Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.08.2002 - 

Sicherheitsverwahrung für geschäftskritische Applikationen

Escrow-Verträge: Sourcecode im Safe

MÜNCHEN (CW) - Ist der Softwarelieferant pleite, stehen die Anwender häufig vor massiven Problemen. Abhilfe können Escrow-Verträge schaffen, entsprechend denen der Sourcecode für Notfälle hinterlegt wird. Dank des schlechten Wirtschaftsklimas hoffen die einschlägigen Dienstleister auf gute Geschäfte.

Von den gegenwärtigen Bedenken der Anwender weiß Stephan Schambach, Chef von Intershop, ein Lied zu singen: Fünf Minuten diskutiere der Vertrieb mit potenziellen Kunden über die Funktionen der Software, eine halbe Stunde hingegen drehe sich das Gespräch um die wirtschaftliche Stabilität des Herstellers, äußerte der Firmengründer jüngst auf einer Analystenkonferenz. Angesichts der Pleiten in der krisengeschüttelten IT-Branche ist es nicht verwunderlich, dass sich die Prioritäten verschoben haben und wieder einmal das Sicherheitsbedürfnis der Anwender in den Vordergrund gerückt ist.

Während Intershop eine Investmentbank als strategischen Finanzberater gewählt hat, um "die Kapitalstruktur der Gesellschaft zu stärken und die finanzielle Flexibilität zu erhöhen", greifen immer mehr Softwareunternehmen und Anwender auf eine Dienstleistung zurück, die bereits seit Jahren angeboten wird, hierzulande aber noch ein Schattendasein fristet: Sourcecode-Escrow, die Hinterlegung des Quellcodes bei einer unabhängigen Institution. Im Fall einer Insolvenz, so die Idee, wird der Code automatisch an die Nutzer übergeben, damit diese ihre Systeme zumindest ansatzweise und im Rahmen des ursprünglichen Lizenzvertrags weiterpflegen können.

Ein Service im Dornröschenschlaf

Was in den USA und Großbritannien schon seit mehr als 15 Jahren an der Tagesordnung ist, hat hierzulande nur eine geringe Tradition - Escrow halte einen "Dornröschenschlaf", urteilt Stephan Peters, Geschäftsführer der Münchner Escrow-Agentur Deposix. Doch das Bewusstsein ändert sich angesichts der Zahlungsunfähigkeit vieler Softwareanbieter und der Tatsache, dass die Anwender dadurch auf einer Software sitzen bleiben, deren Wartung nicht mehr gewährleistet wird. Schließlich stehen die meisten Kunden unter dem Druck, ihre Applikationen permanent an neue Prozesse, Gesetze oder Richtlinien anzupassen: "Wenn es uns dann nicht mehr gibt, haben die Anwender nach spätestens sechs Monaten ein Problem", legt ein Softwareanbieter den Finger in die Wunde.

Bislang wurde ein Großteil der Escrow-Abkommen über Rechtsanwälte und Notare abgewickelt, was jedoch nur eine scheinbare Sicherheit mit sich bringt: "Eine Garantie, dass das hinterlegte Material auch brauchbar ist, haben die Beteiligten in diesen Fällen nicht", beurteilt Deposix-Chef Peters die Möglichkeiten der Notare, die ihnen anvertrauten Quellen auch zu überprüfen. Neben der reinen Hinterlegung der CDs bieten die spezialisierten Escrow-Agenten darüber hinaus an, den Code zumindest auf Vollständigkeit zu untersuchen. Zudem nehmen sie bei Bedarf Bugfixes und Updates in Empfang und kompilieren oder dekompilieren die Software. Gelegentlich werden die Programme auch installiert, um ihre Ablauffähigkeit zu prüfen. Allerdings gibt es hier gewisse Grenzen: Wenn die Tools so einfach zu prüfen wären, wirft ein auf Anonymität bedachter Softwerker ein, "hätte es nicht Jahre gedauert, sie zu entwickeln".

Für die Sourcecode-Übergabe gibt es verschiedene Kriterien, wobei als Extremfall immer der Bankrott des Softwarehauses gilt. Entscheidend ist stets die vertragliche Einzelregelung, ob der Quellcode beispielsweise schon beim Insolvenzantrag oder erst bei Eröffnung des Verfahrens an den Anwender versendet wird.

