Software Escrow
Definition Software Escrow
Das Herzstück einer Software ist der Quellcode. Software Escrow nennt man das Hinterlegen des Quellcodes einer Software bei einem neutralen Treuhänder. Das kann beispielsweise ein Escrow-Agent oder eine auf IT spezialisierte Kanzlei sein. Das Verwahren des Quellcodes ist eine professionelle Dienstleistung, die speziell auf die Bedürfnisse von Softwareherstellern und ihren Kunden zugeschnitten ist. Der Hersteller möchte hierbei sein geistiges Eigentum schützen und der Kunde seine Investitionen in die IT absichern.
Schon seit den 1980er Jahren werden Quellcodes auf diese Weise treuhänderisch verwahrt. Vor dem Hintergrund der digitalen Transformation umfassen Escrow-Konzepte heute neben Software Quellcodes auch andere digitale Wirtschaftsgüter. Dazu gehören Cloud Escrow, IP und Document Escrow, Key Escrow, Data Escrow und AI Escrow.
Bedeutung und Rolle von Escrow-Lösungen
- Software Escrow ist ein wichtiger Baustein, um Vertrauen zu schaffen und Risiken zu minimieren und damit die Wettbewerbsfähigkeit des Unternehmens zu gewährleisten.
- Aus Sicht des Nutzers ist Cloud Escrow ein Instrument zur Absicherung geschäftskritischer Daten.
- Know-how schützen: IP und Document Escrow sichern die Wartung und Produktion ganzer Fertigungsanlagen ab.
- Key Escrow: Kostenersparnis, Kompromiss sowie gängiger Lösungsansatz bei Cloud-Anwendungen: Schlüsselhinterlegung und Zugangsdaten für Online-Entwicklungsumgebungen.
- Data Escrow wird zum Beispiel als Datenschutz-Maßnahme eingesetzt oder dient der treuhänderischen Verwaltung großer Datenmengen. Um hierbei wettbewerbliche Bedenken zu entschärfen, die bestehende Datenmacht einzelner Marktteilnehmer einzugrenzen und den Datenschutz zu gewährleisten, kommt Data Escrow eine wichtige Rolle zu.
- KI Escrow: Es geht um den Schutz des geistigen Eigentums, die Sicherung von Wettbewerbsvorteilen und das Schaffen von Vertrauen und Akzeptanz am Markt für die angebotene Lösung. Das Sichern von Input- oder Trainingsdaten kann für spätere Beweisführungen oder Abwehr von Klagen Vorteile bieten.
Digitale Wirtschaftsgüter
1. Software Escrow
Neue Technologien rufen innovative Geschäftsideen auf den Plan. Mit der Entwicklung des Personal Computers und der damit einhergehenden unabhängigen Vermarktung von Softwareprodukten entstand das Bedürfnis, Software als geistiges Eigentum im geschäftlichen Umfeld entsprechend abzusichern und zu schützen. Das klassische Software Escrow nahm hier seinen Anfang. Das war Mitte der 1980er Jahre. Im deutschsprachigen Raum entstanden seit der Jahrtausendwende die ersten Escrow-Agenten.
Software Escrow auf einen Blick
Das klassische Software Escrow ist die treuhänderische Verwahrung des Quellcodes, dem Herzstück einer Software. Als unabhängige Instanz bietet der Escrow-Agent diese Dienstleistung an. Ausgangspunkt des klassischen Software Escrows ist die Lösung eines Interessenkonflikts zwischen einem Software-Hersteller und dessen Kunden, einem Anwender. Der Escrow-Agent hat in diesem Konflikt die Rolle der unabhängigen dritten Partei, der die unterschiedlichen Interessen vertraglich zur Zufriedenheit aller Parteien regelt.
