loading=”lazy” width=”400px”>Die Suche nach Java-Installationen in der eigenen Unternehmens-IT kann aufwendige Ermittlungsarbeit bedeuten. Stock-Asso – shutterstock.com Java gehört zu den am weitesten verbreiteten Programmiersprachen der Welt und ist in nahezu jeder Unternehmens-IT in diversen Versionen im Einsatz. Lange Zeit war Java, das sich Oracle mit der Übernahme von Sun Microsystems 2010 einverleibt hatte, frei verfügbar. Kaum jemand machte sich Gedanken zum Thema Lizenzierung. Doch seit der Einführung des neuen Lizenzmodells Anfang 2023 kann die Nutzung von Oracle Java schnell zur finanziellen Bedrohung werden. Wer als IT-Verantwortlicher keinen genauen Überblick über die eigenen Java-Installationen und -Verwendungen hat, riskiert erhebliche Kosten und rechtliche Konsequenzen. In diesem Artikel zeigen wir, wo die größten Risiken liegen, warum viele Unternehmen Java falsch einschätzen, und welche konkreten Maßnahmen helfen, die Kontrolle zurückzugewinnen – bevor Oracle unangenehme Fragen stellt. 1. Java-Installationen im Blindflug Die meisten Unternehmen setzen Java auf vielfältige Weise ein, oft ohne es zu wissen. Es wird als Runtime in Eigenentwicklungen verwendet, steckt in Drittsoftware, die Java voraussetzt, oder wird für Server-seitige Applikationen benötigt. Oracle Java ist immer genutzt worden und damit nach wie vor auf einer Vielzahl von Geräten vorhanden. Das Problem: In vielen Fällen erfolgt keine zentrale Verwaltung oder Inventarisierung dieser Installationen. Besonders kritisch sind Endpoints wie Entwickler-PCs oder Systeme, auf denen Java lediglich zur Laufzeitunterstützung installiert wurde, zum Beispiel für Druckeranwendungen oder Bankensoftware. Lesetipp: Java SE Universal Subscription: Oracle kassiert Java-Kunden ab Noch brisanter wird die Lage durch den Umstand, dass auch veraltete Java-Versionen (zum Beispiel Java 8, Java 11) unter bestimmten Bedingungen lizenzpflichtig sein können. Oracle unterscheidet nicht zwischen aktiver und passiver Nutzung – allein die Installation kann schon kostenpflichtig sein. Ohne ein detailliertes Wissen über die eigenen Java-Assets droht also die Oracle-Java-Lizenzfalle. 2. Kosten durch das neue Lizenzmodell Mit der Einführung der “Java SE Universal Subscription” hat Oracle Anfang 2023 die Spielregeln grundlegend verändert. Die Abrechnung erfolgt nicht mehr pro Installation oder CPU, sondern pauschal pro Mitarbeiter – unabhängig davon, ob jeder Mitarbeiter Java tatsächlich nutzt. Die Definition von “employee” ist dabei besonders weit gefasst: Gemeint sind nicht nur Festangestellte, sondern auch Leiharbeiter, externe Dienstleister, Werkstudenten oder sogar Mitarbeiter von Partnerfirmen, die auf Systeme des Unternehmens zugreifen. Lesetipp: Mehr Audits: Oracle verschärft seine Java-Politik Die Auswirkungen dieses Modells sind erheblich. Selbst Unternehmen mit wenigen aktiven Java-Installationen können durch eine hohe Mitarbeiterzahl zu erheblichen Lizenzgebühren verpflichtet werden. Hinzu kommt: Es gibt kaum Nachlässe – Oracle setzt auf Transparenz und Kontrolle, jedoch ausschließlich zu seinen eigenen Bedingungen. Wer sich darauf nicht vorbereitet, wird im schlimmsten Fall zur Nachlizenzierung für tausende von Mitarbeitern gezwungen – mit jährlichen Kosten im sechsstelligen Bereich. Für Oracle zählt jeder, der für oder im Auftrag Ihres Unternehmens arbeitet, als zu lizenzierender User. Kennt man diese Größe, ergibt die Preisliste von Oracle den passenden Stückpreis gemäß Staffelung pro Monat. Siehe folgendes Schaubild: Oracle Für ein Unternehmen mit 8.000 Mitarbeitern sind es 1.008.000 Dollar pro Jahr. Dieser Preis gilt, wenn ein Unternehmen auf Oracle zugeht, um Java-Produkte zu lizenzieren. Wird im Fall eines Audits lizenzpflichtiges Oracle Java nachgewiesen, behält Oracle sich vor, mehrere vorangegangene Jahre ebenfalls in Rechnung zu stellen – zwei bis drei Jahre sind dabei keine Seltenheit. 3. Vom Chaos zur Kontrolle Um der Oracle-Java-Kostenfalle zu entgehen, müssen Anwenderunternehmen Transparenz schaffen – sowohl technisch als auch vertraglich. Es braucht einen klaren, strukturierten Plan: • Der erste Schritt ist eine vollständige technische Inventarisierung aller Java-Installationen im Unternehmen. Hierbei reicht es nicht aus, nur auf die zentral verwalteten Systeme zu schauen. Auch Schatten-IT, Legacy-Systeme und externe IT-Strukturen müssen einbezogen werden. Professionelle Software Asset Management (SAM)-Tools und Skript-basierte Scans helfen, alle relevanten Java-Versionen und deren Herkunft (zum Beispiel Oracle, OpenJDK oder andere Anbieter) zu identifizieren. • Als zweites sollte eine Analyse erfolgen, welche dieser Installationen tatsächlich lizenzpflichtig