Regulierungsbehörden sind selten darauf aus, Geschäftsmodelle in der Softwarebranche umzugestalten – doch genau das könnte das EU-Cybersicherheitsrecht gerade bewirken.
Viele Kunden haben es traditionell vorgezogen, Software zu „besitzen", um auf Augenhöhe mit Softwareanbietern zu sein. Eine unbefristete Lizenz schützte vor Preiserhöhungen und gab CFOs Planungssicherheit. Der Betrieb auf eigener Infrastruktur bedeutete Kontrolle. Unbefristete Lizenzen waren in gewissem Sinne ein Ausdruck der Unabhängigkeit.
Diese Präferenz begann zu bröckeln, noch bevor Regulierungsbehörden aktiv wurden. Die Verbreitung von Software, die aus zentralisierten Rechenzentren bereitgestellt wird, „Cloud" genannt" – machte das Abonnementmodell nicht nur für Anbieter kommerziell attraktiv, sondern war oft die einzig realisierbare Option: Man kann keine unbefristete Lizenz oder sonstiges Eigentum an etwas erwerben, das vollständig auf der Infrastruktur eines anderen betrieben wird. Dennoch bestand weiterhin ein relevanter Markt für unbefristete Lizenzen, insbesondere bei unternehmensweiten On-Premises-Installationen. Die Frage ist nun, ob die akutelle Welle von IT-Sicherheitsregulierung vollenden wird, was die Cloud begonnen hat.
Regulierung erhöht den Druck auf Softwarehersteller
Mit der wachsenden Raffinesse und dem steigenden Ausmaß von Cybersicherheitsbedrohungen haben EU-Regulatoren begonnen, Software- und Technologieanbietern wesentlich weitreichendere Pflichten aufzuerlegen. Software wird inzwischen sowohl als Produkt als auch als Teil wichtiger gesellschaftlicher Infrastruktur betrachtet. Besonders bedeutsam: Die Regulierung endet ausdrücklich nicht mit dem Verkauf der Software. Die Pflichten erstrecken sich weit über den Zeitpunkt des Inverkehrbringens hinaus.
Gemäß der Cyberresilienz-Verordnung (häufig unter dem englischen Begriff CRA, Cyber Resilience Act, bekannt) sind Anbieter verpflichtet, ihre Produkte laufend auf Sicherheitslücken zu überwachen (vgl. Art. 13 Abs. 8 CRA), diese zu beheben und den Kunden Korrekturen über die erwartete Lebensdauer des Produkts bereitzustellen (mit einer Mindestdauer von fünf Jahren). Darüber hinaus führt der CRA eine Pflicht zur aktiven Meldung ausgenutzter Sicherheitslücken gegenüber Behörden ein (vgl. Art. 14 CRA). Dabei handelt es sich nicht um einmalige Compliance-Maßnahmen. Es sind kontinuierliche betriebliche Verpflichtungen, die für Softwarehersteller einen wiederkehrenden Aufwand – und entsprechende wiederkehrende Kosten – erzeugen, im Fall unbefristeter Lizenzen auch lange nach der Einmalzahlung durch den Kunden.
Während Marktanforderungen sowie Marken- und Reputationsmanagement Softwarehersteller bereits früher zur Aktualisierung ihrer Produkte veranlassten, schafft der CRA weitergehende Pflichten, die zuvor allenfalls in (kostenpflichtigen) Softwarewartungsverträgen enthalten waren. Man könnte dies als grundlegenden Paradigmenwechsel betrachten. Während Teile der Sicherheitsverantwortung früher noch reaktiv verstanden wurden – beheben, wenn etwas kaputt geht –, erfordert die aktuelle Situation eindeutig einen proaktiven Ansatz. Ein Anbieter, der eine unbefristete Lizenz ohne Wartungsvertrag verkauft, geht künftig de facto eine unbefristete Support- und Überwachungsverpflichtung ein, ohne einen gesicherten künftigen Einkommensstrom, um diese zu finanzieren. Das ist ein schwer tragfähiges Geschäftsmodell.
Die kaufmännische Logik spricht für Abonnements
Es liegt nahe, wohin das führt. Wenn ein Softwarehersteller laufenden regulatorischen Pflichten für aktiv genutzte Produkte unterliegt, hat er ein starkes Interesse daran, sicherzustellen, dass aktive Nutzung auch aktive Einnahmen generiert. Genau hier kommen Abonnementmodelle ins Spiel: Der Kunde zahlt, solange er das Produkt nutzt, und der Anbieter hat die finanzielle Grundlage, seinen Compliance-Pflichten in dieser Zeit nachzukommen.
In den meisten Regulierungsrahmen gibt es Ausnahmen – beispielsweise für Open-Source-Software in nicht-kommerziellen Kontexten, militärische Anwendungen und bestimmte Produkte, die spezifischeren Regelwerken unterliegen. Diese Ausnahmen betreffen jedoch die Ränder des Marktes, nicht dessen Zentrum. Für den breiten kommerziellen Softwaremarkt ist die Richtung klar.
Die praktische Konsequenz ist, dass Anbieter zunehmend dazu übergehen werden, laufende Verantwortlichkeiten an Kunden weiterzugeben – oder genauer gesagt, diese Kosten in wiederkehrende Verträge einzupreisen. Ich gehe davon aus, dass unbefristete Lizenzen mit ihrem impliziten Versprechen unbegrenzter Nutzung zu einem einmaligen Festpreis immer schwerer rentabel anzubieten sein werden.
