständige Lösung im Endkundenbereich eher ein Nischendasein führt, nutzen alle großen Hersteller mittlerweile Open-Source-Software in ihren Produkten. Die verschiedenen Lizenz-Arten von quelloffener Software wäre schon genug Stoff für einen weiteren Artikel. Häufig genutzte Pakete wie OpenSSL oder iptables unterliegen entweder strengen Copyleft-Lizenzen oder permissiven Lizenzen, die geringere Auflagen stellen. Die GNU Public License GPL Version 2 verpflichtet die Hersteller, die den Linux-Kernel in ihrer Firmware nutzen, zu Transparenz. Quellcode und Lizenzinformationen müssen in sogenannten „Third-Party-Notices“ offengelegt werden. Cisco bietet hierfür beispielsweise eine öffentlich zugängliche Dokumentation an, in der die verwendeten Open-Source-Projekte pro Produkt und Firmware-Version aufgelistet sind [1].

Open Source als Alternative zu kommerziellen Lösungen

Projekte wie die Firewalls pfSense und OPNsense oder die Routing-Distribution VyOS haben im Unternehmensumfeld durchaus ihre Berechtigung. Richtig konfiguriert und auf passender Hardware eingesetzt können sie mit Grundfunktionen kommerzieller Lösungen mithalten und bieten eine hohe Flexibilität im Einsatz. Der professionelle Einsatz setzt jedoch ein tiefes Fachwissen über die jeweilige Lösung voraus. Nicht selten erfordert die Fehlersuche auch Kenntnisse aus anderen Bereichen, zum Beispiel wenn innerhalb des Systems Inkompatibilitäten auftreten.

Für die meisten Projekte gibt es weder garantierten Herstellersupport sowie definierten Produktlebenszyklus noch eine verbindliche Zusage für zeitnahe Sicherheitsupdates. Bei Problemen oder Ausfällen fehlt ein zentraler Ansprechpartner, und die Wartung hängt meist vom freiwilligen Engagement der Community oder einzelner Entwickler ab.

Diese Einschränkung gilt jedoch nicht für alle Open-Source-Projekte. Für viele erfolgreiche Projekte haben sich spezialisierte Unternehmen gegründet, die Support, Wartung und sogar darauf abgestimmte Hardware anbieten. Ein prominentes Beispiel ist die Firma Netgate, die mit pfSense Plus eine kommerziell unterstützte Software-Version und mit ihren Appliances eine passende Hardware-Plattform vertreibt.

Die entfallenden Lizenzkosten durch den Einsatz von Open-Source-Projekten sind erst einmal verlockend. Das ist aber zu kurz gedacht. Die Kosten verlagern sich vom Kaufpreis auf interne Ressourcen und stellen ein potenzielles Betriebsrisiko da. Bevor Sie eine Open-Source-Lösung in einer produktiven Umgebung einsetzen, sind die folgenden Fragen zu klären:

• Expertise: Verfügt das Team über das nötige Fachwissen, um die Lösung nicht nur zu installieren, sondern auch sicher zu betreiben und im Fehlerfall systematisch zu entstören?
• Kritikalität und Risiko: Wo und für welchen Zweck wird die Lösung eingesetzt? Welche geschäftlichen Auswirkungen hat ein Ausfall des Systems, und kann das Risiko des möglicherweise fehlenden Herstellersupports intern getragen werden?
• Support: Gibt es eine kommerzielle Variante mit Support oder ein Unternehmen, das Unterstützung bei Inbetriebnahme und Entstörung anbietet?
• Kontinuität: Wie kann die Lösung ersetzt werden, wenn sie nicht weiter gepflegt wird?

Die Entscheidung für Open Source sollte nie als reine Sparmaßnahme gedacht, sondern immer eine bewusste Abwägung sein. Es ist nicht zu unterschätzen, dass die Verwendung von Open Source in vielen Fällen einen guten Ausweg aus einem Hersteller-Ökosystem eröffnet.

Nutzung von Lizenzen

Die Nutzung wird in den Nutzungsbedingungen geregelt. Mit Erwerb und Nutzung einer Lizenz stimmt der End-Nutzer den Vertragsbedingungen zu. Die genauen Bedingungen finden sich meist im Endbenutzer-Lizenzvertrag (End User License Agreement, EULA) oder in speziellen Geschäftsbedingungen, also im “Kleingedruckten”.