Die Interessen der Escrow-Parteien
Der Software-Hersteller möchte sein geistiges Eigentum – den Quellcode – schützen. Der Kunde möchte seine Investition in die IT-Infrastruktur absichern. Für ihn muss die Kontinuität des laufenden Betriebs gewährleistet werden, d.h. die Software muss langfristig zur Verfügung stehen und stabil laufen. Die regelmäßige Wartung ist in diesem Zusammenhang ebenso relevant wie die mögliche Weiterentwicklung der Software. Zu diesem Zweck wird der Zugriff auf den Quellcode erforderlich. Welche Komponenten hinterlegt werden, wird vertraglich geregelt, abhängig vom Einsatz und den Anwendungen der jeweiligen Technologie. Entscheidendes Kriterium ist, dass mit Hilfe des hinterlegten Materials ein System – wenn erforderlich – nachgebaut werden kann.
Anwenderbeispiele potenzieller Kunden
Die Anwendungsfälle sind vielfältig und ergeben sich aus unterschiedlichsten Geschäftsmodellen: Ob Generalunternehmer eines Verkehrsprojektes, der im Auftrag des Verkehrsministeriums ein Mautsystem betreiben soll, der Investor eines Technologieunternehmens, das eine neue Software entwickelt oder eine Bank, die einem Start-up die Finanzierung innovativer Anwendungen ermöglicht – sie alle haben das gleiche Ziel: die Absicherung ihrer Investition. Software Escrow ist somit ein wichtiger Baustein, um Vertrauen zu schaffen und Risiken zu minimieren und damit die Wettbewerbsfähigkeit des Unternehmens zu gewährleisten.
2. Cloud Escrow
Mieten statt kaufen – das ist das Geschäftsmodell, welches hinter Cloud Computing steht. IT-Ressourcen oder Anwendungen werden jeweils auf Anfrage via Internet vom Cloud Service Provider zur Verfügung gestellt. Unter dem Stichwort „Software-as-a-Service“ kann der Zugriff auf die Software orts- und zeitunabhängig von verschiedenen Endgeräten erfolgen. Der Vorteil liegt auf der Hand: Die Abrechnung ist nutzungsabhängig, d.h. nur tatsächlich genutzte Dienstleistungen müssen bezahlt werden. Zudem bietet das Cloud-Modell dem Anwender die Möglichkeit, neueste Technologien nutzen zu können, ohne Vorab-investitionen tätigen zu müssen.
Herausforderungen und Risiken des Cloud Computings
Trotz unbestreitbarer Vorteile gibt es auch Nachteile. Hierzu zählen neben den Sicherheitsaspekten, wie das Speichern sensibler Daten in der Cloud, vor allem die Verfügbarkeit kundenspezifischer Daten sowie die zeitnahe Wiederherstellung eines Dienstes, sollte dieser ausfallen. Und genau hier kann Cloud Escrow einen Beitrag liefern, Bedenken und Vorbehalte zu minimieren, wenn nicht sogar auszuräumen.
Die Rolle des Cloud Escrow
Aufgabe des Cloud Escrow-Agenten ist es, eine passende Lösung zu finden, die der technischen Komplexität der Infrastruktur sowie der Sicherheit und Verfügbarkeit der Daten Rechnung trägt. Entscheidend ist bei Cloud Escrow daher die Zusammenstellung der zu hinterlegenden Komponenten. Neben dem Software Quellcode sind das die Zugangsdaten zum Livesystem des Cloud Service Providers, aber auch individuelle, auf die jeweiligen Anwendungen und genutzten Dienste zugeschnittenen Testmethoden.
Cloud Escrow – Sicherheit fördert vertrauensvolle Geschäftsbeziehungen
Aus Sicht des Nutzers ist Cloud Escrow ein Instrument zur Absicherung geschäftskritischer Daten. Wird mit Hilfe des Escrow-Agenten das Sicherheitsbedürfnis zufriedengestellt, hat das positive Auswirkungen auf alle Parteien – auf den Escrow-Markt und auf das Cloud-Geschäftsmodell: denn wächst die Akzeptanz von Cloud Computing, erhöht sich die Nachfrage nach entsprechenden Serviceleistungen und auch die unterstützende Rolle des Escrow-Agenten wird stärker wahrgenommen. Eine Win-Win-Situation für alle.