sind – eine komplexe Aufgabe, bei der Erfahrung und Spezialwissen gefragt sind. Auch Vertragsprüfungen mit Oracle aus der Vergangenheit sind wichtig, da es individuelle Vereinbarungen geben kann, die Einfluss auf die aktuelle Lizenzpflicht haben. • Der dritte Schritt ist die Nutzungsermittlung. Selbst wenn eine Installation eigentlich nicht lizenzpflichtig ist, kommt es auf den konkreten Einsatz an. Einige Oracle-Produkte (wie Oracle Database, WebLogic Server usw.) enthalten eine eingebettete Java-Runtime für ihren Betrieb. Viele glauben, dass Oracle DB-Lizenzen automatisch alle Java-Installationen abdecken.Das ist falsch. Die Lizenz für diese Produkte deckt Java nur für die Nutzung innerhalb dieses Produkts ab. Wenn man dieselbe Java-Installation für andere Zwecke verwendet, ist das nicht abgedeckt. Die Gefahr besteht in der Selbstüberschätzung, Oracle Java großflächig einzusetzen, weil man denkt, bestimmte Oracle-Produkte zu besitzen. Nur wenn Sie wissen, was sie nutzen, wie sie Java nutzen und unter welchen Bedingungen, lassen sich valide Lizenzstrategien entwickeln. Wichtig ist dabei: Oracle erkennt nur fundierte, belastbare Datenanalysen an. Bauchgefühl oder Annahmen reichen nicht aus, um sich im Fall eines Audits wehren zu können. 4. Kostensenkung durch Alternativen & Verhandlungsspielraum Ist die technische Grundlage gelegt, können Strategien zur Kostenvermeidung entwickelt werden. Diese Maßnahmen können Sie ergreifen, um kostenpflichtige Oracle Java Installationen zu eliminieren: – Prüfen Sie, ob bestimmte Installationen überhaupt notwendig sind, andernfalls gehören sie deinstalliert. Häufig ist Oracle Java nur für einen vorübergehenden Zweck heruntergeladen worden und wird gar nicht mehr benötigt. – Prüfen Sie, ob diese Java-Instanzen durch Drittapplikationen installiert wurden. Wenn ja, fragen Sie nach, ob der Hersteller der Drittapplikation Java lizenziert hat und legen Sie ein positives Ergebnis dokumentiert ab. – Prüfen Sie, ob Applikationen, die die Java-Installation benötigen auch mit einer freien Variante zusammenarbeiten. – Prüfen Sie, ob es Alternativen zu den Applikationen gibt, die Oracle-Java benötigen. SAMtoa Eine naheliegende Möglichkeit ist die Migration auf freie Java-Distributionen wie OpenJDK, Amazon Corretto, AdoptOpenJDK oder Azul Zulu. Diese sind in vielen Fällen technisch gleichwertig und kostenfrei nutzbar. Voraussetzung ist, dass Sie den Umstieg planen und auf Kompatibilität sowie Sicherheit prüfen. Gleichzeitig sollte das Gespräch mit Oracle nicht gescheut werden. Wer seine Hausaufgaben gemacht hat, ist in einer besseren Verhandlungsposition. Manchmal lassen sich individuelle Vereinbarungen oder Rabatte erzielen. Das hängt allerdings stark von der individuellen Verhandlungsposition ab, hier vor allem von der Höhe des sonstigen Vertragsvolumens mit Oracle und zukünftiger monetärer Verpflichtungen. Besonders wichtig: Alle Verhandlungen sollten dokumentiert und im Kontext eines ganzheitlichen SAM-Ansatzes geführt werden. Lesetipp: Oracle verliert Java-Kunden IT-Verantwortliche, die strategisch agieren, können nicht nur erhebliche Kosten vermeiden, sondern auch ihre IT-Landschaft nachhaltig vereinfachen. Denn Java ist selten ein isoliertes Problem – oft führt die Analyse auch zu weiteren Optimierungspotenzialen im Softwarebestand. 5. Strategische Optionen für Oracle-Java im Unternehmen Ein Check der IT-Landschaft ist häufig eine Adhoc-Aktion, deren Ergebnisse schon nach einiger Zeit wieder veraltet sind. Damit Sie die erworbene Oracle-Java-Sicherheit behalten, wird eine langfristige Strategie benötigt, die möglichst wenig Ressourcen und Geld verbraucht: 1. Setzen Sie ein Tool ein, dass Ihre Oracle-Java-Installationen aufdeckt. Vielleicht haben Sie bereits eines im Haus, nutzen es aber noch nicht zielgerichtet. Die Kosten für ein SAM-Tool, dass Oracle-Java identifizieren kann, ist deutlich günstiger als eine Oracle-Java-Subscription. 2. Führen Sie quartalsweise einen Check durch mit dem Ziel, diese Fragen zu beantworten: Sind kostenpflichtige Versionen im Haus? Wie und durch wen werden sie genutzt? Sind sie ersetzbar oder vielleicht sogar überflüssig? 3. Sensibilisieren Sie Ihre Mitarbeiter. Wenn das Risiko bekannt ist, erhöht sich die Aussicht, dass sich auch viele an die Oracle-Java-Regeln halten. 4. Bieten Sie zugelassene Alternativen zu Oracle Java an. Mitarbeiter, die wissen, welche Java Editionen im Unternehmen unterstützt werden, kommen erst gar nicht in die Verlegenheit, sich etwas von der Oracle-Seite herunterzuladen. 5. Prüfen Sie jedes Mal wieder Software, die sie neu einsetzen möchten auf Oracle-Java-Bestandteile. 