Typischerweise sind Lizenzen gerätegebunden. Für jedes Gerät wird eine Lizenz (oder mehrere) benötigt, die dann für das Gerät reserviert ist. Um ein zweites Gerät zu lizenzieren, ist eine weitere erforderlich. Hierbei sind die Lizenzen nicht portabel. Wird für das erste Gerät z.B. ein Feature nicht mehr benötigt und damit auch eine Lizenz, bleibt diese trotzdem dem Gerät zugeordnet und die Funktionen freigeschaltet.

Genau diese starre Bindung stellt einen der größten Nachteile dar, da sie oft nicht zu den dynamischen Anforderungen moderner Infrastrukturen passt. Als Reaktion drauf etablieren sich zunehmend flexible Modelle.

Flexible Verwaltung durch Lizenz-Pooling

Ein Beispiel hierfür ist das Pooling. Die Lizenzen sind nicht mehr fest an Hardware gebunden, sondern werden in einem zentralen durch den Hersteller bereitgestellten System verwaltet. Das System erlaubt es, weitere Unterteilungen zu erstellen (virtuelle Accounts), um eine Organisationsstruktur (z.B. für verschiedene Abteilungen, Kunden oder Standorte) abzubilden. Aus diesem zentralen Pool können Administratoren die Lizenzen dann flexibel einzelnen Geräten zuweisen und die Nutzung aller verwalteten Geräte an einer zentralen Stelle einsehen. Die Zuweisung ist nicht endgültig und kann geändert werden.

Wird auf einem Gerät eine Lizenz nicht mehr benötigt, z.B. durch veränderte Anforderungen, kann diese vom Gerät entfernt und auf einem anderen wieder zur Verfügung gestellt werden.

Floating-Lizenzen

Floating-Lizenzen sind im Netzwerk-Bereich eher selten vertreten, kommen aber zum Beispiel bei VPN-Systemen zum Einsatz. Hier sind sie auch als Concurrent-User-Lizenzen bekannt. Das Prinzip ist einfach: Statt für jeden potenziellen Nutzer eine Lizenz zu kaufen, wird nur die maximale Anzahl gleichzeitiger Nutzer lizenziert. Ein Pool von Lizenzen steht allen Nutzern zur Verfügung. Bei Verbindung wird eine Lizenz aus dem Pool verwendet und bis zum Beenden der Verbindung belegt.

Der große Vorteil hierbei ist, dass eine Überbuchung der Lizenzen erfolgen kann. Beim Beispiel VPN-System ist es unwahrscheinlich, dass alle berechtigten Nutzer das System gleichzeitig nutzen. Dies führt zu erheblichen Kosteneinsparungen, da nur für die tatsächliche, gleichzeitige Nutzung bezahlt wird und nicht für jeden einzelnen potenziellen Anwender.

Laufzeit von Lizenzen

Lizenzen weisen unterschiedliche Laufzeiten auf. Einfach gesagt lässt sich zwischen permanent und laufzeitbasiert unterscheiden.
Permanente Lizenzen (perpetual licences) werden, wie der Name bereits sagt, nur einmal zusammen mit der Netzkomponente erworben. Im Wesentlichen waren und sind die zuvor beschriebenen Feature-Lizenzen häufig permanente Lizenzen. Ein prominentes Beispiel sind die beiden Lizenz-Stufen Enhanced Mulitlayer Image und Standard Multilayer Image bei Cisco-Switches älterer Bauart, etwa bei der 3550-Familie. Unter gewissen Umständen konnte die Lizenz-Stufe durch den Erwerb einer passenden Lizenz von “Standard” auf “Enhanced” angehoben werden. Interessanterweise taucht in den alten Datenblättern der 3550-Serie das Wort “License” zunächst überhaupt nicht auf. Erst mit der Nachfolge-Serie aus dem Jahr 2014 wurde dem Thema “Licensing” ein extra Kapitel gewidmet. Auch Management-Lizenzen waren in der Vergangenheit oftmals permanent. Sie mussten einmalig zusammen mit der Netzwerkmanagement-Software erworben werden und standen für eine festgelegte Anzahl von Geräten zur Verfügung, etwa für das Management von 50, 100 oder 500 Geräten, und eben permanent.

