Je geschäftskritischer ein Prozess ist, desto wichtiger ist es, diesen gegen einen Ausfall abzusichern. Bei der Lieferung vieler Produkte, die Geschäftsprozesse unterstützen (Software, Maschinen, Automaten etc.), erhält der Käufer nicht alle Bestandteile, die zur Wartung des Produktes notwendig sind. Die Wartung wird in diesem Fall häufig durch den Lieferanten sichergestellt. Fällt der Hersteller oder Lieferant aus, ist das Produkt unter Umständen nicht mehr wartbar. Es sollte geprüft werden, ob dieses Risiko durch eine Hinterlegung (Escrow) der fehlenden Bestandteile gemindert werden kann.
Escrow ist die "treuhänderische" Hinterlegung von nicht im Lieferumfang enthaltenen Materialien, die zur Wartung und Pflege eines Produktes notwendig sind, bei einem Dritten (ESCROW Treuhänder). Bei diesen Materialien kann es sich um Software (ausführbar oder als Quellcode), Handbücher, Konstruktionspläne, Konfigurationszustände, Abnahmedaten, Schlüssel, Passwörter oder andere Bestandteile handeln.
Je nach Art des Produktes können sich Unternehmen oder Behörden mit diesem Instrument beispielsweise gegen folgende Risiken absichern:
- Wegfall der Leistungen eines Auftragnehmers im Hinblick auf Fertigstellung, Pflege oder Weiterentwicklung des Produktes
- Ausfall von Zulieferern von Bauteilen und Baugruppen
- Speziell im Fall von Software: Verlust von Quell- und/oder Objektcodes bei Großschäden im IT-Bereich
- Fehlende Möglichkeiten nachzuweisen, wann welcher Versionsstand vorgelegen hat, beispielsweise im Hinblick auf Urheberrecht, Haftung oder Insolvenz
Funktionsweise
Der Anwender eines Produktes sichert mit Escrow die kontinuierliche Fortführung eines oder mehrerer geschäftskritischer Prozesse. Hierzu erhält er das Recht, unter definierten Bedingungen auf das hinterlegte Material zuzugreifen und dieses zur Pflege des Produktes zu nutzen, z. B. wenn der Lieferant die im Vertrag festgelegten Leistungen gegenüber dem Anwender nicht erbringt. Auf der anderen Seite schützt der Lieferant seine Wettbewerbsvorteile und seine Betriebsgeheimnisse, solange wie er seinen Verpflichtungen nachkommt. Der ESCROW Treuhänder prüft und verwahrt das Material für beide Parteien.
Anwender und Lieferant schließen mit dem ESCROW Treuhänder einen Vertrag, der mindestens folgende Aspekte definiert:
- Sicherung der Rechte und Bedingungen zur Herausgabe des hinterlegten Materials
- Verifikation des Materials
- Fachgerechte Lagerung des Materials und angemessene Absicherung
- Aktualisierung des Materials
Die Bedingungen der Hinterlegung und insbesondere auch die Pflichten der ESCROW Treuhänder im Hinblick auf die Verifizierung und die Herausgabe sind im Escrow-Vertrag genau zu beschreiben. Die individuelle Ausgestaltung dieses Vertrages hängt sowohl von der Einschätzung der Risiken, gegen die sich der Hinterleger absichern will, als auch vom Rechtsraum ab.
Folgende Hinweise sollten bei der Formulierung und beim Abschluss des Escrow-Vertrages beachtet werden:
- Diskrepanzen zwischen dem Nutzungsvertrag und dem Escrow-Vertrag müssen vermieden werden.
- Hilfreich ist es, den Nutzungsvertrag und den Escrow-Vertrag parallel abzuschließen. Eine zeitliche Verschiebung könnte Nachteile für den Anwender mit sich bringen.
- Je nach Rechtsraum kann ein Escrow-Vertrag gefährdet werden, wenn er zu spät abgeschlossen wird, z. B. kurz vor der Insolvenz des Lieferanten.
- Die Herausgabe des Materials sollte klar definiert sein. Der Escrow-Vertrag sollte ein genaues Verfahren beinhalten, wie die Herausgabe einzuleiten und durchzuführen ist.
- Der ESCROW Treuhänder muss für beide Seiten vertrauenswürdig sein und sichere und geeignete Aufbewahrungsmöglichkeiten für das zu hinterlegende Material bieten.
- Die technischen Aspekte der Hinterlegung müssen geregelt werden. Der ESCROW Treuhänder sollte die nötige technische Kompetenz aufweisen, um die Weiterverwendbarkeit des Materials prüfen und die Nachsorge gegenüber Updates leisten zu können.
- Die Verwendbarkeit des Materials nach der Herausgabe ist bereits bei der Zulieferung zu prüfen. Die Prüfungstiefe hängt von der Einschätzung der Risiken und der verwendeten Technik ab. Beispiele für Prüfungen sind das Kompilieren einer Software aus dem hinterlegten Quellcode oder das Durchspielen einer Montage-Anleitung.
- Durch die Festlegung geeigneter Update-Zyklen ist das Material aktuell zu halten. Welche Zyklen erforderlich sind, hängt vorrangig von der Einschätzung der Risiken und von den Produktionsprozessen des Anwenders ab.
Prüffragen:
- Wurde geprüft, ob durch die treuhänderische Hinterlegung (Escrow) eine Minderung der Sicherheitsrisiken erreicht werden kann?
- Sind im Escrow-Vertrag alle Bedingungen der Hinterlegung, Aktualisierung und Herausgabe sowie die Rechte und Pflichten der beteiligten Parteien präzise festgelegt?
- Ist sichergestellt, dass der Escrow-Vertrag im Einklang mit dem entsprechenden Nutzungsvertrag steht?