6. Lizenz-Strategie bei ausgelagerten und gehosteten Systemen Für Unternehmen, die Entwicklung oder den IT-Betrieb auslagern, ist es von entscheidender Bedeutung, dass das Partnerunternehmen die Oracle-Java-Lizenzierung ernst nimmt. Für Oracle zählt der Auftragnehmer als „Mitarbeiter“ des eigenen Unternehmens. Diese Punkte verringern Ihr Oracle-Java-Risiko: • In Verträge einbeziehen: Wenn Sie eine Outsourcing-Firma oder Berater beauftragen, sollten Sie Klauseln aufnehmen, die die Partner zur Einhaltung Ihrer Software-Richtlinien verpflichten. Legen Sie zum Beispiel fest, dass jede Software, die in Ihrem Auftrag installiert oder verwendet wird, ordnungsgemäße Lizenzen haben muss und dass Ihre Anweisungen für zulässige Software befolgt werden müssen. • Kommunizieren Sie die Erwartungen: Informieren Sie den Partner zu Beginn eines Auftrags über Ihre Java-Richtlinien. Stellen Sie klar: „Wir haben eine lizenzierte OpenJDK-Umgebung (oder ein Oracle-Abonnement für X Mitarbeiter). Sie sollten Oracle Java nicht herunterladen oder außerhalb dieser Richtlinie für unsere Projekte verwenden.“ • Stellen Sie Partnern die notwendigen Werkzeuge zur Verfügung: Wenn Auftragnehmer Umgebungen für Sie einrichten, geben Sie ihnen die vorab genehmigten Java-Binärdateien oder Docker-Images. Wenn Sie ein Abonnement haben, können Sie ihnen das Oracle JDK zur Verfügung stellen, da es gezählt wird; wenn nicht, stellen Sie sicher, dass sie OpenJDK verwenden. Gehen Sie nicht davon aus, dass Ihr Auftragspartner Bescheid weiß – stellen Sie aktiv bereit, was benötigt wird. • Überwachen und Überprüfen Sie die Infrastruktur beim Partner: Behandeln Sie Maschinen/Server von Auftragnehmern zu Prüfzwecken so, als wären sie Ihre eigenen. Nehmen Sie sie in Ihre Bestandsprüfungen auf. Wenn Auftragnehmer getrennte Umgebungen verwalten, zum Beispiel ein externes Team), sollten sie über die Softwarenutzung Bericht erstatten. Sie können sie vertraglich dazu verpflichten. • Kontaktperson: Beauftragen Sie eine Person auf Ihrer Seite (zum Beispiel einen internen Projektmanager) mit der Überwachung der Aktivitäten des ausgelagerten Teams in Bezug auf den Tech-Stack. Diese Person kann beispielsweise feststellen, ob der Partner ein Oracle WebLogic benutzt, das Java enthält. Im Wesentlichen dehnen Sie damit Ihr internes Compliance-Programm auf Ihre Lieferanten aus. Machen Sie es zu einem Teil des Lieferantenmanagements. Das hilft sicherzustellen, dass die Partnerunternehmen mit Ihrer Lizenzierungspolitik übereinstimmen. Fazit: Proaktiv statt reaktiv – und warum Sie jetzt handeln sollten Die Gefahr, in die Oracle-Java-Kostenfalle zu tappen, ist real und aktueller denn je. Durch das neue Lizenzmodell und die aggressive Auslegung der Nutzungspflicht geraten Unternehmen zunehmend unter Druck. Wer erst handelt, wenn Oracle zum Audit ansetzt, hat kaum noch Spielraum. Die gute Nachricht: Mit einem strukturierten Vorgehen, technischer Bestandsaufnahme und fundierter Lizenzexpertise lassen sich Risiken minimieren und Einsparpotenziale heben. Als IT-Leiter tragen Sie schließlich die Verantwortung, frühzeitig Klarheit zu schaffen – technisch, organisatorisch und strategisch. (ba)
6 Schritte, um die Java-Lizenzierung unter Kontrolle zu bekommen
loading="lazy" width="400px">Die Suche nach Java-Installationen in der eigenen Unternehmens-IT kann aufwendige Ermittlungsarbeit bedeuten. Stock-Asso – shutterstock.com Java gehört zu den am weitesten verbreiteten Programmiersprachen der Welt und ist in nahezu jeder Unternehmens-IT in diversen Versionen im Einsatz. Lange Zeit war Java, das sich Oracle mit der Übernahme von Sun Microsystems 2010 einverleibt hatte, frei verfügbar. Kaum jemand machte sich Gedanken zum Thema Lizenzierung. Doch seit der Einführung des neuen Lizenzmodells Anfang 2023 kann die Nutzung von Oracle Java schnell zur finanziellen Bedrohung werden. Wer als IT-Verantwortlicher keinen genauen Überblick über die eigenen Java-Installationen und -Verwendungen hat, riskiert erhebliche Kosten und rechtliche Konsequenzen. In diesem Artikel zeigen wir, wo die größten Risiken liegen, warum viele Unternehmen Java falsch einschätzen, und welche konkreten Maßnahmen helfen, die Kontrolle zurückzugewinnen – bevor Oracle unangenehme Fragen stellt. 