|  |
Ein Code für alle Fälle
 Software Escrow, die Hinterlegung von Software-Quellcode bei einem „Treuhänder“, rundet Unternehmensstrategien für IT-Sicherheit, Risk Management, Ausfallsicherheit und Disaster Recovery ab und verschafft Software-Herstellern deutliche Wettbewerbsvorteile.
Der Ausfall einer wichtigen Geschäftsanwendung hat weitreichende Folgen für Unternehmen: Neben direkten Umsatzeinbußen etwa durch Stillstand von Produktion oder Verkauf sind auch Faktoren wie die Arbeitszeit zum Aufsetzen eines neuen Systems oder der Vertrauensverlust bei Kunden und Partnern zu beachten. Gehen zusätzlich Daten ganz verloren, kann es sogar Probleme mit dem Gesetzgeber geben, etwa bei einer Steuerprüfung.
Gründe genug für Unternehmen, umfangreiche Strategien für Datensicherheit, Ausfallsschutz und Katastrophenplanung umzusetzen.
Was aber passiert, wenn die Software für die Geschäftsanwendung plötzlich nicht mehr verfügbar ist, weil der Hersteller insolvent ist oder das Produkt eingestellt wird? Dieser Aspekt wird in den meisten IT-Sicherheitsstrategien außer Acht gelassen. Dabei birgt gerade er die Gefahr, dass es zu einem plötzlichen gravierenden Ausfall der Geschäftsapplikation kommt. Für die Fehlerbehebung, Modifikation oder Weiterentwicklung der Anwendung etwa zur Anpassung an eine neue Version des Betriebssystems oder zur Einführung zusätzlicher Funktionen wird nämlich der Quellcode der Software benötigt – und der wird im Rahmen herkömmlicher Lizenzverträge üblicherweise nicht oder nur zum Teil mitgeliefert.
Der unabhängige Dritte
Diesem Problem widmen sich professionelle Software Escrow-Anbieter. Sie stehen als unabhängige Dritte zur Verfügung, bei denen Software-Quellcodes hinterlegt und „treuhänderisch“ verwaltet werden können. Dafür wird ein Vertrag zwischen dem Lizenzgeber, das ist in der Regel der Software-Hersteller, dem Lizenznehmer, also dem Anwender, und einem unabhängigen Dritten, etwa einem Notar oder einem Escrow-Agenten, geschlossen, in dessen Rahmen der Quellcode der Software inklusive aller zur Wartung und Pflege der Software nötigen Materialien wie Dokumentation, Entwicklungswerkzeuge und -umgebung hinterlegt wird.
Zudem definieren die beteiligten Parteien, in welchen Fällen der Escrow-Dienstleister das Material an den Anwender übergibt. Wie häufig dies tatsächlich nötig ist, zeigen Zahlen der Organisation pro Software Escrow (OSE): Laut Angaben der Mitglieder kommt es jährlich im Schnitt pro 100 hinterlegter Source Codes zu acht bis zehn Auslieferungen.
Schon im Rahmen der Projektplanung für eine neuen Anwendung ist deshalb genau zu prüfen, in wie weit der Ausfall der Software den Ablauf der Geschäftsprozesse stören würde. Ist das Risiko entsprechend hoch, sind neben den üblichen Hochverfügbarkeits- und Datensicherheitslösungen auch der Schutz der Investition und damit die Sicherstellung der Kontinuität der Geschäftsprozesse mittels einer Hinterlegung des Quellcodes unbedingt zu empfehlen.
Sinnvoll ist das vor allem beim Einsatz von Software-Programmen, die sehr stark an die individuellen Unternehmensanforderungen der Anwender angepasst werden und daher im Notfall schwer zu ersetzen sind. Das trifft etwa auf CRM-Applikationen, Portallösungen und Content Management-Systeme zu, aber auch auf eine Vielzahl spezialisierter Branchen-Software – Anwendungen also, die typischer Weise von kleineren Softwarehäusern entwickelt und implementiert werden.
Vorteile für Hersteller
Gerade die Hersteller solcher Software entdecken derzeit Software Escrow als verkaufsfördernde Maßnahme und Wettbewerbsvorteil im hart umkämpften IT-Markt.
Laut einer Entscheidung des OLG Karlsruhe (AZ.: 1 U 250/01, CR 2003, 95) muss ein Software-Anbieter vertraglich neben der Überlassung des Objectcodes an seine Kunden auch Regelungen über die Nutzung des Quellcodes treffen. Dies kann durch Überlassung des Quellcodes, eine Nichtabgabe desselben oder aber durch eine Hinterlegungsvereinbarung erfolgen.
Durch aktiv angebotenes Escrow beweisen Hersteller eine hohe Service- und Kundenorientierung und zeigen, dass sie das Sicherheitsbedürfnis der Anwender wahrnehmen und ihm durch eine professionelle Lösung Rechnung tragen.
Wozu ist nun aber ein spezialisierter Software Escrow-Agent nötig?
Theoretisch würde es ja reichen, wenn Anwender und Hersteller als neutralen Dritten eine Bank wählen, die die Software nebst Quellcode in einem Schließfach verwahrt. Praktisch ist es aber zwingend notwendig, einen Dienstleister zu wählen, der nicht nur die rechtlichen Rahmenbedingungen für die Hinterlegung und Herausgabe des Materials definiert, sondern auch die Aktualität und Vollständigkeit des hinterlegten Materials gewährleistet.