Die Nutzung laufzeitbasierter Lizenzen ist zeitlich begrenzt, weshalb sie regelmäßig erneuert werden müssen. Meist werden solche Lizenzen für unterschiedliche Laufzeiten angeboten, beispielsweise für 1, 3, 5 und 7 Jahre. Diese Art der Lizensierung verbreitete sich insbesondere mit dem Aufkommen von Cloud-Management-Systemen zunehmend. Hersteller von Netzwerk-Komponenten bewarben diese Modelle oftmals unter dem Begriff “pay as you grow”: Für jede Komponente wurde eine Lizenz erworben, wodurch der vermeintliche Nachteil entfiel, Bündel für eine feste Anzahl an Geräten gleich mit dem Erwerb einer Management-Software anschaffen zu müssen.

Befindet man sich noch in einer Entscheidungsphase und ist sich unsicher, ob eine neue Komponente tatsächlich beschafft werden soll, bieten viele Hersteller kostenlose Test-Lizenzen an. Mit deren Hilfe können die mit der Lizenz verbundenen Funktionalitäten für eine gewisse Zeit, beispielsweise für 90 Tage, genutzt werden. Diese Lizenzen sind besonders nützlich, wenn eine IT-Komponente für die Durchführung von Tests virtualisiert werden kann, da auf diese Weise auch die Beschaffung einer Testhardware entfällt. Beispielhaft seien hier Firewall-Hersteller genannt, die ihre Produkte als virtuelle Maschinen zum Download und anschließender Installation auf einem Virtualisierungs-Host bereitstellen. Um zu verhindern, dass diese Evaluierungs-Lizenzen für einen Produktivbetrieb genutzt werden, schränken Hersteller teilweise den Leistungsumfang oder die Leistungsfähigkeit der Komponenten ein, etwa durch Begrenzung des Durchsatzes oder der Anzahl an Filterregeln.

In diesem Zusammenhang sind auch sogenannte Inbetriebnahme-Lizenzen positiv zu erwähnen, idealerweise ohne zusätzliche Kosten. Sie haben in der Regel eine eingeschränkte Laufzeit, die für den Zeitraum der Inbetriebnahme, etwa im Rahmen eines Rollouts, vollkommen ausreichend sind. Auf diese Weise fallen keine Kosten an, solange die Komponenten noch nicht eingebaut sind und möglicherweise nur im Lager auf ihren Einsatz warten.

Spätestens nach der Inbetriebnahme und Integration der Komponenten beginnt die Laufzeit der Management-Lizenz und somit auch die ständige Überprüfung der Restlaufzeiten. Kompliziert wird es, wenn nach einiger Zeit Komponenten – beispielsweise für eine Erweiterung des Netzes – nachgeordert und lizensiert werden müssen. Besteht dann nicht die Möglichkeit, Lizenzen mit granular abgestimmten Laufzeiten zu erwerben, kann es passieren, dass beim Erreichen des Lebensendes der Komponenten nicht alle Lizenzen am selben Tag oder zumindest im selben Monat enden. Um dieses Problem zu adressieren, bieten Hersteller häufig die sogenannte Co-Termination an. Dabei werden alle Lizenzen in einem gemeinsamen Pool verwaltet, und es wird ein gemeinsames Ablaufdatum berechnet. Unterschiedliche Stufen, z.B. basic und advanced, fließen entsprechend gewichtet in die Berechnung ein. Werden Geräte außer Betrieb genommen oder hinzugefügt, berechnet sich automatisch ein neues Enddatum. Zu beachten ist, dass Verfahren zur Co-Termination bei jedem Hersteller unterschiedlich und nur schwer miteinander vergleichbar sind.

Bei unseren Recherchen sind wir bei einem großen Netzwerkausrüster auf ein interessantes punktbasiertes Modell gestoßen: Je nach Modell, z.B. Layer-2-Switch oder Access Point, und einer Feature-abhängigen Stufe konsumieren die Komponenten unterschiedlich viele Lizenzpunkte pro Tag. Einmal täglich wird dann der Verbrauch an Punkten berechnet und im Management-System dargestellt. Sobald der Vorrat an diesen Punkten aufgebraucht ist, beginnt ein dreimonatiger Kulanzzeitraum (Grace Period), innerhalb derer Punkte nachgeordert werden können. Im Gegensatz zu anderen Herstellern entstehen somit nur Kosten für Komponenten, die im Management-System verwaltet werden.

