Ein mittelständisches Unternehmen setzt eine Datenbank-Software auf 15 Servern ein — lizenziert für 10. Der Hersteller führt ein Lizenz-Audit durch. Die Nachforderung: 120.000 Euro plus Vertragsstrafe. A.5.32 fordert, dass die Organisation geistiges Eigentum schützt und die Einhaltung von Lizenzvereinbarungen sicherstellt.
Was verlangt die Norm?
- IP-Richtlinie erstellen. Die Organisation dokumentiert Verfahren zum Schutz geistigen Eigentums und zur Einhaltung von Lizenzvereinbarungen.
- Software legal beschaffen. Software wird nur aus legalen Quellen beschafft. Die Einhaltung der Lizenzbedingungen wird überwacht.
- Lizenzregister führen. Ein aktuelles Register aller Softwarelizenzen mit Lizenztyp, Anzahl, Nutzung und Ablaufdatum.
- Nutzungsbeschränkungen kommunizieren. Beschäftigte kennen die Regeln: keine illegale Software, keine Urheberrechtsverletzungen, keine unautorisierte Nutzung externer Inhalte.
In der Praxis
Lizenzregister aufbauen. Pro Software: Hersteller, Produkt, Lizenztyp (Named User, Concurrent, Subscription), gekaufte Anzahl, installierte Anzahl, Ablaufdatum, Vertragsnummer. Abgleich: installiert vs. lizenziert — Differenzen sofort klären.
Open-Source-Compliance sicherstellen. Führe ein Open-Source-Inventar. Prüfe die Lizenzbedingungen: Muss der Quellcode offengelegt werden (Copyleft)? Gibt es Patent-Klauseln? Sind die Lizenzen kompatibel? Nutze SBOM-Tools für die automatische Erfassung.
Eigenes geistiges Eigentum schützen. Verträge mit Mitarbeitenden und Dienstleistern enthalten Klauseln zu IP-Rechten: Wem gehört der Code? Wer darf ihn nutzen? Welche Geheimhaltungspflichten gelten? Vertraulichkeitsvereinbarungen (NDAs) für alle Personen mit Zugang zu proprietärem Know-how.
Schulung zur IP-Compliance. Beschäftigte müssen wissen: keine Installation nicht genehmigter Software, kein Download urheberrechtlich geschützter Inhalte, keine Nutzung privater Lizenzen für Firmenzwecke. Diese Regeln gehören in die Nutzungsrichtlinie (A.5.10).
Typische Audit-Nachweise
Auditoren erwarten bei A.5.32 typischerweise diese Nachweise:
- Lizenzregister — Übersicht aller Softwarelizenzen mit Soll-Ist-Abgleich
- IP-Richtlinie — dokumentierte Verfahren zum Schutz geistigen Eigentums
- Open-Source-Inventar — Aufstellung genutzter Open-Source-Komponenten mit Lizenzen
- Beschaffungsverfahren — Nachweis, dass Software nur aus legalen Quellen beschafft wird
- NDA/Vertraulichkeitsvereinbarungen — für Personen mit Zugang zu proprietärem Know-how
KPI
% der geistigen Eigentumswerte mit dokumentierten Schutzmaßnahmen
Gemessen am Inventar aller IP-relevanten Assets: Software, Patente, proprietärer Code, Geschäftsgeheimnisse. Ziel: 100% mit dokumentiertem Schutzstatus. Der häufigste blinde Fleck: Open-Source-Komponenten in Eigenentwicklungen.
Ergänzende KPIs:
- Anteil der Softwareinstallationen mit gültiger Lizenz (Compliance-Rate)
- Anzahl der offenen Lizenzverstöße
- Aktualität des Lizenzregisters (letztes Review-Datum)
BSI IT-Grundschutz
A.5.32 mappt auf die BSI-Anforderungen zum Umgang mit Software:
- ORP.5 (Einhaltung rechtlicher Rahmenbedingungen) — rechtliche Anforderungen an die Nutzung von Software und den Schutz geistigen Eigentums.
- APP.6.A9 (Lizenzmanagement) — verlangt ein Lizenzmanagement für alle eingesetzten Softwareprodukte.
- APP.3.2.A7 (Urheberrecht) — Beachtung des Urheberrechts bei der Nutzung von Webanwendungen und -diensten.
Verwandte Kontrollen
A.5.32 ergänzt den Compliance-Block:
- A.5.31 — Rechtliche und vertragliche Anforderungen: Der übergeordnete Compliance-Rahmen, in den A.5.32 eingebettet ist.
- A.5.9 — Inventar von Informationswerten: Software-Lizenzen sind Informationswerte, die inventarisiert werden müssen.
- A.5.10 — Akzeptable Nutzung: IP-Regeln sind Teil der Nutzungsrichtlinie.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.32 — Geistige Eigentumsrechte
- ISO/IEC 27002:2022 Abschnitt 5.32 — Umsetzungshinweise
- BSI IT-Grundschutz, ORP.5 — Einhaltung rechtlicher Rahmenbedingungen