Geprüfte Qualität
Welche Kriterien ein professioneller Software Escrow-Anbieter für eine permanent hohe und vergleichbare Qualität der Dienstleistungen im Umfeld von Software Escrow erfüllen sollte, zeigen die von der „Organisation Pro Software Escrow e.V.“ OSE in München erstellten Qualitätsstandards. Sie helfen Anwendern, Herstellern und IT-Beratern bei der Auswahl des Escrow-Dienstleisters und der Definition des Service-Umfangs. Gleichzeitig können sich professionelle Anbieter von Software Escrow von Unternehmen mit qualitativ niedrigeren Leistungen abgrenzen.
Zunächst geht es bei Software Escrow ja um die Hinterlegung von Material, das nicht nur den reinen Quellcode umfassen sollte, sondern auch dazugehöriges Material wie etwa die Dokumentationen von relevanten Abläufen im Zusammenhang mit der Anwendung. Daher sind neben den für die Vertragsgestaltung hilfreichen rechtlichen und juristischen Kenntnissen auch technisches Wissen, IT Know-how und Erfahrung mit Prozessen unverzichtbar.
Neutralität, Beratungskompetenz und Kundenorientierung sind weitere wichtige Punkte, denn der Escrow-Agent tritt quasi als Vermittler zwischen dem Software-Hersteller und dem Anwender auf und braucht ein gewisses Einfühlungsvermögen, um Anwendern und Herstellern die Sorge zu nehmen, durch den Vertrag „übervorteilt“ zu werden. Hierfür ist es wichtig, auf geprüfte und bewährte Standardverträge auf aktuellem rechtlichen Stand zurückgreifen zu können, die trotzdem flexibel genug sind, um an unterschiedliche Rechtsformen und die jeweilige Lizenzsituation zwischen Lizenznehmer und -geber angepasst werden zu können. Nur so kann gemeinsam ein Escrow-Prozess entwickelt werden, der für alle Beteiligten transparent, klar definiert und wiederholbar ist.
Die Tiefe der Prüfung sollte abhängig von einigen Rahmenbedingungen gemacht werden, z.B. davon, wie geschäftskritisch ein Ausfall der Software oder wie teuer ein Ersatz derselben wäre.
- Die erste Stufe beginnt mit der Prüfung des einzulagernden Quellcodes, um die grundsätzliche Vollständigkeit, Lesbarkeit und Integrität des Materials zu gewährleisten.
- Es folgt die Prüfung auf Kompilierbarkeit inklusive einem probeweisen Wiederherstellen und Aufspielen nach der Kompilierung, ebenso die Qualitätsprüfung des Quellcodes.
- Natürlich muss auch die Dokumentation auf Fehler und Lücken untersucht werden. Außerdem sollte ein Update-, Versions- bzw. Release-Service inklusive Aktualisierung des Materials und die professionelle Verwaltung von Versionen, Releases, Updates sowie entsprechendem Reporting angeboten werden.
Auch der Aufbewahrungsort muss hohe Anforderungen erfüllen, zum Beispiel hinsichtlich der Diebstahlsicherheit oder dem Schutz vor Feuer und schädlichen Umwelteinflüssen. Generell sollten alternative Lagerungsstätten angeboten und damit auf Anforderungen des Kunden flexibel reagiert werden können. Auch das anonyme Einlagern und Aufbewahren muss möglich sein.
Wachsender Bedarf
In den Vereinigten Staaten und in Großbritannien zählt das so genannte Software Escrow seit Jahren zu den typischen Vertragswerken, wenn es um die Lizenzierung geschäftskritischer Software geht. Auch bei verantwortlichen Category Managern, strategischen Einkäufern, IT Risikomanagern und in den Rechtsabteilungen Deutschlands größter Unternehmen gehört die Absicherung von Software durch Quellcodehinterlegung mittlerweile zum Pflichtprogramm.
Software Escrow bzw. qualifizierte, evtl. projektsynchrone Quellcodehinterlegung berührt neben Themen wie IT Sicherheit und Investitionsschutz darüber hinaus weitere Bereiche wie z.B. Risk Management, Basel II und Kreditrating. Zunehmend werden daher auch Banken, Wirtschaftsprüfer und IT Consultants auf diesen Baustein in der IT Infrastruktur eines Unternehmens aufmerksam. Schließlich ist die Zahl der Insolvenzen in Deutschland seit dem Beginn der Krise in der IT-Industrie und dem Zusammenbruch des Neuen Marktes auf unverändert hohem Niveau geblieben. Auch im Jahr 2005 haben wieder rund 40.000 Unternehmen Insolvenz anmelden müssen – darunter viele Anbieter von Software.
04/2006, Johannes M. Krüger
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Krypto-Schlüsseln und -Algorithmen droht Gefahr durch die fortschreitende Entwicklung leistungsfähiger Hardware und neuer mathematischer Verfahren. Wie lange können die heutigen Verfahren noch halten, was sie versprechen? Und welche Alternativen ... | |  | | Compuware-Untersuchung deckt auf: Viele Unternehmen missbrauchen Kundendaten ... | |  | | Informations-Sicherheit muss im Rahmen der "Compliance" zahlreiche rechtliche Bestimmungen beachten. Ausschlaggebend hierfür ist vor allem die anzuwendende Sorgfaltspflicht. Darüber hinaus existieren spezielle Anforderungen durch Buchführungs- und ... | |  | | Weltweit wachsen nicht nur die Datenmengen, sondern auch die Anforderungen an revisionssicheres Speichern und Archivieren. Für große Datenmengen sind Magnetbänder das wirtschaftlichste Speichermedium... | |  | | Am Mittwoch, den 23. November 2005, hat das Bundesverfassungsge-richt die Verhandlungen für eine Grundsatzentscheidung zum poli-zeilichen Zugriff auf Email- und Handy-Verbindungsdaten aufgenom-men. Schwerpunkt der Prüfung soll der Schutz ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