Was eigentlich selbstverständlich sein sollte, sieht leider in der Realität oft anders: Die Laufzeit beginnt nicht mit der Aufnahme der Komponente in das Management-System, sondern mit dem Lieferdatum gemäß Lieferschein.

Lizenz-Management

Mit dem Erwerb laufzeitbasierter Lizenzen eng verbunden ist ein aufwändiges Management. Bei vielen unterschiedlichen Komponenten, die in einem Unternehmen betrieben werden müssen, kann die Verwaltung von Lizenzen einen erheblichen Arbeitsaufwand mit sich bringen. In der Regel bleibt diese Aufgabe beim Endkunden oder beim beauftragten Dienstleister hängen. Diese Aufwände sollten beim Erwerb von IT-Komponenten auf jeden Fall in eine Gesamtkostenrechnung einbezogen werden. Die Arbeit beginnt meist mit der Aktivierung einer Feature-Lizenz auf den Komponenten selbst. Je nach Hersteller ist dies mehr oder weniger aufwändig und erfordert beispielsweise eine Aktivierung über die Command Line der Komponente. Im schlimmsten Fall ist zudem eine Online-Aktivierung erforderlich, d.h. die Netzkomponente muss über das Internet mit einem Lizensierungssystem beim Hersteller kommunizieren können, oder es muss ein Verwaltungsdienst beim Kunden installiert werden, der für diese Funktion als Proxy bzw. Rendezvous-Point fungiert. Für den Betrieb einer IT-Komponente über ein (Cloud-) Management-System kann die feste Verbindung der Seriennummer des Geräts mit einer Management-Lizenz erforderlich sein. Ein zusätzliches Eingreifen wird nötig, wenn eine Komponente aufgrund eines Hardware-Defekts ersetzt werden muss, da die Lizenz in diesem Fall auf die Ersatzkomponente übertragen werden muss.

Bei der IT-Beschaffung positiv zu bewerten sind sogenannte Trust-License-Modelle. Hierbei entfällt das Einspielen von Schlüsseln, die Zuordnung zu einer Komponente und die Herstellung einer Internetverbindung zum Server des Herstellers. Dieser behält ohnehin den Überblick darüber, wie viele Lizenzen und Komponenten erworben wurden.

Lizenz-Durchsetzung (Enforcement)

Mit dem Zwang zur Aktivierung ist in der Regel auch ein License Enforcement eng verbunden. Wird keine Feature-Lizenz oder Management-Lizenz für eine Komponente aktiviert oder läuft der Nutzungszeitraum ab, stehen die verbundenen Funktionen entweder sofort oder nach einer gewissen Zeit – der sogenannten Gnadenfrist oder Grace Period – nicht mehr zur Verfügung. Die Grace Period beträgt herstellerabhängig zwischen 30 und 60 Tagen, sodass noch ausreichend Zeit bleibt, eine neue Lizenz zu erwerben bzw. zu aktivieren.

Fallstricke in der Praxis

In unserer täglichen Arbeit mit Kunden, sei es bei der Auswahl neuer Komponenten oder im laufenden Betrieb, begegnen uns die unterschiedlichsten Modelle der Hersteller. Aus dieser Erfahrung haben wir die häufigsten und zugleich teuersten Fallstricke identifiziert.

1. Versteckte Gesamtkosten: Die Subcsription-Falle
Oftmals werden die Gesamtkosten der Lösung (Total Cost of Ownership, TCO) unterschätzt. Der Hardware-Preis scheint recht günstig und passt damit ins Budget. Die wahren Kosten entfalten sich über den Lebenszyklus durch laufzeitbasierte Lizenzen für Features, Management und Support. Ein auf den ersten Blick günstiges Angebot kann sich über drei oder fünf Jahre als teuer erweisen.

1. Überlizenzierung aufgrund unklarer Anforderungen: Der Preis der Sicherheit
Sind die zukünftigen Anforderungen an eine Komponente unklar oder die Dokumentation des Herstellers zu intransparent, bestellen viele „aus Sicherheit“ die höchstmögliche Lizenz-Stufe.

Damit sollen bürokratische Hürden für Nachbestellungen und unbequeme Rückfragen vermieden werden. Am Ende steht eine Überlizenzierung: Es wird für unzählige Premium-Funktionen gezahlt, die nie genutzt werden.