1. Java-Installationen im Blindflug Die meisten Unternehmen setzen Java auf vielfältige Weise ein, oft ohne es zu wissen. Es wird als Runtime in Eigenentwicklungen verwendet, steckt in Drittsoftware, die Java voraussetzt, oder wird für Server-seitige Applikationen benötigt. Oracle Java ist immer genutzt worden und damit nach wie vor auf einer Vielzahl von Geräten vorhanden. Das Problem: In vielen Fällen erfolgt keine zentrale Verwaltung oder Inventarisierung dieser Installationen. Besonders kritisch sind Endpoints wie Entwickler-PCs oder Systeme, auf denen Java lediglich zur Laufzeitunterstützung installiert wurde, zum Beispiel für Druckeranwendungen oder Bankensoftware. Lesetipp: Java SE Universal Subscription: Oracle kassiert Java-Kunden ab Noch brisanter wird die Lage durch den Umstand, dass auch veraltete Java-Versionen (zum Beispiel Java 8, Java 11) unter bestimmten Bedingungen lizenzpflichtig sein können. Oracle unterscheidet nicht zwischen aktiver und passiver Nutzung – allein die Installation kann schon kostenpflichtig sein. Ohne ein detailliertes Wissen über die eigenen Java-Assets droht also die Oracle-Java-Lizenzfalle. 2. Kosten durch das neue Lizenzmodell Mit der Einführung der “Java SE Universal Subscription” hat Oracle Anfang 2023 die Spielregeln grundlegend verändert. Die Abrechnung erfolgt nicht mehr pro Installation oder CPU, sondern pauschal pro Mitarbeiter – unabhängig davon, ob jeder Mitarbeiter Java tatsächlich nutzt. Die Definition von “employee” ist dabei besonders weit gefasst: Gemeint sind nicht nur Festangestellte, sondern auch Leiharbeiter, externe Dienstleister, Werkstudenten oder sogar Mitarbeiter von Partnerfirmen, die auf Systeme des Unternehmens zugreifen. Lesetipp: Mehr Audits: Oracle verschärft seine Java-Politik Die Auswirkungen dieses Modells sind erheblich. Selbst Unternehmen mit wenigen aktiven Java-Installationen können durch eine hohe Mitarbeiterzahl zu erheblichen Lizenzgebühren verpflichtet werden. Hinzu kommt: Es gibt kaum Nachlässe – Oracle setzt auf Transparenz und Kontrolle, jedoch ausschließlich zu seinen eigenen Bedingungen. Wer sich darauf nicht vorbereitet, wird im schlimmsten Fall zur Nachlizenzierung für tausende von Mitarbeitern gezwungen – mit jährlichen Kosten im sechsstelligen Bereich. Für Oracle zählt jeder, der für oder im Auftrag Ihres Unternehmens arbeitet, als zu lizenzierender User. Kennt man diese Größe, ergibt die Preisliste von Oracle den passenden Stückpreis gemäß Staffelung pro Monat. Siehe folgendes Schaubild: Oracle Für ein Unternehmen mit 8.000 Mitarbeitern sind es 1.008.000 Dollar pro Jahr. Dieser Preis gilt, wenn ein Unternehmen auf Oracle zugeht, um Java-Produkte zu lizenzieren. Wird im Fall eines Audits lizenzpflichtiges Oracle Java nachgewiesen, behält Oracle sich vor, mehrere vorangegangene Jahre ebenfalls in Rechnung zu stellen – zwei bis drei Jahre sind dabei keine Seltenheit. 3. Vom Chaos zur Kontrolle Um der Oracle-Java-Kostenfalle zu entgehen, müssen Anwenderunternehmen Transparenz schaffen – sowohl technisch als auch vertraglich. Es braucht einen klaren, strukturierten Plan: • Der erste Schritt ist eine vollständige technische Inventarisierung aller Java-Installationen im Unternehmen. Hierbei reicht es nicht aus, nur auf die zentral verwalteten Systeme zu schauen. Auch Schatten-IT, Legacy-Systeme und externe IT-Strukturen müssen einbezogen werden. Professionelle Software Asset Management (SAM)-Tools und Skript-basierte Scans helfen, alle relevanten Java-Versionen und deren Herkunft (zum Beispiel Oracle, OpenJDK oder andere Anbieter) zu identifizieren. • Als zweites sollte eine Analyse erfolgen, welche dieser Installationen tatsächlich lizenzpflichtig sind – eine komplexe Aufgabe, bei der Erfahrung und Spezialwissen gefragt sind. Auch Vertragsprüfungen mit Oracle aus der Vergangenheit sind wichtig, da es individuelle Vereinbarungen geben kann, die Einfluss auf die aktuelle Lizenzpflicht haben. • Der dritte Schritt ist die Nutzungsermittlung. Selbst wenn eine Installation eigentlich nicht lizenzpflichtig ist, kommt es auf den konkreten Einsatz an. Einige Oracle-Produkte (wie Oracle Database, WebLogic Server usw.) enthalten eine eingebettete Java-Runtime für ihren Betrieb. Viele glauben, dass Oracle DB-Lizenzen automatisch alle Java-Installationen abdecken.Das ist falsch. Die Lizenz für diese Produkte deckt Java nur für die Nutzung innerhalb dieses Produkts ab. Wenn man dieselbe Java-Installation für andere Zwecke verwendet, ist das nicht abgedeckt. Die Gefahr besteht in der Selbstüberschätzung, Oracle Java großflächig einzusetzen, weil man denkt, bestimmte Oracle-Produkte zu besitzen. Nur wenn Sie wissen, was sie nutzen, wie sie Java nutzen und unter welchen Bedingungen, lassen sich valide Lizenzstrategien entwickeln. Wichtig ist dabei: Oracle erkennt nur fundierte, belastbare Datenanalysen an. Bauchgefühl oder Annahmen reichen nicht aus, um sich im Fall eines Audits wehren zu können. 