3. IP oder Document Escrow
Längst ist die IT-Strategie Teil der Unternehmensstrategie. Und IT gilt als Schlüssel-technologie bei der Herstellung von Produkten in den unterschiedlichsten Wirtschafts-bereichen. War der primäre Hinterlegungsgegenstand vor 15 Jahren noch Software, gilt es heute auch, Know-how zu schützen, und zwar über alle Branchen hinweg: vom Maschinen-bau, dem Ingenieurwesen, über Biotechnologie bis zur Chemieindustrie. Die Anwendungsbeispiele zur Absicherung geistigen Eigentums reichen von Maschinendaten, Bauplänen von Platinen, Material- und Stücklisten, Spezifikationen, Zeichnungen und Schnittstellenbeschreibungen bis zu Inhaltsstoffen von chemischen Prozessen oder Komponenten von Fertigungsanlagen sowie deren Aufbau und Konfiguration.
Was unterscheidet IP und Document Escrow von Software Escrow?
Geht es bei Software Escrow um die Verfügbarkeit einer Software, sichern IP und Document Escrow die Wartung und Produktion ganzer Fertigungsanlagen. Daraus folgt, dass – je nach Branche – neben dem Escrow-Agenten zusätzliche Expertise benötigt wird. Es müssen Experten als Gutachter hinzugezogen werden, da Escrow-Agenten intern die fachliche Expertise nicht vorhalten können. Die Komplexität nimmt zu und eine typische respektive einheitliche Beschreibung bzw. Verifizierung des Hinterlegungsgegenstands ist nicht möglich. Im Unterschied zu Software Escrow ist das Hinterlegen von Know-how oft weniger zeitkritisch, da es hier seltener zu Updates kommt. Stabile Produktionsprozesse werden weniger häufig angepasst als Software.
In welchen Bereichen wird IP und Document Escrow genutzt und welche Vorteile bietet es?
Gerade im Energiesektor oder in der Logistikbranche ist IP Escrow ein probater Investitionsschutz. So muss beispielsweise der Betreiber eines Windkraftparks die Einsatzfähigkeit seiner Windräder über einen Zeitraum von 30 Jahren garantieren können. Und ein Logistikunternehmen, das auf die Nutzung von Drohnen bei der Warenauslieferung setzt, muss auf Worst-Case-Szenarien vorbereitet sein – könnte der Drohnenhersteller nicht mehr produzieren, wäre es dem Logistikunternehmen mithilfe des IP und Document Escrows möglich, die vorhandenen Drohnen weiter zu nutzen und mittel- bis langfristig einen anderen Hersteller zu finden, der für den notwendigen Ersatz sorgen kann.
Da IP und Document Escrow bislang in nur wenigen Branchen bekannt ist, gibt es hier derzeit noch weniger Anwendungsfälle als das beim klassischen Software Escrow oder Cloud Escrow der Fall ist. Das Potenzial ist hier allerdings sehr groß.
4. Key Escrow
Kosten, Kompromisse oder Zugang zu Live-Instanzen von Cloud-Anwendungen
Besser ein abgespecktes Sicherheitskonzept als gar keins. – Kostenersparnis kann ein Grund sein, weshalb sich Anwender entscheiden, allein die kryptographischen Schlüssel zu hinterlegen. Das können Passwörter, Hashwerte oder allgemeine Zugangsdaten sein, zum Beispiel für Cloud-Anwendungen. In diesem Fall sprechen Escrow-Agenten von einer unvollständigen Hinterlegung. Warum? Beim Key Escrow wird nur der Schlüssel zum Quellcode hinterlegt und nicht der gesamte Quellcode.
Kompromisse fördern gegenseitiges Vertrauen
Da die Kosten für ein Key Escrow geringer ausfallen als bei einem vollständigen Escrow, ist die Kostenersparnis eine Option für Unternehmen mit knapp kalkulierten Budgets. Auch aus Anbietersicht kann es Gründe geben, sich allein für die Schlüsselhinterlegung zu entscheiden. Sicherheitsbedenken oder die grundsätzliche Angst, dass das eigene Produkt einer gutachterlichen Bewertung nicht Stand halten könnte, sind Argumente sich als Kompromiss mit dem Anwender auf Key Escrow zu einigen.