Gläubiger- oder Anwenderschutz?

Die Hoffnung, dass der Insolvenzverwalter den Code von sich aus und damit ohne Escrow-Abkommen herausrückt, ist gering: Sein Ziel ist der Gläubigerschutz und nicht der reibungslose Betrieb auf Seiten der Kunden. Die Software wird deshalb der Konkursmasse zugeschlagen, denn sie ist häufig der größte und letzte Wert, über den ein Softwareanbieter nach der Pleite noch verfügt. Darüber hinaus sind Escrow-Abkommen sinnvoll, falls der Lizenzgeber seine Wartungsverpflichtungen nicht mehr erfüllen will, die Produktreihe eingestellt oder der Lieferant übernommen wird.

Mit der Unterschrift unter einem Standardvertrag ist es demnach nicht getan: Wie immer ist das Escrow-Abkommen, das in der Regel zwischen den drei Parteien (Lizenzgeber, Lizenznehmer und Agentur) geschlossen wird, Verhandlungssache. Natürlich gebe es bei der Vertragsgestaltung Interessenkonflikte zwischen den Beteiligten, erzählt Carlo Velten, Berater beim Kasseler Unternehmen Techconsult. Während die Lizenzgeber versuchen, die "Barriere" für die Freigabe ihres intellektuellen Kapitals möglichst hoch zu errichten, sind Anwender daran interessiert, einen starken Anspruch auf den Code festzulegen. Dazwischen steht der Escrow-Agent, für den laut Velten die Vermittlung zwischen den Parteien das "Erfolgskriterium" ist.

Ab 80000 Euro Lizenzgebühren lohne es sich, über die Hinterlegung des Quellcodes bei einer Agentur nachzudenken, sagt Deposix-Geschäftsführer Peters. Wenn die Software dann noch kritische Prozesse des Unternehmens steuert und mehr als 50 Nutzer auf das Tool zugreifen, sollte spätestens die Entscheidung für ein Escrow-Abkommen gefallen sein. Die Preise selbst halten sich in Grenzen und sind auf einschlägigen Websites nachzulesen: Die Jahresgebühr beginnt bei einigen hundert Euro, für Sonderwünsche im Vertrag werden je nach Agentur Extrakosten berechnet.

Der Markt für derartige Dienste war schon immer vorhanden, sagt Volker Siegel von NCC Escrow International. Auch der Rechtsanwalt der Münchner Agentur hat eine steigende Nachfrage in Deutschland bemerkt, will dies jedoch nicht allein auf die Pleitewelle schieben. Generell nehme das Sicherheitsbedürfnis auf Seiten der Anwender zu. Angeheizt wird der Trend durch den Umstand, dass inzwischen auch viele Softwarelieferanten das Thema für sich entdeckt haben: "Wir spüren einen zunehmenden Bedarf von beiden Seiten", berichtet Siegel.

Neue Verkaufsargumente

In der Tat sind nicht nur die Anwender vermehrt auf den Escrow-Zug aufgesprungen, auch die Softwarehersteller haben die "Sicherheit" des Quellcodes als Verkaufsargument entdeckt. So ließ die Münchner Ixos AG ihre "Econ-Solution-Suite" von einer Agentur komplett auf der höchsten Escrow-Stufe zertifizieren, wofür der Dienstleister sogar ins Haus kam, um alles zu inspizieren: "Früher war Escrow höchstens nice to have, inzwischen ist es für einige Kunden ein ausschlaggebendes Kriterium geworden", sagt Ioannis Blume, Produkt-Manager von Ixos. Für Hersteller hat Escrow zudem einen positiven Nebeneffekt: Programmierer schützen sich damit auch gegen die häufig vorgetragene Forderung einflussreicher Abnehmer, bei Abschluss eines Lizenzvertrags den Quellcode gleich zusammen mit dem Objektcode zu übergeben - ein Ansinnen, das nicht nur von Blume entschieden abgelehnt wird.

