1. Ein guter Grund für einen Oracle-Java-Compliance-Check
Bis Anfang 2023 war ein Oracle-Java-Compliance-Check eine komplizierte Angelegenheit. Nach der Konsolidierung von Client-Anwendungen, physischen und virtuellen Servern mussten User und Prozessoren gezählt werden. Die Anzahl an Usern, die Java nutzen oder verbaute Prozessoren für den Betrieb von Java-Maschinen wurden lizenziert. Es gab einen gewissen Handlungsspielraum, der Überlegungen zu technischen Konstellationen notwendig machte. Spezielle Lizenzierungsregeln für virtuelle Umgebungen mussten berücksichtigt werden.
Seit 2023 ist die Berechnung der Java-Lizenzgebühren an Oracle ganz einfach. Ist eine kostenpflichtige Oracle-Java-Version im Unternehmen im Einsatz oder auch nur auf einem System abgelegt, möchte Oracle Lizenzgebühren nach der Metrik: „Java SE Universal Subscription“ berechnen. Eine Universal-Subscription bedeutet: Es werden alle Mitarbeiter im Unternehmen gezählt, interne und externe Mitarbeiter. Kennt man diese Größe, gibt die Preisliste von Oracle den passenden Stückpreis gemäß Staffelung pro Monat. Siehe folgendes Schaubild:
Für ein Unternehmen mit 8.000 Mitarbeitern sind es 1.008.000 $ pro Jahr. Dieser Preis gilt, wenn ein Unternehmen auf Oracle zugeht, um Java-Produkte zu lizenzieren. Wird im Fall eines Audits lizenzpflichtiges Oracle Java nachgewiesen, behält Oracle sich vor, mehrere vorangegangene Jahre ebenfalls in Rechnung zu stellen. (2-3 Jahre sind keine Seltenheit).
Hier geht es um so viel Geld, dass sich ein Java-Compliance-Check lohnt. Daher ist es notwendig, die Fakten der Java-Lizenzbedingungen zu kennen.
2. Wann ist Java kostenpflichtig?
Die Oracle-Java-Versionen lassen sich aus Lizenzsicht in vier Gruppen unterteilen:
- Versionen, die mit wenigen Ausnahmen kostenfrei eingesetzt werden können
- Versionen, die grundsätzlich kostenpflichtig sind
- Versionen, die Oracle temporär als kostenfrei definiert, aber auch das Enddatum für die Kostenfreiheit festsetzt.
- Versionen, die in Zusammenhang mit anderen Produkten kostenfrei eingesetzt werden dürfen
Kostenfreie Versionen:
Dazu gehören die Versionen bis zum Release SE 8u202. Kostenfrei ist der Einsatz, wenn diese Produkte nicht „kommerziell“ verwendet werden. Dabei bedeutet nicht kommerziell, es darf KEIN MSI Installer, Java Usage Tracker, Flight Recorder oder Mission Control verwendet werden
Grundsätzlich kostenpflichtige Versionen:
- Die Version 8 ab SE 8u211 sowie
- die Versionen 11 – 16
sind immer kostenpflichtig, egal wie sie installiert sind und wie sie verwendet werden.
Temporär kostenfreie Versionen:
Oracle bietet immer eine kostenfreie Version an, die Sie lizenzrechtlich unbedenklich nutzen dürfen. Oracle Java Release 17 ist derzeit kostenfrei und wird mit Updates versorgt. Diese Version steht unter „Long Term Support“ (LTS), das heißt es werden kostenfrei Sicherheitsupdates geliefert. Für jede LTS-Version sieht Oracle aber ein Ende der kostenfreien Updates vor. Für das Release 17 ist es der 21.09.2024.
Ist der 21.09.2024 erreicht, muss auf die nächste LTS-Version migriert werden. Diese ist dann für den nächsten LTS-Zeitraum kostenfrei. Die neue kostenfreie Oracle-Java-Version ist Java Release 21.Diese wird, so wie jetzt absehbar, bis zum Herbst 2026 kostenfrei sein.