Zugangsdaten hinterlegen: gängige Praxis bei Cloud-Anwendungen
Eine dritte Möglichkeit, weshalb Anbieter und Anwender sich für Key Escrow entscheiden, kommt häufig im Zusammenhang mit Cloud-Anwendungen vor: Hinterlegungsgegenstand sind in diesem Fall die Zugangsdaten für die Online-Entwicklungsumgebung wie Github, AWS oder Azure. Im Falle einer Insolvenz des Betreibers erhält der Anwender via Key Escrow den Zugang zu den Live-Daten des Dienstes, so dass dieser dann eigenverantwortlich vom Anwender ohne den Lizenzgeber bzw. Cloud-Anbieter weiter betrieben werden kann.
5. Data Escrow
Daten – die Leitwährung der digitalen Ökonomie
Daten spielen eine entscheidende Rolle in unserer digitalen Welt. Ausgewertet und interpretiert werden Daten zu wertvollen Informationen. Sie sind Schlüsselressource und Leitwährung der Ökonomie des 21. Jahrhunderts – als Zugang zur gesellschaftlichen Teilhabe, Basis für staatliches Handeln, Grundlage zur Gewinnung wissenschaftlicher Erkenntnisse und Schlüssel zu Innovationen in Industrie und Handel.
Der Escrow-Agent: Neutraler Daten-Treuhänder und Auftragsverarbeiter
Bei Data Escrow gilt es, große Datenmengen, Input- oder Outputdaten oder Daten als Basis für statistische Auswertungen zu hinterlegen. Potenzielle Einsatzgebiete gibt es viele: In der Telekommunikation, dem Gesundheitswesen oder in der Automobilindustrie. Und nicht immer geht es um die Absicherung im Falle einer Insolvenz. Data Escrow wird zum Beispiel als Datenschutz-Maßnahme eingesetzt oder dient der treuhänderischen Verwaltung großer Datenmengen.
Data Escrow unterstützt in der Telekommunikation und im Gesundheitswesen
Ein Escrow-Agent kann auch die Rolle des Auftragsverarbeiters einnehmen, zum Beispiel als dritte Instanz zwischen einem Telefonanbieter und einem Telekommunikations-unternehmen, das die Telefone des Geschäftspartners mit Zweijahresverträgen seinen Kunden anbietet: Der Telefonanbieter hat aus datenschutzrechtlichen Gründen kein Interesse an der Einsicht und Übertragung der Daten. Das Telekommunikationsunternehmen wiederum ist verantwortlich für die Kundenbeziehung und die Pflege der Bewegungsdaten. Aufgabe des Escrow-Agenten ist es in diesem Fall, bei Aktualisierungen der Software regelmäßige Tests durchzuführen. Hierbei werden die Daten zum Beispiel auf Vollständigkeit und Plausibilität geprüft. Die Auswertungen werden dokumentiert und die Daten – für den vorher definierten Fall der Herausgabe – verwahrt.
Zu einer gesundheitsbewussten Lebensweise gehören gesunde Ernährung ebenso wie Bewegung und sportliche Aktivitäten. Um entsprechende Gesundheits-Vitaldaten zu erheben, bietet die Industrie eine Vielzahl von Gesundheits-Apps an. Diese werden in Form von tragbarer Hardware, wie kleinen Armbändern oder Uhren angeboten. Mit Hilfe dieser sogenannten Wearables werden Daten der Nutzer gesammelt und weitergesendet. Diese Daten werden regelmäßig für klinische Studien genutzt und ausgewertet. Die aus den Daten gewonnenen Erkenntnisse fließen so in neue Therapien ein. Um die zuvor anonymisierten Daten wieder ihren Nutzern zuordnen zu können, müssen diese wieder de-anonymisiert werden. Hier kommt der Escrow-Agent ins Spiel. Seine Aufgabe ist es, als neutrale Instanz die Auftragsverarbeitung zu übernehmen und die Informationen denjenigen zukommen zu lassen, denen sie zugutekommen sollen.