3. Aufwändiges Handling: Zeitfresser Lizenz-Verwaltung
Ein kompliziertes Lizenzmodell verursacht nicht nur bei der Bestellung, sondern auch im laufenden Betrieb erheblichen Mehraufwand. Das Verwalten in verschiedenen Herstellerportalen, das Zuweisen und Freigeben von Berechtigungen sowie das Nachverfolgen von Aktivierungen dauert meist länger als vermutet und vom Hersteller versprochen.

Zusätzlich erschweren die unzähligen Änderungen, die teilweise im Lebenszyklus einer Komponente eintreten, den Administratoren das Leben. Ein Gerät, das unter einem bekannten Lizenzsystem gekauft wurde, erfordert nach einem Update ein anderes Vorgehen. Für neue Produkte hat sich der Hersteller ein “überarbeitetes” System ausgedacht, und das Chaos ist perfekt:

• Auf bestehenden Geräten müssen ggf. Konfigurationsänderungen eingespielt werden.
• Die internen Prozesse für Beschaffung, Aktivierung und Verwaltung müssen angepasst werden.
• Neue Portale und Oberflächen erfordern erneut Einarbeitungszeit.

Deswegen gilt meist: Je einfacher das Lizenzsystem, desto einfacher das Handling.

4. Teure Support-Verträge, langsame interne Prozesse: SLA-Mismatch
Ein teurer 24×7-Support-Vertrag mit 4-Stunden-Austauschservice ist wenig wert, wenn die internen Prozesse nicht ebenfalls entsprechend schnell sind. Was nützt ein Ersatzteil, das Sonntagmorgen geliefert wird, wenn niemand vor Ort ist, um den Techniker ins Rechenzentrum zu lassen oder das defekte Teil zu tauschen? Support-Level müssen immer realistisch an die internen Prozesse angepasst werden.

5. Fehlende Übersicht bei Subscriptions: Verloren im Lizenz-Dschungel
Mit der Zunahme von laufzeitbasierten Lizenzen geht die Übersicht schnell verloren. Unterschiedliche Komponenten diverser Hersteller mit verschiedenen Paketen, die jeweils zu unterschiedlichen Zeiten für ein, drei oder fünf Jahre gekauft wurden – hört sich kompliziert an, und genau das ist es auch. Ohne eine zentrale, herstellerübergreifende Verwaltung ist es fast unmöglich, den Überblick zu behalten. Verpasste Erneuerungen können im schlimmsten Fall zum plötzlichen Ausfall von wichtigen Funktionen oder zum Verlust des Herstellersupports führen.

In der Praxis wird diese Aufgabe meist zusätzlich dem Techniker-Team “zugeschoben”, während Bestellungen in größeren Unternehmen über andere Abteilungen erfolgen, die wiederum keine Informationen über Bedarfe oder die Ablaufdaten haben. Unsere Empfehlung: Ein Kompetenz-Team aus Einkauf und Technik, in dem beide Parteien genau wissen, was wann erforderlich ist. Denn nichts ist schlimmer als eine ausgelaufene Funktion (siehe Punkt 7), die auf langsame Prozesse großer Unternehmen trifft.

Fatal wird die fehlende Übersicht, wenn sich die Produkte dem Ende ihrer Lebenszeit nähern. Typischerweise können Lizenzen nach End-of-Life-Ankündigung nur bis zu einem festgelegten Datum verlängert werden. Wird dieses versäumt, ist eine Verlängerung nicht mehr möglich, und man steht mit Hardware ohne Support da, die dann vor dem eigentlichen End-of-Life, meist mehrere Jahre früher, ausgetauscht werden muss.

6. Abhängigkeit vom Management-System: Der goldene Käfig
Moderne Netzwerkinfrastrukturen werden zunehmend über zentrale, herstellereigene Management-Plattformen (Cloud oder On-Prem) verwaltet. Oft ist die Lizenz für diese Plattform an den Kauf der Hardware gekoppelt und zu Beginn kostenlos oder stark rabattiert. Das Problem: Ohne Verlängerung der teuren Management-Lizenz verliert die Hardware nach Ablauf der Frist ihre zentralen Verwaltungsfunktionen. Diese Abhängigkeit sollte Ihnen von Beginn an bewusst sein. Entscheidet man sich für das herstellereigene System, müssen die Kosten hierfür in die TCO-Rechnung aufgenommen werden!