Auch Reinhold Wegmann, Geschäftsführer des Münchner Softwareanbieters CPG, würde niemals "ohne Druck" den Sourcecode aus dem Haus geben; daher hat sich die Company ebenfalls für die Hinterlegung entschieden. Der Schritt sei als "vertrauensbildende Maßnahme" zu verstehen. Der Spezialist für Bankensoftware war im letzten Jahr verkauft worden, was "Nervosität" bei einigen Kunden hervorgerufen hat. Nun soll auch mittels Escrow die alte Vertrauensbasis wiederhergestellt werden: "Ich halte das für eine Selbstverständlichkeit", argumentiert Wegmann, der für eine Partnerschaft zwischen Lieferanten und Abnehmer plädiert, "damit die Kunden nicht im Regen stehen bleiben."

Der reine Quellcode reicht nicht

Allerdings ist es mit der Übergabe des reinen Quellcodes im Fall der Insolvenz des Lieferanten nicht getan. Neben dem passenden Compiler und der Dokumentation kann es im Idealfall nicht schaden, auch noch einige Entwickler vom Softwarehaus abzuwerben, denn: "Es dauert Monate, bis sich jemand in den Sourcecode eingearbeitet hat", berichtet CPG-Chef Wegmann.

Albert Hemmerle kennt die Escrow-Materie von beiden Seiten, als Anbieter und als Anwender. Schließlich müssten auch seine Kunden als Wiederverkäufer ihre Wartungsverpflichtungen erfüllen, schildert der Contract-Manager des Münchner IT-Unternehmens Softlab. Hemmerle schätzt das Niveau des deutschen Escrow-Marktes gegenwärtig als "niedrig" ein, verlangt derartige Klauseln aber auch von seinen Lieferanten. Die IT-Tochter von BMW nutzt Escrow seit mehr als fünf Jahren - als "letzter Rettungsanker", um sich im Fall eines Bankrotts selbst helfen zu können. Es gibt Fälle, so Hemmerle, in denen man nicht mehr ohne Escrow auskommt, weil das Risiko letztlich zu groß sei.

Die Unwissenheit vieler Anwender ist für Norbert Ritz von Escrow Europe, Düsseldorf, einer der Hauptgründe, wieso sich der Service hierzulande nur schleppend entwickelt hat: "Das Produkt ist ähnlich erklärungsbedürftig wie ein schwieriger Versicherungsvertrag." Angesichts der Sparwelle fragen sich seiner Meinung nach überdies viele Kunden, ob sie den Dienst überhaupt benötigen oder lieber das Risiko tragen wollen. Wer jedoch ein gültiges Abkommen getroffen hat, kann sich zumeist glücklich schätzen. Nach der Pleite des Softwareanbieters Brokat "standen die Anwender sofort auf der Matte", erinnert sich Ritz.

Allerdings gibt es auch Situationen, in denen Escrow nicht greift. Im vergangenen Jahr ging das britische Softwarehaus QSP Pleite, das für seine Programme ein Escrow-Abkommen offerierte. Rund ein Viertel der Kunden hatten englischen Presseberichten zufolge jedoch schlicht vergessen, einen entsprechenden Vertrag aufzusetzen. Sie waren davon ausgegangen, dass die Klausel im Lizenzvertrag bereits ausreicht, um den Sourcecode zu erhalten. (ajf)

EscrowUnter Sourcecode-Escrow versteht man die treuhänderische Hinterlegung von Quellcode (in der Regel mitsamt den passenden Compilern sowie der Dokumentation) bei einer unabhängigen Organisation beziehungsweise einem Rechtsanwalt oder Notar. Dafür sind unterschiedliche Gebühren zu zahlen, die sich am Umfang der Dienstleistung orientieren: In der niedrigsten Stufe verwahrt der Escrow-Agent lediglich die Software und wickelt gegebenenfalls die Übergabe ab. Darüber hinaus können je nach Vertragsgestaltung der Code kompiliert und dekompiliert, Bugfixes regelmäßig gepflegt sowie Updates eingespielt werden. Einen festen Preis für die Dienstleistungen gibt es nicht, der Rahmen spannt sich von 500 bis einigen tausend Euro pro Jahr.

LinksDeutschland

www.deposix.de

www.escrow.de

www.escroweurope.de

Ausland

www.escrowtech.com

www.fidex.com

www.guard-it.com

www.ironmountain.com