Data Escrow – ein potenzieller Wachstumsmarkt
Ob in der Telekommunikation, dem Gesundheitswesen, im Bereich des autonomen Fahrens oder dem Internet of Things (IoT) – Data Escrow hat viele potenzielle Einsatzgebiete. Immer wird es auch in Zukunft darum gehen, zunächst proprietäre Daten mit anderen Marktteil-nehmern zu teilen, sie auszuwerten und sie zum Vorteil aller Beteiligten zur Verfügung zu stellen. Um hierbei wettbewerbliche Bedenken zu entschärfen, die bestehende Datenmacht einzelner Marktteilnehmer einzugrenzen und den Datenschutz zu gewährleisten, kommt Data Escrow eine wichtige Rolle zu. Die Herausforderungen bestehen derzeit in der eindeutigen inhaltlichen Beschreibung der zu hinterlegenden Daten sowie darin, den Zweck korrekt zu definieren sowie eine bestmögliche Verifizierung und Validierung der Daten im Sinne aller Vertragsparteien durchführen zu können.
6. AI Escrow
Klassische Quellcodehinterlegung kombiniert mit neuen Anwendungen
Die fortwährende Weiterentwicklung der Technik bringt immer neue Geschäftsmodelle auf den Markt. KI ist gerade in aller Munde. Parallel zum Einsatz von KI Systemen entwickelt sich auch der Markt für KI Escrow, das derzeit jüngste Anwendungsgebiet der am Markt angebotenen Dienstleistungen von professionellen Hinterlegungsstellen und Escrow-Agenten. Wie bei allen Neuentwicklungen muss sich auch KI Escrow erst etablieren.
Hinterlegungsgegenstand sind der Quellcode und/oder Algorithmen der „leeren“ bzw. untrainierten KI Modelle respektive Neuronalen Netzwerken und deren Trainingsdaten sowie möglicherweise im begrenzten Umfang auch Livedaten.
Neue Technologien – konventionelle Absicherungsmuster
Zwar ist das Anwendungsgebiet neu, die Motive, sich für eine Escrow-Lösung zu entscheiden, sind jedoch ganz konventionell: Aus Sicht des Lizenzgebers oder Rechteinhabers geht es um den Schutz des geistigen Eigentums, die Sicherung von Wettbewerbsvorteilen und das Schaffen von Vertrauen und Akzeptanz am Markt für die angebotene Lösung. Gerade mit Blick auf die gesellschaftlichen und ethischen Diskussionen im Zusammenhang mit Künstlicher Intelligenz kommt diesem Aspekt künftig möglicherweise eine entscheidende Rolle zu. Und aus Sicht des Anwenders oder Investors geht es beim Einsatz von KI Escrow ebenso wie bei anderen Escrow-Lösungen um den Schutz der eigenen Investitionen. KI Escrow kann Ausfallsicherheit der Anwendung gewährleisten und so das Vertrauen gegenüber dem Anbieter stärken.
Die Bedeutung von Sicherheitsmechanismen für KI Anwendungen
Um KI Systeme zu füttern, müssen große Mengen von Daten aus einer Vielzahl von oft schwer zugänglichen Quellen generiert und beschafft werden. Im Anschluss daran gilt es, diese Daten zusammenzuführen und zu bereinigen. Bei einzelnen Datensets sind gegebenenfalls Validierungen nötig. Hinzu kommt, dass dabei Datenschutzrichtlinien und gesetzliche Grundlagen zu beachten sind. Das führt häufig zu Zielkonflikten: Absicherung des finanziellen Risikos einerseits und die Vermeidung unerwünschten Zugriffs auf bestimmte Daten andererseits.
Welche Vorteile bietet KI Escrow?
Das Sichern von Input- oder Trainingsdaten kann für spätere Beweisführungen oder Abwehr von Klagen Vorteile bieten. Bei KI Escrow ist entscheidend, dass ein „fertig“ trainiertes System vor seinem erstmaligen Live-Einsatz hinterlegt wird. Auf diese Weise können später beliebige Tests und Untersuchungen am ursprünglich entwickelten System durchgeführt werden. Eventuellen Schadenersatzansprüchen, Gewährleistungen, Gesetzen oder Sicherheitskriterien können so nach dem aktuellen Stand der Technik Genüge geleistet werden. KI Escrow kann künftig ein wichtiger Baustein für die weitere Entwicklung und die Akzeptanz von KI Systemen im Bereich von kritischen Prozessen sein.