4. Kostensenkung durch Alternativen & Verhandlungsspielraum Ist die technische Grundlage gelegt, können Strategien zur Kostenvermeidung entwickelt werden. Diese Maßnahmen können Sie ergreifen, um kostenpflichtige Oracle Java Installationen zu eliminieren: – Prüfen Sie, ob bestimmte Installationen überhaupt notwendig sind, andernfalls gehören sie deinstalliert. Häufig ist Oracle Java nur für einen vorübergehenden Zweck heruntergeladen worden und wird gar nicht mehr benötigt. – Prüfen Sie, ob diese Java-Instanzen durch Drittapplikationen installiert wurden. Wenn ja, fragen Sie nach, ob der Hersteller der Drittapplikation Java lizenziert hat und legen Sie ein positives Ergebnis dokumentiert ab. – Prüfen Sie, ob Applikationen, die die Java-Installation benötigen auch mit einer freien Variante zusammenarbeiten. – Prüfen Sie, ob es Alternativen zu den Applikationen gibt, die Oracle-Java benötigen. SAMtoa Eine naheliegende Möglichkeit ist die Migration auf freie Java-Distributionen wie OpenJDK, Amazon Corretto, AdoptOpenJDK oder Azul Zulu. Diese sind in vielen Fällen technisch gleichwertig und kostenfrei nutzbar. Voraussetzung ist, dass Sie den Umstieg planen und auf Kompatibilität sowie Sicherheit prüfen. Gleichzeitig sollte das Gespräch mit Oracle nicht gescheut werden. Wer seine Hausaufgaben gemacht hat, ist in einer besseren Verhandlungsposition. Manchmal lassen sich individuelle Vereinbarungen oder Rabatte erzielen. Das hängt allerdings stark von der individuellen Verhandlungsposition ab, hier vor allem von der Höhe des sonstigen Vertragsvolumens mit Oracle und zukünftiger monetärer Verpflichtungen. Besonders wichtig: Alle Verhandlungen sollten dokumentiert und im Kontext eines ganzheitlichen SAM-Ansatzes geführt werden. Lesetipp: Oracle verliert Java-Kunden IT-Verantwortliche, die strategisch agieren, können nicht nur erhebliche Kosten vermeiden, sondern auch ihre IT-Landschaft nachhaltig vereinfachen. Denn Java ist selten ein isoliertes Problem – oft führt die Analyse auch zu weiteren Optimierungspotenzialen im Softwarebestand. 5. Strategische Optionen für Oracle-Java im Unternehmen Ein Check der IT-Landschaft ist häufig eine Adhoc-Aktion, deren Ergebnisse schon nach einiger Zeit wieder veraltet sind. Damit Sie die erworbene Oracle-Java-Sicherheit behalten, wird eine langfristige Strategie benötigt, die möglichst wenig Ressourcen und Geld verbraucht: 1. Setzen Sie ein Tool ein, dass Ihre Oracle-Java-Installationen aufdeckt. Vielleicht haben Sie bereits eines im Haus, nutzen es aber noch nicht zielgerichtet. Die Kosten für ein SAM-Tool, dass Oracle-Java identifizieren kann, ist deutlich günstiger als eine Oracle-Java-Subscription. 2. Führen Sie quartalsweise einen Check durch mit dem Ziel, diese Fragen zu beantworten: Sind kostenpflichtige Versionen im Haus? Wie und durch wen werden sie genutzt? Sind sie ersetzbar oder vielleicht sogar überflüssig? 3. Sensibilisieren Sie Ihre Mitarbeiter. Wenn das Risiko bekannt ist, erhöht sich die Aussicht, dass sich auch viele an die Oracle-Java-Regeln halten. 4. Bieten Sie zugelassene Alternativen zu Oracle Java an. Mitarbeiter, die wissen, welche Java Editionen im Unternehmen unterstützt werden, kommen erst gar nicht in die Verlegenheit, sich etwas von der Oracle-Seite herunterzuladen. 5. Prüfen Sie jedes Mal wieder Software, die sie neu einsetzen möchten auf Oracle-Java-Bestandteile. 6. Lizenz-Strategie bei ausgelagerten und gehosteten Systemen Für Unternehmen, die Entwicklung oder den IT-Betrieb auslagern, ist es von entscheidender Bedeutung, dass das Partnerunternehmen die Oracle-Java-Lizenzierung ernst nimmt. Für Oracle zählt der Auftragnehmer als „Mitarbeiter“ des eigenen Unternehmens. Diese Punkte verringern Ihr Oracle-Java-Risiko: • In Verträge einbeziehen: Wenn Sie eine Outsourcing-Firma oder Berater beauftragen, sollten Sie Klauseln aufnehmen, die die Partner zur Einhaltung Ihrer Software-Richtlinien verpflichten. Legen Sie zum Beispiel fest, dass jede Software, die in Ihrem Auftrag installiert oder verwendet wird, ordnungsgemäße Lizenzen haben muss und dass Ihre Anweisungen für zulässige Software befolgt werden müssen. • Kommunizieren Sie die Erwartungen: Informieren Sie den Partner zu Beginn eines Auftrags über Ihre Java-Richtlinien. Stellen Sie klar: „Wir haben eine lizenzierte OpenJDK-Umgebung (oder ein Oracle-Abonnement für X Mitarbeiter). Sie sollten Oracle Java nicht herunterladen oder außerhalb dieser Richtlinie für unsere Projekte verwenden.