7. Funktionsverlust bei auslaufender Lizenz: Wenn die Firewall zum Briefbeschwerer wird.
Während Funktions-Lizenzen früher einmalig erworben wurden und permanent gültig waren, ändern immer mehr Hersteller ihre Modelle. Läuft die Subscription für Firewall oder Switch aus, stellt die Komponente wesentliche Kernfunktionen komplett ein. Die teure Hardware wird damit im Extremfall nutzlos, bis man den Vertrag verlängert. Gerade in Verbindung mit einer fehlenden Übersicht (siehe Punkt 5) oder bei Migrationen (siehe Punkt 8) hat dieser Umstand ein mögliches, betriebskritisches Fehlerpotenzial.

8. Die Migrationsfalle: Wenn die Uhr schneller tickt als die neue Lösung
Ein gerne übersehener Fallstrick tritt am Ende des Lebenszyklus einer Infrastruktur ein. Die TCO wurde auf fünf Jahre berechnet, und im vierten Jahr beginnt die Planung der Ablösung.

Doch die Praxis zeigt: Ausschreibungen, Lieferzeiten für die neue Hardware und der Rollout an vielen Standorten dauern oft deutlich länger als die Restlaufzeit der alten Verträge. Kurz vor Ablauf der fünf Jahre steht man vor einem Problem: Die neue Infrastruktur ist noch nicht vollständig betriebsbereit, während die Lizenzen der alten auslaufen.

Nun muss eine Verlängerung für die alte Hardware gekauft werden, meist für mindestens ein weiteres Jahr. Der Schock bei der Preisabfrage: Die Kosten für eine einjährige Verlängerung sind nicht selten unverhältnismäßig hoch.

Zusammenfassung und Empfehlung

Die Auseinandersetzung mit dem Thema Lizenzen hat sich zu einem immer größeren, komplexen Thema entwickelt. Basierend auf unseren Praxiserfahrungen haben wir die folgenden Anforderungen an ein nutzerfreundliches Modell definiert:

Anforderungen an Feature-/Funktions-Lizenzen

Grundlegende Hardware-Funktionen sollten nicht zeitbasiert “gemietet” werden. Eine einmal gekaufte Funktion, wie der Datendurchsatz eines Routers, muss dauerhaft und ohne Folgekosten genutzt werden können. Eine Hardware darf nicht durch eine ausgelaufene Lizenz unbrauchbar werden.

Eine Ausnahme sehen wir hier bei Diensten, die dauerhaft Leistungen des Herstellers oder eines Dritten abrufen: beispielsweise die Aktualisierung von Signaturen eines Intrusion Prevention System (IPS) oder eines URL-Filters, der tagesaktuell vom Hersteller gepflegt wird. Hier wird eine laufende Dienstleistung bezahlt.

Anforderungen an Management-Lizenzen

Subscription-Lizenzen für eine Cloud-Management-Plattform sind fair. Hier wird die laufende Service-Infrastruktur des Herstellers genutzt, der für Betrieb und Wartung sorgt.

In diesem Zusammenhang ist es aus unserer Sicht essenziell, dass eine IT-Komponente auch ohne das vom Hersteller angebotene Cloud-Management-System betrieben werden kann. Betrieb umfasst dabei ein vollständiges Monitoring und Konfigurations-Management über einen alternativen Weg, beispielsweise mittels passender Open-Source-Produkte oder herstellerunabhängiger Management-Produkte eines alternativen Anbieters. Bei abgelaufener Management-Lizenz muss die gemanagte Hardware folglich ihre volle lokal konfigurierbare Funktionalität behalten oder alternativ mit einer anderen Firmware lokal nutzbar sein.

Anforderungen an Wartungs- und Support-Lizenzen

Ein laufzeitbasierter Vertrag für den Zugang zum Support-System des Herstellers und die Bereitstellung von neuen Features durch Updates ist ein faires und etabliertes Modell. Der Zugang zu kritischen Sicherheitspatches, die Schwachstellen in der Firmware beheben, sind aus unserer Sicht keine optionale Zusatzleistung, sondern eine Pflicht des Herstellers. Sie müssen bis zum offiziellen End-of-Life einer Komponente auch ohne laufenden Support-Vertrag bereitgestellt werden.