Das neue Handbuch „Digital Escrow“
Dieses Rechtshandbuch bietet als erstes Werk einen Gesamtüberblick über sämtliche mit Escrow zusammenhängenden Rechtsfragen und dient dem Praktiker sowohl als Einstieg wie auch als Nachschlagewerk zu Spezialthemen.
Das Werk ist in mehrere Teile untergliedert und behandelt einführend die technischen, wirtschaftlichen und vertraglichen Grundlagen. Weitere Teile widmen sich den Themen Lizenz und Insolvenz, dem Datenschutz, der Datensicherheit und der haftungsrechtlichen Situation der Beteiligten. Rechtsbereiche im regulatorischen Kontext wie das Kartell- und Vergaberecht fehlen ebenso wenig wie Unternehmenstransaktionen, die internationalen Bezüge und die verfahrensrechtlichen Besonderheiten bei rechtlichen Auseinandersetzungen. Es beinhaltet zahlreiche Praxishinweise, Checklisten und ein technisches Glossar. Abgerundet wird dieses Rechtshandbuch mit einem Ausblick auf aktuelle Entwicklungen und zukünftige Geschäftsmodelle. Nicht zuletzt stellt ein ausführlicher Mustervertrag mit Querverweisen zu den jeweils betroffenen Rechtsbereichen eine wertvolle Arbeitshilfe für den Praktiker dar.
Dieses Handbuch richtet sich an Rechtsanwältinnen und Rechtsanwälte, Mitglieder in Rechtsabteilungen von Unternehmen, Vorständen, Geschäftsführern, Projektverantwortliche in Unternehmen sowie Wissenschaftler, die sich in einem einzigen Handbuch einen aktuellen und umfassenden Überblick über die mit Escrow im Zusammenhang stehenden Rechtsfragen machen wollen.
Jetzt Mitglied werden
Bei Interesse an einer Mitgliedschaft in der Organisation pro Software Escrow e.V. füllen Sie bitte das folgende Formular aus und schicken es per Email an
info(at)ose-international.org
BSI nimmt Escrow-Verfahren in den Maßnahmenkatalog auf
Die Abhängigkeit der Wirtschaft und Verwaltung von der uneingeschränkten Verfügbarkeit informationstechnischer Systeme macht die Vertraulichkeit, Verfügbarkeit und Integrität von Daten und IT-Systemen zu einem MUSS für alle Unternehmen und Institutionen.
Das Bundesamt für Sicherheit in der Informationstechnologie hat die treuhänderische Hinterlegung (Escrow) in seinen Maßnahmenkatalog für Notfallvorsorge unter Ziffer M 6.137 aufgenommen.
„Je geschäftskritischer ein Prozess ist, desto wichtiger ist es, diesen gegen einen Ausfall abzusichern. Bei der Lieferung vieler Produkte, die Geschäftsprozesse unterstützen (Software, Maschinen, Automaten etc.), erhält der Käufer nicht alle Bestandteile, die zur Wartung des Produktes notwendig sind. Die Wartung wird in diesem Fall häufig durch den Lieferanten sichergestellt. Fällt der Hersteller oder Lieferant aus, ist das Produkt unter Umständen nicht mehr wartbar. Es sollte geprüft werden, ob dieses Risiko durch eine Hinterlegung (Escrow) der fehlenden Bestandteile gemindert werden kann.“
Die Maßnahme wurde mit Prüffragen bewehrt:
- Wurde geprüft, ob durch die treuhänderische Hinterlegung (Escrow) eine Minderung der Sicherheitsrisiken erreicht werden kann?
- Sind im Escrow-Vertrag alle Bedingungen der Hinterlegung, Aktualisierung und Herausgabe sowie die Rechte und Pflichten der beteiligten Parteien präzise festgelegt?
- Ist sichergestellt, dass der Escrow-Vertrag im Einklang mit dem entsprechenden Nutzungsvertrag steht?
- Verfügt die Escrow-Agentur über die notwendigen Qualifikationen?
- Wird bei der treuhänderischen Hinterlegung geprüft, ob das Material im Falle einer zukünftigen Herausgabe verwendbar ist?