“ • Stellen Sie Partnern die notwendigen Werkzeuge zur Verfügung: Wenn Auftragnehmer Umgebungen für Sie einrichten, geben Sie ihnen die vorab genehmigten Java-Binärdateien oder Docker-Images. Wenn Sie ein Abonnement haben, können Sie ihnen das Oracle JDK zur Verfügung stellen, da es gezählt wird; wenn nicht, stellen Sie sicher, dass sie OpenJDK verwenden. Gehen Sie nicht davon aus, dass Ihr Auftragspartner Bescheid weiß – stellen Sie aktiv bereit, was benötigt wird. • Überwachen und Überprüfen Sie die Infrastruktur beim Partner: Behandeln Sie Maschinen/Server von Auftragnehmern zu Prüfzwecken so, als wären sie Ihre eigenen. Nehmen Sie sie in Ihre Bestandsprüfungen auf. Wenn Auftragnehmer getrennte Umgebungen verwalten, zum Beispiel ein externes Team), sollten sie über die Softwarenutzung Bericht erstatten. Sie können sie vertraglich dazu verpflichten. • Kontaktperson: Beauftragen Sie eine Person auf Ihrer Seite (zum Beispiel einen internen Projektmanager) mit der Überwachung der Aktivitäten des ausgelagerten Teams in Bezug auf den Tech-Stack. Diese Person kann beispielsweise feststellen, ob der Partner ein Oracle WebLogic benutzt, das Java enthält. Im Wesentlichen dehnen Sie damit Ihr internes Compliance-Programm auf Ihre Lieferanten aus. Machen Sie es zu einem Teil des Lieferantenmanagements. Das hilft sicherzustellen, dass die Partnerunternehmen mit Ihrer Lizenzierungspolitik übereinstimmen. Fazit: Proaktiv statt reaktiv – und warum Sie jetzt handeln sollten Die Gefahr, in die Oracle-Java-Kostenfalle zu tappen, ist real und aktueller denn je. Durch das neue Lizenzmodell und die aggressive Auslegung der Nutzungspflicht geraten Unternehmen zunehmend unter Druck. Wer erst handelt, wenn Oracle zum Audit ansetzt, hat kaum noch Spielraum. Die gute Nachricht: Mit einem strukturierten Vorgehen, technischer Bestandsaufnahme und fundierter Lizenzexpertise lassen sich Risiken minimieren und Einsparpotenziale heben. Als IT-Leiter tragen Sie schließlich die Verantwortung, frühzeitig Klarheit zu schaffen – technisch, organisatorisch und strategisch. (ba)
6 Schritte, um die Java-Lizenzierung unter Kontrolle zu bekommen loading="lazy" width="400px">Die Suche nach Java-Installationen in der eigenen Unternehmens-IT kann aufwendige Ermittlungsarbeit bedeuten. Stock-Asso – shutterstock.com Java gehört zu den am weitesten verbreiteten Programmiersprachen der Welt und ist in nahezu jeder Unternehmens-IT in diversen Versionen im Einsatz. Lange Zeit war Java, das sich Oracle mit der Übernahme von Sun Microsystems 2010 einverleibt hatte, frei verfügbar. Kaum jemand machte sich Gedanken zum Thema Lizenzierung. Doch seit der Einführung des neuen Lizenzmodells Anfang 2023 kann die Nutzung von Oracle Java schnell zur finanziellen Bedrohung werden. Wer als IT-Verantwortlicher keinen genauen Überblick über die eigenen Java-Installationen und -Verwendungen hat, riskiert erhebliche Kosten und rechtliche Konsequenzen. In diesem Artikel zeigen wir, wo die größten Risiken liegen, warum viele Unternehmen Java falsch einschätzen, und welche konkreten Maßnahmen helfen, die Kontrolle zurückzugewinnen – bevor Oracle unangenehme Fragen stellt. 1. Java-Installationen im Blindflug Die meisten Unternehmen setzen Java auf vielfältige Weise ein, oft ohne es zu wissen. Es wird als Runtime in Eigenentwicklungen verwendet, steckt in Drittsoftware, die Java voraussetzt, oder wird für Server-seitige Applikationen benötigt. Oracle Java ist immer genutzt worden und damit nach wie vor auf einer Vielzahl von Geräten vorhanden. Das Problem: In vielen Fällen erfolgt keine zentrale Verwaltung oder Inventarisierung dieser Installationen. Besonders kritisch sind Endpoints wie Entwickler-PCs oder Systeme, auf denen Java lediglich zur Laufzeitunterstützung installiert wurde, zum Beispiel für Druckeranwendungen oder Bankensoftware. Lesetipp: Java SE Universal Subscription: Oracle kassiert Java-Kunden ab Noch brisanter wird die Lage durch den Umstand, dass auch veraltete Java-Versionen (zum Beispiel Java 8, Java 11) unter bestimmten Bedingungen lizenzpflichtig sein können. Oracle unterscheidet nicht zwischen aktiver und passiver Nutzung – allein die Installation kann schon kostenpflichtig sein. Ohne ein detailliertes Wissen über die eigenen Java-Assets droht also die Oracle-Java-Lizenzfalle. 2. Kosten durch das neue Lizenzmodell Mit der Einführung der “Java SE Universal Subscription” hat Oracle Anfang 2023 die Spielregeln grundlegend verändert. Die Abrechnung erfolgt nicht mehr pro Installation oder CPU, sondern pauschal pro Mitarbeiter – unabhängig davon, ob jeder Mitarbeiter Java tatsächlich nutzt. Die Definition von “employee” ist dabei besonders weit gefasst: Gemeint sind nicht nur Festangestellte, sondern auch Leiharbeiter, externe Dienstleister, Werkstudenten oder sogar Mitarbeiter von Partnerfirmen, die auf Systeme des Unternehmens zugreifen. Lesetipp: Mehr Audits: Oracle verschärft seine Java-Politik Die Auswirkungen dieses Modells sind erheblich. Selbst Unternehmen mit wenigen aktiven Java-Installationen können durch eine hohe Mitarbeiterzahl zu erheblichen Lizenzgebühren verpflichtet werden. Hinzu kommt: Es gibt kaum Nachlässe – Oracle setzt auf Transparenz und Kontrolle, jedoch ausschließlich zu