M 6.137 Treuhänderische Hinterlegung (Escrow)

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Notfallbeauftragter

Verantwortlich für Umsetzung: Verantwortliche der einzelnen Anwendungen

Je geschäftskritischer ein Prozess ist, desto wichtiger ist es, diesen gegen einen Ausfall abzusichern. Bei der Lieferung vieler Produkte, die Geschäftsprozesse unterstützen (Software, Maschinen, Automaten etc.), erhält der Käufer nicht alle Bestandteile, die zur Wartung des Produktes notwendig sind. Die Wartung wird in diesem Fall häufig durch den Lieferanten sichergestellt. Fällt der Hersteller oder Lieferant aus, ist das Produkt unter Umständen nicht mehr wartbar. Es sollte geprüft werden, ob dieses Risiko durch eine Hinterlegung (Escrow) der fehlenden Bestandteile gemindert werden kann.

Escrow ist die "treuhänderische" Hinterlegung von nicht im Lieferumfang enthaltenen Materialien, die zur Wartung und Pflege eines Produktes notwendig sind, bei einem Dritten (Escrow-Agentur). Bei diesen Materialien kann es sich um Software (ausführbar oder als Quellcode), Handbücher, Konstruktionspläne, Konfigurationszustände, Abnahmedaten, Schlüssel, Passwörter oder andere Bestandteile handeln.

Je nach Art des Produktes können sich Unternehmen oder Behörden mit diesem Instrument beispielsweise gegen folgende Risiken absichern:

Funktionsweise

Der Anwender eines Produktes sichert mit Escrow die kontinuierliche Fortführung eines oder mehrerer geschäftskritischer Prozesse. Hierzu erhält er das Recht, unter definierten Bedingungen auf das hinterlegte Material zuzugreifen und dieses zur Pflege des Produktes zu nutzen, z. B. wenn der Lieferant die im Vertrag festgelegten Leistungen gegenüber dem Anwender nicht erbringt. Auf der anderen Seite schützt der Lieferant seine Wettbewerbsvorteile und seine Betriebsgeheimnisse, solange wie er seinen Verpflichtungen nachkommt. Die Escrow-Agentur prüft und verwahrt das Material für beide Parteien.

Anwender und Lieferant schließen mit der Escrow-Agentur einen Vertrag, der mindestens folgende Aspekte definiert:

Die Bedingungen der Hinterlegung und insbesondere auch die Pflichten der Escrow-Agentur im Hinblick auf die Verifizierung und die Herausgabe sind im Escrow-Vertrag genau zu beschreiben. Die individuelle Ausgestaltung dieses Vertrages hängt sowohl von der Einschätzung der Risiken, gegen die sich der Hinterleger absichern will, als auch vom Rechtsraum ab.

Folgende Hinweise sollten bei der Formulierung und beim Abschluss des Escrow-Vertrages beachtet werden:

Prüffragen: