Unterlizenzierung liegt vor, wenn eine Organisation mehr Software-Installationen oder -Nutzer hat als durch gültige Lizenzen abgedeckt. Die Ursachen sind oft unzureichendes Software-Asset-Management oder unkontrollierte Schatten-IT. Im ISMS ist Unterlizenzierung ein Compliance-Risiko, das bei Audits durch Softwarehersteller zu erheblichen Nachforderungen führen kann. Regelmäßige Lizenzabgleiche und ein gepflegtes Asset-Register helfen, dieses Risiko zu vermeiden. ISO 27001 Annex A.5.32 fordert den Schutz geistigen Eigentums, wozu auch die Einhaltung von Lizenzverträgen gehört.