seinen eigenen Bedingungen. Wer sich darauf nicht vorbereitet, wird im schlimmsten Fall zur Nachlizenzierung für tausende von Mitarbeitern gezwungen – mit jährlichen Kosten im sechsstelligen Bereich. Für Oracle zählt jeder, der für oder im Auftrag Ihres Unternehmens arbeitet, als zu lizenzierender User. Kennt man diese Größe, ergibt die Preisliste von Oracle den passenden Stückpreis gemäß Staffelung pro Monat. Siehe folgendes Schaubild: Oracle Für ein Unternehmen mit 8.000 Mitarbeitern sind es 1.008.000 Dollar pro Jahr. Dieser Preis gilt, wenn ein Unternehmen auf Oracle zugeht, um Java-Produkte zu lizenzieren. Wird im Fall eines Audits lizenzpflichtiges Oracle Java nachgewiesen, behält Oracle sich vor, mehrere vorangegangene Jahre ebenfalls in Rechnung zu stellen – zwei bis drei Jahre sind dabei keine Seltenheit. 3. Vom Chaos zur Kontrolle Um der Oracle-Java-Kostenfalle zu entgehen, müssen Anwenderunternehmen Transparenz schaffen – sowohl technisch als auch vertraglich. Es braucht einen klaren, strukturierten Plan: • Der erste Schritt ist eine vollständige technische Inventarisierung aller Java-Installationen im Unternehmen. Hierbei reicht es nicht aus, nur auf die zentral verwalteten Systeme zu schauen. Auch Schatten-IT, Legacy-Systeme und externe IT-Strukturen müssen einbezogen werden. Professionelle Software Asset Management (SAM)-Tools und Skript-basierte Scans helfen, alle relevanten Java-Versionen und deren Herkunft (zum Beispiel Oracle, OpenJDK oder andere Anbieter) zu identifizieren. • Als zweites sollte eine Analyse erfolgen, welche dieser Installationen tatsächlich lizenzpflichtig sind – eine komplexe Aufgabe, bei der Erfahrung und Spezialwissen gefragt sind. Auch Vertragsprüfungen mit Oracle aus der Vergangenheit sind wichtig, da es individuelle Vereinbarungen geben kann, die Einfluss auf die aktuelle Lizenzpflicht haben. • Der dritte Schritt ist die Nutzungsermittlung. Selbst wenn eine Installation eigentlich nicht lizenzpflichtig ist, kommt es auf den konkreten Einsatz an. Einige Oracle-Produkte (wie Oracle Database, WebLogic Server usw.) enthalten eine eingebettete Java-Runtime für ihren Betrieb. Viele glauben, dass Oracle DB-Lizenzen automatisch alle Java-Installationen abdecken.Das ist falsch. Die Lizenz für diese Produkte deckt Java nur für die Nutzung innerhalb dieses Produkts ab. Wenn man dieselbe Java-Installation für andere Zwecke verwendet, ist das nicht abgedeckt. Die Gefahr besteht in der Selbstüberschätzung, Oracle Java großflächig einzusetzen, weil man denkt, bestimmte Oracle-Produkte zu besitzen. Nur wenn Sie wissen, was sie nutzen, wie sie Java nutzen und unter welchen Bedingungen, lassen sich valide Lizenzstrategien entwickeln. Wichtig ist dabei: Oracle erkennt nur fundierte, belastbare Datenanalysen an. Bauchgefühl oder Annahmen reichen nicht aus, um sich im Fall eines Audits wehren zu können. 4. Kostensenkung durch Alternativen & Verhandlungsspielraum Ist die technische Grundlage gelegt, können Strategien zur Kostenvermeidung entwickelt werden. Diese Maßnahmen können Sie ergreifen, um kostenpflichtige Oracle Java Installationen zu eliminieren: – Prüfen Sie, ob bestimmte Installationen überhaupt notwendig sind, andernfalls gehören sie deinstalliert. Häufig ist Oracle Java nur für einen vorübergehenden Zweck heruntergeladen worden und wird gar nicht mehr benötigt. – Prüfen Sie, ob diese Java-Instanzen durch Drittapplikationen installiert wurden. Wenn ja, fragen Sie nach, ob der Hersteller der Drittapplikation Java lizenziert hat und legen Sie ein positives Ergebnis dokumentiert ab. – Prüfen Sie, ob Applikationen, die die Java-Installation benötigen auch mit einer freien Variante zusammenarbeiten. – Prüfen Sie, ob es Alternativen zu den Applikationen gibt, die Oracle-Java benötigen. SAMtoa Eine naheliegende Möglichkeit ist die Migration auf freie Java-Distributionen wie OpenJDK, Amazon Corretto, AdoptOpenJDK oder Azul Zulu. Diese sind in vielen Fällen technisch gleichwertig und kostenfrei nutzbar. Voraussetzung ist, dass Sie den Umstieg planen und auf Kompatibilität sowie Sicherheit prüfen. Gleichzeitig sollte das Gespräch mit Oracle nicht gescheut werden. Wer seine Hausaufgaben gemacht hat, ist in einer besseren Verhandlungsposition. Manchmal lassen sich individuelle Vereinbarungen oder Rabatte erzielen. Das hängt allerdings stark von der individuellen Verhandlungsposition ab, hier vor allem von der Höhe des sonstigen Vertragsvolumens mit Oracle und zukünftiger monetärer Verpflichtungen. Besonders wichtig: Alle Verhandlungen sollten dokumentiert und im Kontext eines ganzheitlichen SAM-Ansatzes geführt werden. Lesetipp: Oracle verliert Java-Kunden IT-Verantwortliche, die strategisch agieren, können nicht nur erhebliche Kosten vermeiden, sondern auch ihre IT-Landschaft nachhaltig vereinfachen. Denn Java ist selten ein isoliertes Problem – oft führt die Analyse auch zu weiteren Optimierungspotenzialen im Softwarebestand. 