Software Escrow

Mieten statt kaufen – das ist das Geschäftsmodell, welches hinter Cloud Computing steht. IT-Ressourcen oder Anwendungen werden jeweils auf Anfrage via Internet vom Cloud Service Provider zur Verfügung gestellt. Unter dem Stichwort „Software-as-a-Service“ kann der Zugriff auf die Software orts- und zeitunabhängig von verschiedenen Endgeräten erfolgen. Der Vorteil liegt auf der Hand: Die Abrechnung ist nutzungsabhängig, d.h. nur tatsächlich genutzte Dienstleistungen müssen bezahlt werden. Zudem bietet das Cloud-Modell dem Anwender die Möglichkeit, neueste Technologien nutzen zu können, ohne Vorab-investitionen tätigen zu müssen.

Herausforderungen und Risiken des Cloud Computings
Trotz unbestreitbarer Vorteile gibt es auch Nachteile. Hierzu zählen neben den Sicherheitsaspekten, wie das Speichern sensibler Daten in der Cloud, vor allem die Verfügbarkeit kundenspezifischer Daten sowie die zeitnahe Wiederherstellung eines Dienstes, sollte dieser ausfallen. Und genau hier kann Cloud Escrow einen Beitrag liefern, Bedenken und Vorbehalte zu minimieren, wenn nicht sogar auszuräumen.

Die Rolle des Cloud Escrow
Aufgabe des Cloud Escrow-Agenten ist es, eine passende Lösung zu finden, die der technischen Komplexität der Infrastruktur sowie der Sicherheit und Verfügbarkeit der Daten Rechnung trägt. Entscheidend ist bei Cloud Escrow daher die Zusammenstellung der zu hinterlegenden Komponenten. Neben dem Software Quellcode sind das die Zugangsdaten zum Livesystem des Cloud Service Providers, aber auch individuelle, auf die jeweiligen Anwendungen und genutzten Dienste zugeschnittenen Testmethoden.

Cloud Escrow – Sicherheit fördert vertrauensvolle Geschäftsbeziehungen
Aus Sicht des Nutzers ist Cloud Escrow ein Instrument zur Absicherung geschäftskritischer Daten. Wird mit Hilfe des Escrow-Agenten das Sicherheitsbedürfnis zufriedengestellt, hat das positive Auswirkungen auf alle Parteien – auf den Escrow-Markt und auf das Cloud-Geschäftsmodell: denn wächst die Akzeptanz von Cloud Computing, erhöht sich die Nachfrage nach entsprechenden Serviceleistungen und auch die unterstützende Rolle des Escrow-Agenten wird stärker wahrgenommen. Eine Win-Win-Situation für alle.

Längst ist die IT-Strategie Teil der Unternehmensstrategie. Und IT gilt als Schlüssel-technologie bei der Herstellung von Produkten in den unterschiedlichsten Wirtschafts-bereichen. War der primäre Hinterlegungsgegenstand vor 15 Jahren noch Software, gilt es heute auch, Know-how zu schützen, und zwar über alle Branchen hinweg: vom Maschinen-bau, dem Ingenieurwesen, über Biotechnologie bis zur Chemieindustrie. Die Anwendungsbeispiele zur Absicherung geistigen Eigentums reichen von Maschinendaten, Bauplänen von Platinen, Material- und Stücklisten, Spezifikationen, Zeichnungen und Schnittstellenbeschreibungen bis zu Inhaltsstoffen von chemischen Prozessen oder Komponenten von Fertigungsanlagen sowie deren Aufbau und Konfiguration.

Was unterscheidet IP und Document Escrow von Software Escrow?
Geht es bei Software Escrow um die Verfügbarkeit einer Software, sichern IP und Document Escrow die Wartung und Produktion ganzer Fertigungsanlagen. Daraus folgt, dass – je nach Branche – neben dem Escrow-Agenten zusätzliche Expertise benötigt wird. Es müssen Experten als Gutachter hinzugezogen werden, da Escrow-Agenten intern die fachliche Expertise nicht vorhalten können. Die Komplexität nimmt zu und eine typische respektive einheitliche Beschreibung bzw. Verifizierung des Hinterlegungsgegenstands ist nicht möglich. Im Unterschied zu Software Escrow ist das Hinterlegen von Know-how oft weniger zeitkritisch, da es hier seltener zu Updates kommt. Stabile Produktionsprozesse werden weniger häufig angepasst als Software.

In welchen Bereichen wird IP und Document Escrow genutzt und welche Vorteile bietet es?

Gerade im Energiesektor oder in der Logistikbranche ist IP Escrow ein probater Investitionsschutz. So muss beispielsweise der Betreiber eines Windkraftparks die Einsatzfähigkeit seiner Windräder über einen Zeitraum von 30 Jahren garantieren können. Und ein Logistikunternehmen, das auf die Nutzung von Drohnen bei der Warenauslieferung setzt, muss auf Worst-Case-Szenarien vorbereitet sein – könnte der Drohnenhersteller nicht mehr produzieren, wäre es dem Logistikunternehmen mithilfe des IP und Document Escrows möglich, die vorhandenen Drohnen weiter zu nutzen und mittel- bis langfristig einen anderen Hersteller zu finden, der für den notwendigen Ersatz sorgen kann.

