BSI nimmt Escrow-Verfahren in den Maßnahmenkatalog auf

Die Abhängigkeit der Wirtschaft und Verwaltung von der uneingeschränkten Verfügbarkeit informationstechnischer Systeme macht die Vertraulichkeit, Verfügbarkeit und Integrität von Daten und IT-Systemen zu einem MUSS für alle Unternehmen und Institutionen.

Das Bundesamt für Sicherheit in der Informationstechnologie hat die treuhänderische Hinterlegung (Escrow) in seinen Maßnahmenkatalog für Notfallvorsorge unter Ziffer M 6.137 aufgenommen.

Zitat: „Je geschäftskritischer ein Prozess ist, desto wichtiger ist es, diesen gegen einen Ausfall abzusichern. Bei der Lieferung vieler Produkte, die Geschäftsprozesse unterstützen (Software, Maschinen, Automaten etc.), erhält der Käufer nicht alle Bestandteile, die zur Wartung des Produktes notwendig sind. Die Wartung wird in diesem Fall häufig durch den Lieferanten sichergestellt. Fällt der Hersteller oder Lieferant aus, ist das Produkt unter Umständen nicht mehr wartbar. Es sollte geprüft werden, ob dieses Risiko durch eine Hinterlegung (Escrow) der fehlenden Bestandteile gemindert werden kann.“

Die Maßnahme wurde mit Prüffragen bewehrt:

  • Wurde geprüft, ob durch die treuhänderische Hinterlegung (Escrow) eine Minderung der Sicherheitsrisiken erreicht werden kann?
  • Sind im Escrow-Vertrag alle Bedingungen der Hinterlegung, Aktualisierung und Herausgabe sowie die Rechte und Pflichten der beteiligten Parteien präzise festgelegt?
  • Ist sichergestellt, dass der Escrow-Vertrag im Einklang mit dem entsprechenden Nutzungsvertrag steht?
  • Verfügt die Escrow-Agentur über die notwendigen Qualifikationen?
  • Wird bei der treuhänderischen Hinterlegung geprüft, ob das Material im Falle einer zukünftigen Herausgabe verwendbar ist?

Den vollständigen Text der Maßnahme finden Sie unter:

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/m/m06/m06137.html