5. Strategische Optionen für Oracle-Java im Unternehmen Ein Check der IT-Landschaft ist häufig eine Adhoc-Aktion, deren Ergebnisse schon nach einiger Zeit wieder veraltet sind. Damit Sie die erworbene Oracle-Java-Sicherheit behalten, wird eine langfristige Strategie benötigt, die möglichst wenig Ressourcen und Geld verbraucht: 1. Setzen Sie ein Tool ein, dass Ihre Oracle-Java-Installationen aufdeckt. Vielleicht haben Sie bereits eines im Haus, nutzen es aber noch nicht zielgerichtet. Die Kosten für ein SAM-Tool, dass Oracle-Java identifizieren kann, ist deutlich günstiger als eine Oracle-Java-Subscription. 2. Führen Sie quartalsweise einen Check durch mit dem Ziel, diese Fragen zu beantworten: Sind kostenpflichtige Versionen im Haus? Wie und durch wen werden sie genutzt? Sind sie ersetzbar oder vielleicht sogar überflüssig? 3. Sensibilisieren Sie Ihre Mitarbeiter. Wenn das Risiko bekannt ist, erhöht sich die Aussicht, dass sich auch viele an die Oracle-Java-Regeln halten. 4. Bieten Sie zugelassene Alternativen zu Oracle Java an. Mitarbeiter, die wissen, welche Java Editionen im Unternehmen unterstützt werden, kommen erst gar nicht in die Verlegenheit, sich etwas von der Oracle-Seite herunterzuladen. 5. Prüfen Sie jedes Mal wieder Software, die sie neu einsetzen möchten auf Oracle-Java-Bestandteile. 6. Lizenz-Strategie bei ausgelagerten und gehosteten Systemen Für Unternehmen, die Entwicklung oder den IT-Betrieb auslagern, ist es von entscheidender Bedeutung, dass das Partnerunternehmen die Oracle-Java-Lizenzierung ernst nimmt. Für Oracle zählt der Auftragnehmer als „Mitarbeiter“ des eigenen Unternehmens. Diese Punkte verringern Ihr Oracle-Java-Risiko: • In Verträge einbeziehen: Wenn Sie eine Outsourcing-Firma oder Berater beauftragen, sollten Sie Klauseln aufnehmen, die die Partner zur Einhaltung Ihrer Software-Richtlinien verpflichten. Legen Sie zum Beispiel fest, dass jede Software, die in Ihrem Auftrag installiert oder verwendet wird, ordnungsgemäße Lizenzen haben muss und dass Ihre Anweisungen für zulässige Software befolgt werden müssen. • Kommunizieren Sie die Erwartungen: Informieren Sie den Partner zu Beginn eines Auftrags über Ihre Java-Richtlinien. Stellen Sie klar: „Wir haben eine lizenzierte OpenJDK-Umgebung (oder ein Oracle-Abonnement für X Mitarbeiter). Sie sollten Oracle Java nicht herunterladen oder außerhalb dieser Richtlinie für unsere Projekte verwenden.“ • Stellen Sie Partnern die notwendigen Werkzeuge zur Verfügung: Wenn Auftragnehmer Umgebungen für Sie einrichten, geben Sie ihnen die vorab genehmigten Java-Binärdateien oder Docker-Images. Wenn Sie ein Abonnement haben, können Sie ihnen das Oracle JDK zur Verfügung stellen, da es gezählt wird; wenn nicht, stellen Sie sicher, dass sie OpenJDK verwenden. Gehen Sie nicht davon aus, dass Ihr Auftragspartner Bescheid weiß – stellen Sie aktiv bereit, was benötigt wird. • Überwachen und Überprüfen Sie die Infrastruktur beim Partner: Behandeln Sie Maschinen/Server von Auftragnehmern zu Prüfzwecken so, als wären sie Ihre eigenen. Nehmen Sie sie in Ihre Bestandsprüfungen auf. Wenn Auftragnehmer getrennte Umgebungen verwalten, zum Beispiel ein externes Team), sollten sie über die Softwarenutzung Bericht erstatten. Sie können sie vertraglich dazu verpflichten. • Kontaktperson: Beauftragen Sie eine Person auf Ihrer Seite (zum Beispiel einen internen Projektmanager) mit der Überwachung der Aktivitäten des ausgelagerten Teams in Bezug auf den Tech-Stack. Diese Person kann beispielsweise feststellen, ob der Partner ein Oracle WebLogic benutzt, das Java enthält. Im Wesentlichen dehnen Sie damit Ihr internes Compliance-Programm auf Ihre Lieferanten aus. Machen Sie es zu einem Teil des Lieferantenmanagements. Das hilft sicherzustellen, dass die Partnerunternehmen mit Ihrer Lizenzierungspolitik übereinstimmen. Fazit: Proaktiv statt reaktiv – und warum Sie jetzt handeln sollten Die Gefahr, in die Oracle-Java-Kostenfalle zu tappen, ist real und aktueller denn je. Durch das neue Lizenzmodell und die aggressive Auslegung der Nutzungspflicht geraten Unternehmen zunehmend unter Druck. Wer erst handelt, wenn Oracle zum Audit ansetzt, hat kaum noch Spielraum. Die gute Nachricht: Mit einem strukturierten Vorgehen, technischer Bestandsaufnahme und fundierter Lizenzexpertise lassen sich Risiken minimieren und Einsparpotenziale heben. Als IT-Leiter tragen Sie schließlich die Verantwortung, frühzeitig Klarheit zu schaffen – technisch, organisatorisch und strategisch. (ba)