Da IP und Document Escrow bislang in nur wenigen Branchen bekannt ist, gibt es hier derzeit noch weniger Anwendungsfälle als das beim klassischen Software Escrow oder Cloud Escrow der Fall ist. Das Potenzial ist hier allerdings sehr groß.

Kosten, Kompromisse oder Zugang zu Live-Instanzen von Cloud-Anwendungen
Besser ein abgespecktes Sicherheitskonzept als gar keins. – Kostenersparnis kann ein Grund sein, weshalb sich Anwender entscheiden, allein die kryptographischen Schlüssel zu hinterlegen. Das können Passwörter, Hashwerte oder allgemeine Zugangsdaten sein, zum Beispiel für Cloud-Anwendungen. In diesem Fall sprechen Escrow-Agenten von einer unvollständigen Hinterlegung. Warum? Beim Key Escrow wird nur der Schlüssel zum Quellcode hinterlegt und nicht der gesamte Quellcode.

Kompromisse fördern gegenseitiges Vertrauen
Da die Kosten für ein Key Escrow geringer ausfallen als bei einem vollständigen Escrow, ist die Kostenersparnis eine Option für Unternehmen mit knapp kalkulierten Budgets. Auch aus Anbietersicht kann es Gründe geben, sich allein für die Schlüsselhinterlegung zu entscheiden. Sicherheitsbedenken oder die grundsätzliche Angst, dass das eigene Produkt einer gutachterlichen Bewertung nicht Stand halten könnte, sind Argumente sich als Kompromiss mit dem Anwender auf Key Escrow zu einigen.

Zugangsdaten hinterlegen: gängige Praxis bei Cloud-Anwendungen
Eine dritte Möglichkeit, weshalb Anbieter und Anwender sich für Key Escrow entscheiden, kommt häufig im Zusammenhang mit Cloud-Anwendungen vor: Hinterlegungsgegenstand sind in diesem Fall die Zugangsdaten für die Online-Entwicklungsumgebung wie Github, AWS oder Azure. Im Falle einer Insolvenz des Betreibers erhält der Anwender via Key Escrow den Zugang zu den Live-Daten des Dienstes, so dass dieser dann eigenverantwortlich vom Anwender ohne den Lizenzgeber bzw. Cloud-Anbieter weiter betrieben werden kann.

Daten – die Leitwährung der digitalen Ökonomie
Daten spielen eine entscheidende Rolle in unserer digitalen Welt. Ausgewertet und interpretiert werden Daten zu wertvollen Informationen. Sie sind Schlüsselressource und Leitwährung der Ökonomie des 21. Jahrhunderts – als Zugang zur gesellschaftlichen Teilhabe, Basis für staatliches Handeln, Grundlage zur Gewinnung wissenschaftlicher Erkenntnisse und Schlüssel zu Innovationen in Industrie und Handel.

Der Escrow-Agent: Neutraler Daten-Treuhänder und Auftragsverarbeiter
Bei Data Escrow gilt es, große Datenmengen, Input- oder Outputdaten oder Daten als Basis für statistische Auswertungen zu hinterlegen. Potenzielle Einsatzgebiete gibt es viele: In der Telekommunikation, dem Gesundheitswesen oder in der Automobilindustrie. Und nicht immer geht es um die Absicherung im Falle einer Insolvenz. Data Escrow wird zum Beispiel als Datenschutz-Maßnahme eingesetzt oder dient der treuhänderischen Verwaltung großer Datenmengen.

Data Escrow unterstützt in der Telekommunikation und im Gesundheitswesen
Ein Escrow-Agent kann auch die Rolle des Auftragsverarbeiters einnehmen, zum Beispiel als dritte Instanz zwischen einem Telefonanbieter und einem Telekommunikations-unternehmen, das die Telefone des Geschäftspartners mit Zweijahresverträgen seinen Kunden anbietet: Der Telefonanbieter hat aus datenschutzrechtlichen Gründen kein Interesse an der Einsicht und Übertragung der Daten. Das Telekommunikationsunternehmen wiederum ist verantwortlich für die Kundenbeziehung und die Pflege der Bewegungsdaten. Aufgabe des Escrow-Agenten ist es in diesem Fall, bei Aktualisierungen der Software regelmäßige Tests durchzuführen. Hierbei werden die Daten zum Beispiel auf Vollständigkeit und Plausibilität geprüft. Die Auswertungen werden dokumentiert und die Daten – für den vorher definierten Fall der Herausgabe – verwahrt.