Nur mit anderen Anwendungen kostenfreie Versionen:
Bestimmte Anwendungen rechtfertigen eine freie Nutzung von generell kostenpflichtigen Oracle-Java-Versionen. Eine häufig genutzte Anwendung ist der Oracle SQL Developer. Wenn auf einem System dieser Developer genutzt wird, ist Oracle-Java dafür kostenfrei. Allerdings darf das Oracle-Java nur genau zu dem Zweck eingesetzt werden.
Weitere Oracle-Anwendungen rechtfertigen ein kostenfreies Oracle-Java. Es können auch Anwendungen von Drittanbietern Oracle Java mitbringen, die über den Hersteller der Drittanwendung lizenziert sind. Das muss jedoch dokumentiert vorliegen.
Zusammenfassung:
- Kostenfreie Oracle-Java-Versionen sind alt und ein Sicherheitsrisiko. Auf rein internen Systemen mögen Sie nutzbar sein, aber sie bleiben risikoreich.
- Kostenpflichtige Oracle-Java-Versionen müssen bezahlt werden. Damit unterliegen Sie den Lizenzbedingungen von Oracle und müssen nach der Universal-Metrik lizenziert werden.
- Temporär kostenfreie Versionen machen Arbeit. Der Migrationszeitpunkt darf nicht verpasst werden. Hier ist gute Dokumentation notwendig.
- Nur mit anderen Anwendungen kostenfreie Versionen machen ebenfalls Arbeit. Es gilt sie auf ihren Zweck hin zu überwachen und ebenfalls zu dokumentieren.
3. Das Risiko ist facettenreich
Die große Herausforderung im Lizenzmanagement ist es, kontinuierlich am Ball zu bleiben. Das gilt auch für die Prüfung des Oracle-Java-Einsatzes im Unternehmen. Die IT ist vielerorts sensibilisiert für das Risiko, welches durch kostenpflichtige Installationen entsteht. Über Richtlinien können Sie festlegen, dass nur noch freie Java-Produkte verteilt werden bzw. zur Installation erlaubt sind.
Trotzdem ist es schwer, vollständig zu verhindern, dass doch wieder kostenpflichtige Oracle-Java-Versionen im Unternehmen eingesetzt werden. Es gilt auch diese Fälle dauerhaft zu prüfen:
Auto Updater:
Der Java Auto Updater kann unbeabsichtigt Updates installieren, die eine kostenpflichtige Lizenz erfordern. Unternehmen sollten sicherstellen, dass automatische Updates deaktiviert sind, um ungewollte Lizenzverstöße zu vermeiden. Updates, die über den Auto Updater von der Oracle-Seite heruntergeladen werden, kann Oracle verfolgen. Es wird vermutet, dass Oracle die so gewonnenen IP-Adressen nutzt, um Auditkandidaten zu ermitteln.
Externe Software:
Viele Drittanbieter-Softwareprodukte erfordern bestimmte Java-Versionen. Unternehmen sollten diese Anforderungen sorgfältig prüfen und sicherstellen, dass die benötigten Java-Versionen ordnungsgemäß lizenziert sind. Dazu befragen Sie den Hersteller / Lieferanten. Im besten Fall kommt eine Software ganz ohne Oracle Java aus, bzw. kann auf eine freie Java-Version umgestellt werden.
Alte Systeme, die nur mit Oracle Java laufen:
Einige ältere Unternehmensanwendungen sind möglicherweise nur mit spezifischen Versionen von Oracle-Java kompatibel. Der Ersatz oder die Aktualisierung solcher Systeme kann kostspielig sein, aber die Nutzung nicht lizenzierter Software stellt ein erhebliches Risiko dar.
Mitarbeiter, die etwas installieren:
Mitarbeiter können unbewusst lizenzpflichtige Java-Versionen installieren, was zu ungewollten Lizenzverletzungen führen kann. Unternehmen sollten klare Richtlinien und regelmäßige Schulungen zur Softwareinstallation bereitstellen.
Es ist ausgesprochen wichtig, alle Mitarbeiter zu sensibilisieren. Wenn klar ist, welche Zahlungen ein Lizenzverstoß nach sich zieht, ist die Bereitschaft sich an eine „Kein-Oracle-Java“-Richtlinie zu halten, groß.
