Unternehmen, die auf ein strukturiertes ITAM verzichten, zahlen einen hohen Preis und wissen dies oft nicht einmal. Eine Analyse der versteckten Kosten und realen Risiken ist daher enorm wichtig und sollte hohe Priorität besitzen.
Stellen Sie sich vor, Ihr Finanzchef würde den Kontostand des Unternehmens nur schätzen. Ungefähr. Keine genaue Buchführung, keine Belege, kein System. Undenkbar oder? - Und doch ist genau das der Standard in der IT vieler mittelständischer und großer Unternehmen.
Die Folgen sind keine abstrakten Risiken: Sie schlagen sich in konkreten Euro-Beträgen nieder, auf der Rechnung des Software-Anbieters, im Bußgeldbescheid der Datenschutzbehörde, in der Forensik-Rechnung nach einem Cyberangriff.
Ein paar kurze allgemeine Fakten dazu:
Die erhobenen Daten sind also die entscheidende Quelle für hochwertige Entscheidungen! - Gerade aus einer Inventarverwaltung können vielfältige Szenarien und Grundlagen für die Geschäftsführung, die IT-Abteilung aber auch die Verwaltung positiv genutzt werden.
Software-Hersteller wie Microsoft, Oracle, SAP und IBM betreiben aktives License Compliance Auditing. Wer seine Lizenzen nicht im Griff hat, lebt gefährlich, denn bei einer Prüfung zahlt, wer nichts nachweisen kann.
Reales Kostenbeispiel bei einem Software-Audit: 1,2 Mio. €
Ein mittelständisches Fertigungsunternehmen (450 Mitarbeitende) wurde von Oracle auditiert. Ohne vollständige Inventarliste konnten 38 % der Datenbankinstallationen nicht zugeordnet werden. Nachzahlung inklusive Strafgebühren: 1,2 Mio. €. Dazu 6 Wochen Aufwand interner IT-Ressourcen für die Aufbereitung der Unterlagen.
Ein Unternehmen expandierte durch zwei Akquisitionen: Die IT-Landschaften wurden zusammengeführt, dabei aber nie konsolidiert inventarisiert.
Beim nächsten Microsoft Enterprise Agreement-Review stellte sich heraus: 340 Lizenzen wurden doppelt gezahlt, 190 nicht lizenzierte Installationen liefen produktiv.
Schaden gesamt: ca. 680.000 € Nachzahlung + 240.000 € Beratungskosten
Gleichzeitig liegt das Einsparpotenzial auf der anderen Seite: Im Schnitt zahlen Unternehmen für 30 % ihrer Softwarelizenzen, ohne dass diese aktiv genutzt werden. Bei einem Lizenz-Budget von 500.000 € pro Jahr entspricht das 150.000 € direktes Einsparpotenzial (jährliche Rate).
Man kann nicht schützen, was man nicht kennt.
Diese Binsenweisheit ist die häufigste Ursache für erfolgreiche Cyberangriffe. Nicht gepatchte Endgeräte, vergessene Server, unbekannte Schatten-IT, all das entsteht, wenn kein vollständiges Asset-Inventar existiert.
Reales Kostenbeispiel bei einem Ransomware-Angriff: 3,8 Mio. €
Ein Pharmaunternehmen (800 MA) erlitt einen Ransomware-Angriff über ein nicht inventarisiertes Legacy-System im Produktionsnetz. Gesamtkosten: 1,1 Mio. € IT-Forensik, 1,4 Mio. € Produktionsausfall (9 Tage), 680.000 € Krisenmanagement & PR, 620.000 € Systemwiederherstellung.
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
Die Datenschutz-Grundverordnung verlangt, dass Unternehmen wissen, wo personenbezogene Daten gespeichert und verarbeitet werden. Ohne Asset-Inventar ist genau das unmöglich.
Veraltete Systeme, nicht gelöschte Nutzerkonten, unbekannte Cloud-Instanzen, was für Datenschutzbehörden ein rotes Tuch mit sofortiger Wirkung sein kann.
Reales Kostenbeispiel DSGVO-Verstoß: 420.000 €
Ein Dienstleistungsunternehmen (380 MA) konnte nach einer Datenpanne nicht nachweisen, auf welchen Systemen Kundendaten gespeichert waren. Die Behörde verhängte ein Bußgeld von 420.000 € – nicht für die Datenpanne selbst, sondern für die unzureichende Dokumentation der Verarbeitungstätigkeiten gem. Art. 30 DSGVO.