Zu einer gesundheitsbewussten Lebensweise gehören gesunde Ernährung ebenso wie Bewegung und sportliche Aktivitäten. Um entsprechende Gesundheits-Vitaldaten zu erheben, bietet die Industrie eine Vielzahl von Gesundheits-Apps an. Diese werden in Form von tragbarer Hardware, wie kleinen Armbändern oder Uhren angeboten. Mit Hilfe dieser sogenannten Wearables werden Daten der Nutzer gesammelt und weitergesendet. Diese Daten werden regelmäßig für klinische Studien genutzt und ausgewertet. Die aus den Daten gewonnenen Erkenntnisse fließen so in neue Therapien ein. Um die zuvor anonymisierten Daten wieder ihren Nutzern zuordnen zu können, müssen diese wieder de-anonymisiert werden. Hier kommt der Escrow-Agent ins Spiel. Seine Aufgabe ist es, als neutrale Instanz die Auftragsverarbeitung zu übernehmen und die Informationen denjenigen zukommen zu lassen, denen sie zugutekommen sollen.

Data Escrow – ein potenzieller Wachstumsmarkt
Ob in der Telekommunikation, dem Gesundheitswesen, im Bereich des autonomen Fahrens oder dem Internet of Things (IoT) – Data Escrow hat viele potenzielle Einsatzgebiete. Immer wird es auch in Zukunft darum gehen, zunächst proprietäre Daten mit anderen Marktteil-nehmern zu teilen, sie auszuwerten und sie zum Vorteil aller Beteiligten zur Verfügung zu stellen. Um hierbei wettbewerbliche Bedenken zu entschärfen, die bestehende Datenmacht einzelner Marktteilnehmer einzugrenzen und den Datenschutz zu gewährleisten, kommt Data Escrow eine wichtige Rolle zu. Die Herausforderungen bestehen derzeit in der eindeutigen inhaltlichen Beschreibung der zu hinterlegenden Daten sowie darin, den Zweck korrekt zu definieren sowie eine bestmögliche Verifizierung und Validierung der Daten im Sinne aller Vertragsparteien durchführen zu können.

Klassische Quellcodehinterlegung kombiniert mit neuen Anwendungen
Die fortwährende Weiterentwicklung der Technik bringt immer neue Geschäftsmodelle auf den Markt. KI ist gerade in aller Munde. Parallel zum Einsatz von KI Systemen entwickelt sich auch der Markt für KI Escrow, das derzeit jüngste Anwendungsgebiet der am Markt angebotenen Dienstleistungen von professionellen Hinterlegungsstellen und Escrow-Agenten. Wie bei allen Neuentwicklungen muss sich auch KI Escrow erst etablieren.

Hinterlegungsgegenstand sind der Quellcode und/oder Algorithmen der „leeren“ bzw. untrainierten KI Modelle respektive Neuronalen Netzwerken und deren Trainingsdaten sowie möglicherweise im begrenzten Umfang auch Livedaten.

Neue Technologien – konventionelle Absicherungsmuster
Zwar ist das Anwendungsgebiet neu, die Motive, sich für eine Escrow-Lösung zu entscheiden, sind jedoch ganz konventionell: Aus Sicht des Lizenzgebers oder Rechteinhabers geht es um den Schutz des geistigen Eigentums, die Sicherung von Wettbewerbsvorteilen und das Schaffen von Vertrauen und Akzeptanz am Markt für die angebotene Lösung. Gerade mit Blick auf die gesellschaftlichen und ethischen Diskussionen im Zusammenhang mit Künstlicher Intelligenz kommt diesem Aspekt künftig möglicherweise eine entscheidende Rolle zu. Und aus Sicht des Anwenders oder Investors geht es beim Einsatz von KI Escrow ebenso wie bei anderen Escrow-Lösungen um den Schutz der eigenen Investitionen. KI Escrow kann Ausfallsicherheit der Anwendung gewährleisten und so das Vertrauen gegenüber dem Anbieter stärken.

Die Bedeutung von Sicherheitsmechanismen für KI Anwendungen
Um KI Systeme zu füttern, müssen große Mengen von Daten aus einer Vielzahl von oft schwer zugänglichen Quellen generiert und beschafft werden. Im Anschluss daran gilt es, diese Daten zusammenzuführen und zu bereinigen. Bei einzelnen Datensets sind gegebenenfalls Validierungen nötig. Hinzu kommt, dass dabei Datenschutzrichtlinien und gesetzliche Grundlagen zu beachten sind. Das führt häufig zu Zielkonflikten: Absicherung des finanziellen Risikos einerseits und die Vermeidung unerwünschten Zugriffs auf bestimmte Daten andererseits.

Welche Vorteile bietet KI Escrow?
Das Sichern von Input- oder Trainingsdaten kann für spätere Beweisführungen oder Abwehr von Klagen Vorteile bieten. Bei KI Escrow ist entscheidend, dass ein „fertig“ trainiertes System vor seinem erstmaligen Live-Einsatz hinterlegt wird. Auf diese Weise können später beliebige Tests und Untersuchungen am ursprünglich entwickelten System durchgeführt werden. Eventuellen Schadenersatzansprüchen, Gewährleistungen, Gesetzen oder Sicherheitskriterien können so nach dem aktuellen Stand der Technik Genüge geleistet werden. KI Escrow kann künftig ein wichtiger Baustein für die weitere Entwicklung und die Akzeptanz von KI Systemen im Bereich von kritischen Prozessen sein.