4. Was tun mit kostenpflichtigen Oracle-Java-Installationen?
Folgende konkrete Maßnahmen kann man ergreifen, um kostenpflichtige Oracle Java Installationen zu eliminieren:
- Prüfen, ob sie notwendig sind, andernfalls deinstallieren.
- Prüfen, ob sie durch Drittapplikationen installiert wurden. Wenn ja, nachfragen, ob der Hersteller der Drittapplikation Java lizenziert hat und ein positives Ergebnis dokumentiert ablegen.
- Prüfen, ob Applikationen, die die Java-Installation benötigen auch mit einer freien Variante zusammenarbeiten
- Prüfen, ob es Alternativen zu den Applikationen gibt, die Oracle-Java benötigen
5. So geht Oracle im Audit vor
Audits können durch unterschiedliche Gründe ausgelöst werden. Dazu zählen:
- Kündigung eines Vertrags
- Mengenanpassung
- Auffälligkeiten bei Lizenzmeldungen
- Lange Zeit kein Audit durch Oracle
Nicht immer wird ein Audit auch als Audit angekündigt. Möglicherweise wird seitens Oracle auch „nur“ nach der Lizenzierung gefragt. Es gilt immer aufzupassen – Antworten zum Softwareverbrauch und zur Lizenzierung sollten gut überlegt sein.
Bei der Ankündigung eines Audits durch Oracle sollten Unternehmen ruhig bleiben und die folgenden Schritte einleiten:
Eine Ansprechperson festlegen: Nur eine Person übernimmt die Kommunikation mit Oracle
Termine koordinieren: Nicht jeder Termin von außen muss angenommen werden. Legen Sie fest, wann die internen Ressourcen für ein Audit verfügbar sind, und teilen Sie das Oracle mit.
Interne Prüfung: Führen Sie eine interne Überprüfung der Java-Installationen und Lizenzen durch.
Dokumentation vorbereiten: Stellen Sie alle relevanten Lizenzdokumente und Nachweise zusammen.
Externe Beratung einholen: Ziehen Sie ggf. externe Berater hinzu, die auf Oracle-Lizenzierung spezialisiert sind.
Welche Zahlungen verlangt Oracle, wenn ein Lizenzverstoß im Audit ermittelt wird?
Sollte Oracle bei einem Audit feststellen, dass Lizenzen fehlen, kann das Unternehmen zur Zahlung von Nachlizenzierungsgebühren und möglicherweise auch Strafgebühren verpflichtet werden. Die genauen Kosten hängen vom Umfang der Lizenzverletzungen und den ausgehandelten Konditionen ab. Es ist daher ratsam, bei Lizenzierungsfragen proaktiv zu sein und alle Installationen regelmäßig zu überprüfen.
6. Ihre langfristige Oracle-Java-Strategie
Nach diesen vielen Fakten ist es Zeit für einen Lösungsansatz. Wir schlagen folgende Schritte für eine langfristige Strategie vor, die möglichst wenig Ressourcen und Geld verbraucht:
- Setzen Sie ein Tool ein, dass Ihre Oracle-Java-Installationen aufdeckt. Vielleicht haben Sie bereits eines im Haus, nutzen es aber noch nicht zielgerichtet. Die Kosten für ein SAM-Tool, dass Oracle-Java identifizieren kann, ist deutlich günstiger als eine Oracle-Java-Subscription (ab einer bestimmten Mitarbeiterzahl).
- Führen Sie quartalsweise einen Check durch mit dem Ziel diese Fragen zu beantworten: Sind kostenpflichtige Versionen im Haus? Wie und durch wen werden sie genutzt? Sind sie ersetzbar oder vielleicht sogar überflüssig?
- Sensibilisieren Sie Ihre Mitarbeiter. Wenn das Risiko bekannt ist, ist es aussichtsreich, dass sich viele an die Oracle-Java-Regeln halten.
- Prüfen Sie jedes Mal wieder Software, die sie neu einsetzen möchten auf Oracle-Java-Bestandteile.
Wir von SAMtoa unterstützen Sie in allen Punkten. Gemeinsam gelingt es uns, eine langfristige Oracle-Java-Strategie bei Ihnen zu etablieren.
Die Autorin
Kirsten Springer
Geschäftsführerin und Lizenzexpertin der SAMtoa GmbH