Besonders kritisch: Artikel 32 DSGVO fordert explizit „technische und organisatorische Maßnahmen" zur Datensicherheit. Ein fehlendes Asset-Inventar gilt als Verletzung dieser Anforderung, was faktisch eine Steilvorlage für Aufsichtsbehörden und Kläger ist.
Fehlendes Hardware-Inventar ist teurer als die meisten IT-Leiter vermuten: Geräte werden angeschafft, weil niemand weiß, dass bereits ausreichend Bestand vorhanden ist, Geräte verschwinden und Wartungsverträge laufen für längst ausgegebene Systeme.
Kostenbeispiel Doppelbeschaffung: 95.000 €
Ein Unternehmen mit 3 Standorten beschaffte in einem Jahr 87 neue Notebooks – obwohl ein zentrales Inventar ergeben hätte, dass 62 refurbished Geräte im Lager verfügbar waren. Gleichzeitig liefen 34 Wartungsverträge für nicht mehr vorhandene Geräte: 34 × ca. 180 € p.a. = 6.120 € jährlicher Blindverlust.
Im Rahmen einer ITAM-Einführung wurde erstmals ein vollständiges Hardware-Inventar erstellt.
Ergebnis: 1.240 Geräte mehr als erwartet, davon 380 als „aktiv" geführt, obwohl die jeweiligen Mitarbeitenden längst das Unternehmen verlassen hatten. Wartungsverträge: über 210.000 € p.a. für nicht mehr benötigte Geräte.
Fehlende Inventarisierung kostet nicht nur Geld durch externe Ereignisse, sondern auch für interne Ressourcen.
IT-Mitarbeitende verbringen durchschnittlich 20–30 % ihrer Arbeitszeit mit Aufgaben, die ein gepflegtes Asset-Inventar überflüssig machen würde.
Dazu ein paar kurze Fakten:
Die IT-Abteilung (8 Mitarbeitende) wurde analysiert: 2,3 Vollzeitäquivalente waren faktisch dauerhaft mit manueller Asset-Pflege, Lizenzverwaltung und Inventarsuche beschäftigt. Nach ITAM-Einführung sank dieser Wert auf 0,4 Vollzeit-Mitarbeiter (VZÄ = Vollzeit-Einheiten).
Die freigewordenen Kapazitäten wurden in Automatisierung und IT-Security reinvestiert.
Die Frage ist nicht, ob sich ein professionelles IT-Asset-Management-System rentiert. Die Frage ist, wie lange es dauert, bis sich die Investition amortisiert hat. Die Antwort überrascht selbst erfahrene CFOs.
Gegenzurechnen: Lizenz-Einsparungen (ca. 60.000 €), Wegfall unnötiger Wartungsverträge (25.000 €), reduzierter IT-Admin-Aufwand (40.000 €), vermiedene Audit-Nachzahlungen (statistisch 90.000 €).
Wenn Sie als IT-Leiter den Invest in eine ITAM-Lösung rechtfertigen müssen, brauchen Sie keine PowerPoint-Folien über Best Practices.
Die Frage ist nicht „Können wir uns ITAM leisten?" Die richtige Frage lautet: „Was haben wir im letzten Jahr bereits bezahlt, ohne es zu wissen?"
Ein unbekanntes Legacy-System, ein laufender Lizenzvertrag für eine gelöschte Abteilung, eine Software, die 200 Mitarbeitende nicht mehr nutzen etc. - Diese Themen summieren sich ganzheitlich ganz schön.
Ein vollständiges IT-Inventar ist kein IT-Luxus. Es ist betriebswirtschaftliche Grundlage, praktisch so selbstverständlich wie eine ordentliche Buchführung.
CTO
Herr van der Steeg ist bei der EntekSystems als Chief Technology Officer für alle Belange der Produktentwicklung und technischen Konzeption verantwortlich.
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
Weitere Artikel und Beiträge
Erfahren Sie welche Gleichnisse es zwischen der Luftfahrt und einer geordneten Inventarverwaltung es gibt und wie beide Bereiche voneinander lernen können.
Welchen Einfluss hat die Schatten-IT und komplexe Software auf Ihr Lizenz-Management? Und warum ist hochwertiges Lizenz-Management daher auch so wichtig?
Warum ist Transparenz bei den eigenen Assets eigentlich so wichtig und welche Risiken schlummern, falls Daten unvollständig oder fehlerhaft sind? - Alexander van der Steeg war dazu Gast im "ChaosHacker-Talk"-Podcast und hat Rede und Antwort gestanden.