Anforderungen an ein modernes Lizenz-Management-System

Eine Subscription darf erst dann beginnen, wenn die Leistung tatsächlich genutzt wird, d.h. wenn ein Gerät zum ersten Mal in das Management-System aufgenommen wird, nicht am Tag des Kaufs oder der Lieferung. Erfahrungsgemäß vergehen zwischen Bestellung und Staging der Hardware teilweise Monate.

Eine laufzeitbasierte Management-Lizenz sollte ebenfalls pausiert werden können, wenn Komponenten temporär außer Betrieb genommen werden und keine Hersteller-Ressourcen nutzen. Das ist zum Beispiel bei einem Umbau oder bei nur zeitweise genutzten Komponenten (etwa für Veranstaltungen, Messe-Stände etc.) der Fall.

Lizenzen sollten automatisch vom Netzwerk-Gerät aktiviert werden können. Das Einspielen von gerätespezifischen Schlüsseln ist lange überholt. Geräte müssen ihre Berechtigungen in Echtzeit aus dem zentralen Pool des Unternehmens beziehen können. Eine zentrale Übersicht über alle genutzten Lizenzen muss jederzeit möglich sein. Zudem sollte jede Lizenz einem Gerät zugeordnet sein. Angesichts der Vielzahl verwalteter Geräte und Bestellungen im Unternehmen lassen sich Bestellungen und deren Bereitstellung im virtuellen Account nicht immer lückenlos nachverfolgen. Dadurch kann es vorkommen, dass Geräte die Lizenzen anderer Geräte beanspruchen. Grundsätzlich soll das zwar möglich sein, jedoch muss die Nutzung nachvollziehbar und steuerbar bleiben.

Eine Co-Termination muss möglich sein. Hersteller müssen die Möglichkeit bieten, die Laufzeiten von gleichen Lizenzen bzw. Lizenz-Gruppen im Unternehmen auf ein einziges, gemeinsames Enddatum zu synchronisieren. Dies vereinfacht die Budgetierung und Verwaltung und schafft einen einzigen, planbaren Erneuerungszeitpunkt für z.B. die gesamte WLAN-Infrastruktur des Unternehmens oder des Standortes.

Das Ablaufen einer Lizenz darf niemals zu einer sofortigen Funktionseinschränkung führen. Ein Kulanzzeitraum (Grace Period) von mindestens 30 Tagen muss dem Kunden gewährt werden. Ebenfalls sollte der Kunde vor Ablaufen mehrfach, beispielsweise per E-Mail oder durch eine Meldung im Management-System, informiert werden.

Für die Hersteller sind Lizenzen zu einem zentralen Geschäftsmodell geworden. Dieser Wandel folgt dem globalen, übergreifenden Trend zu einer “Subscription Economy”, etwa auch bei Produkten der Automobilindustrie. Der Trend ist aus unserer Sicht kritisch zu sehen. Die strategische Investition in Netzwerk-Hardware ist eine Entscheidung über viele Jahre. Aus diesem Grund sollte jede Entscheidung bewusst getroffen und durch sorgfältige TCO-Analyse über die gesamte Lebensdauer durchgeführt werden.

Hierbei geht es nicht darum, die Bezahlung für legitime Leistungen zu verweigern. Die Arbeit von Programmierern und Support-Teams muss bezahlt werden. Der Wechsel auf Open-Source-Hardware verlagert hier nur die Kosten. Vielmehr geht es darum, eine bewusste Entscheidung zu treffen, bei der das Lizenzmodell neben anderen wichtigen Kriterien, wie die technische Leistungsfähigkeit einer Lösung, in Betracht gezogen werden muss.

Zusammengefasst: Man das Rad nicht zurückdrehen. Wir müssen wohl oder übel mit Subscription-Modellen umgehen. Daher ist zu empfehlen, die Lizenz-Bedingungen für die Nutzung von IT-Produkten genau zu prüfen und insbesondere die Gesamtkosten über den zu erwartenden Nutzungszeitraum im Auge zu behalten. Achten Sie darauf, dass Sie sich nicht zu tief in eine Abhängigkeit eines Herstellers begeben und entwickeln Sie rechtzeitig eine Exit-Strategie.

Verweise

[1] https://www.cisco.com/c/en/us/about/legal/open-source-documentation-responsive.html#~documentation1