Was das für Kunden bedeutet
Software-Käufer müssen ihre Erwartungen anpassen. Das Argument für unbefristete Lizenzen war stets teils auf Kostenkontrolle, teils auf Unabhängigkeit gestützt. Für den Softwareentwickler erscheinen beide Aspekte in einem Umfeld dauerhafter Wartungs- und Supportpflichten nicht mehr haltbar. Für den Kunden schwächen sich beide Argumente angesichts einer Umgebung ständig wachsender Cyberbedrohungen ab. Software kann nicht länger wartungsfrei sein.
Auf der Kostenseite bieten Abonnementmodelle einen echten Vorteil: Sie strecken Ausgaben über die Zeit und glätten den Ausgabenfluss, was spürbare Liquiditätsvorteile mit sich bringt. Für Finance-Teams, die Liquidität steuern und Ausgaben optimieren, ist das bedeutsam. Die wahrscheinliche Kehrseite ist jedoch, dass die mehrjährigen Gesamtbetriebskosten steigen werden. Anbieter werden regulatorische Compliance-Kosten in ihre wiederkehrenden Gebühren einpreisen, und Kunden werden diese tragen – nur in Raten statt als Einmalbetrag.
Die Regulierung bringt für Kunden aber auch Vorteile. IT-Sicherheitsanforderungen sind nicht mehr ausschließlich vertragsrechtlich relevant – der Kunde kann sich nun auf gesetzliche Anforderungen stützen. Dort, wo Software lizenziert und nicht als Dienstleistung bezogen wird, sollten Kunden ihre prozessualen und sicherheitsbezogenen Anforderungen nach wie vor sorgfältig bestimmen und vertraglich absichern. Die Regulierung liefert dabei Argumente, die Anbieter nur schwer zurückweisen können.
Auf der Unabhängigkeitsseite ist das Bild ernüchternder. Engere und durch Sicherheits- und Compliance-Pflichten getriebene Beziehungen zu Anbietern bedeuten tiefere Abhängigkeiten. Hinzu kommt, dass Compliance-Anforderungen auch auf Kundenseite zunehmen. Die EU-NIS2-Richtlinie und ihre nationalen Umsetzungen unterwerfen viele Branchen Registrierungs- und Cybersicherheitspflichten – darunter kritische Infrastrukturen, aber auch zahlreiche produzierende Unternehmen. Wer einst eine unbefristete Lizenz gerade deshalb schätzte, weil sie die Abhängigkeit vom Anbieter reduzierte, wird feststellen, dass das regulatorische Umfeld eine gewisse Form von Abhängigkeit nahezu unvermeidlich macht.
Fazit
Der Übergang zu abonnementbasierter Softwarelizenzierung ist seit Jahren im Gange – angetrieben zunächst durch kommerzielle Innovation und dann durch die Wirtschaftlichkeit der Cloud-Bereitstellung. Die Regulierung verleiht diesem Trend nun strukturellen Schwung. Je weiter sich die Pflichten von Softwareanbietern in den Produktlebenszyklus hinein erstrecken, desto mehr erodiert die wirtschaftliche Grundlage für unbefristete Lizenzen – nicht weil Anbieter notwendigerweise opportunistisch handeln, sondern weil die Ökonomie dauerhafter Compliance schlicht nicht zu einem Einmalzahlungsmodell passt.
Als Softwarehersteller sollten Sie, sofern noch nicht geschehen, einen Wechsel zu Abonnementmodellen in Betracht ziehen. Ich gehe davon aus, dass immer mehr Unternehmen der Branche in den kommenden Jahren ihr Umsatzmodell entsprechend ausrichten werden, wobei die Regulierung sowohl als Beschleuniger als auch als schlagkräftiges Argument gegenüber noch zögernden Kunden dienen wird. Planen Sie eine Phase, in der Sie unbefristete Lizenzen und Abonnements parallel anbieten. Entwickeln Sie ein Übergangspaket für Kunden, das ihnen einerseits hilft, ihre Compliance-Anforderungen (etwa aus NIS2, DSGVO oder vertraglichen Pflichten) zu verstehen, und andererseits aufzeigt, wie Ihr Abonnementansatz und die entsprechenden Dienstleistungen sie bei der Bewältigung dieser Herausforderungen unterstützen.
Als Kunde sollten Sie sich, wenn Sie bislang auf unbefristete Lizenzen gesetzt haben, auf Veränderungen einstellen. Planen Sie mit höheren Gesamtausgaben und einer engeren, zunehmend unvermeidlichen Abhängigkeit von Ihrem Softwareanbieter. Auf der positiven Seite können Sie von gleichmäßigeren Zahlungsstrukturen profitieren. Intern erhöht die Regulierung den Nachweis- und Dokumentationsaufwand für eine solide IT-Sicherheit – Sie sollten daher ein klares Budget einplanen und regulatorische Anforderungen in Ihren Einkaufsprozess integrieren. Sollten Sie dies bereits getan haben, empfiehlt es sich, die bestehenden Anforderungen zu überprüfen und zu bewerten, ob angesichts der jüngsten regulatorischen Entwicklungen Anpassungsbedarf besteht. Insgesamt liefern regulatorische Veränderungen und ihre Auswirkungen auf Anbieter wertvolle Impulse für Ihre eigenen Sicherheitsmaßnahmen.
Wenn Ihre Organisation sowohl Software herstellt als auch beschafft – wie es bei vielen technologiegetriebenen Unternehmen der Fall ist – gelten die obigen Überlegungen parallel, und der regulatorische Druck ist entsprechend stärker.