- Verfügt der ESCROW Treuhänder über die notwendigen Qualifikationen?
- Wird bei der treuhänderischen Hinterlegung geprüft, ob das Material im Falle einer zukünftigen Herausgabe verwendbar ist?
Quelle: BSI* Bundesamt für Sicherheit in der Informationstechnik, Bonn
Escrow ist die "treuhänderische" Hinterlegung von nicht im Lieferumfang enthaltenen Materialien, die zur Wartung und Pflege eines Produktes notwendig sind, bei einem Dritten (ESCROW Treuhänder). Bei diesen Materialien kann es sich um Software (ausführbar oder als Quellcode), Handbücher, Konstruktionspläne, Konfigurationszustände, Abnahmedaten, Schlüssel, Passwörter oder andere Bestandteile handeln.
Je nach Art des Produktes können sich Unternehmen oder Behörden mit diesem Instrument beispielsweise gegen folgende Risiken absichern:
- Wegfall der Leistungen eines Auftragnehmers im Hinblick auf Fertigstellung, Pflege oder Weiterentwicklung des Produktes
- Ausfall von Zulieferern von Bauteilen und Baugruppen
- Speziell im Fall von Software: Verlust von Quell- und/oder Objektcodes bei Großschäden im IT-Bereich
- Fehlende Möglichkeiten nachzuweisen, wann welcher Versionsstand vorgelegen hat, beispielsweise im Hinblick auf Urheberrecht, Haftung oder Insolvenz
Funktionsweise
Der Anwender eines Produktes sichert mit Escrow die kontinuierliche Fortführung eines oder mehrerer geschäftskritischer Prozesse. Hierzu erhält er das Recht, unter definierten Bedingungen auf das hinterlegte Material zuzugreifen und dieses zur Pflege des Produktes zu nutzen, z. B. wenn der Lieferant die im Vertrag festgelegten Leistungen gegenüber dem Anwender nicht erbringt. Auf der anderen Seite schützt der Lieferant seine Wettbewerbsvorteile und seine Betriebsgeheimnisse, solange wie er seinen Verpflichtungen nachkommt. Der ESCROW Treuhänder prüft und verwahrt das Material für beide Parteien.
Anwender und Lieferant schließen mit dem ESCROW Treuhänder einen Vertrag, der mindestens folgende Aspekte definiert:
- Sicherung der Rechte und Bedingungen zur Herausgabe des hinterlegten Materials
- Verifikation des Materials
- Fachgerechte Lagerung des Materials und angemessene Absicherung
- Aktualisierung des Materials
Die Bedingungen der Hinterlegung und insbesondere auch die Pflichten der ESCROW Treuhänder im Hinblick auf die Verifizierung und die Herausgabe sind im Escrow-Vertrag genau zu beschreiben. Die individuelle Ausgestaltung dieses Vertrages hängt sowohl von der Einschätzung der Risiken, gegen die sich der Hinterleger absichern will, als auch vom Rechtsraum ab.
Folgende Hinweise sollten bei der Formulierung und beim Abschluss des Escrow-Vertrages beachtet werden:
- Diskrepanzen zwischen dem Nutzungsvertrag und dem Escrow-Vertrag müssen vermieden werden.
- Hilfreich ist es, den Nutzungsvertrag und den Escrow-Vertrag parallel abzuschließen. Eine zeitliche Verschiebung könnte Nachteile für den Anwender mit sich bringen.
- Je nach Rechtsraum kann ein Escrow-Vertrag gefährdet werden, wenn er zu spät abgeschlossen wird, z. B. kurz vor der Insolvenz des Lieferanten.
- Die Herausgabe des Materials sollte klar definiert sein. Der Escrow-Vertrag sollte ein genaues Verfahren beinhalten, wie die Herausgabe einzuleiten und durchzuführen ist.
- Der ESCROW Treuhänder muss für beide Seiten vertrauenswürdig sein und sichere und geeignete Aufbewahrungsmöglichkeiten für das zu hinterlegende Material bieten.
- Die technischen Aspekte der Hinterlegung müssen geregelt werden. Der ESCROW Treuhänder sollte die nötige technische Kompetenz aufweisen, um die Weiterverwendbarkeit des Materials prüfen und die Nachsorge gegenüber Updates leisten zu können.
- Die Verwendbarkeit des Materials nach der Herausgabe ist bereits bei der Zulieferung zu prüfen. Die Prüfungstiefe hängt von der Einschätzung der Risiken und der verwendeten Technik ab. Beispiele für Prüfungen sind das Kompilieren einer Software aus dem hinterlegten Quellcode oder das Durchspielen einer Montage-Anleitung.
- Durch die Festlegung geeigneter Update-Zyklen ist das Material aktuell zu halten. Welche Zyklen erforderlich sind, hängt vorrangig von der Einschätzung der Risiken und von den Produktionsprozessen des Anwenders ab.
Prüffragen:
- Wurde geprüft, ob durch die treuhänderische Hinterlegung (Escrow) eine Minderung der Sicherheitsrisiken erreicht werden kann?
- Sind im Escrow-Vertrag alle Bedingungen der Hinterlegung, Aktualisierung und Herausgabe sowie die Rechte und Pflichten der beteiligten Parteien präzise festgelegt?
- Ist sichergestellt, dass der Escrow-Vertrag im Einklang mit dem entsprechenden Nutzungsvertrag steht?
- Verfügt der ESCROW Treuhänder über die notwendigen Qualifikationen?
- Wird bei der treuhänderischen Hinterlegung geprüft, ob das Material im Falle einer zukünftigen Herausgabe verwendbar ist?
Quelle: BSI* Bundesamt für Sicherheit in der Informationstechnik, Bonn
