Upload
hoangdien
View
234
Download
4
Embed Size (px)
Citation preview
Bird & Bird Law Campam 07.03.15 in Frankfurt
Was haben der Film
‚Cloud Atlas‘ und
Cloud Escrow gemeinsam?!
© 2015 Deposix www.deposix.de
Cloud Escrow
Was haben der Film ‚Cloud Atlas‘ und Cloud Escrow gemeinsam? ‐ 1
07.03.2015 © Stephan Peters Deposix 2
‐‐> Beide entstanden Mitte der 2000er
Cloud Escrow
vs.
Cloud Atlas ‐ das Buch zum Film:
Britisch, 2004, von David Mitchell
05.03.2013 3Quelle: http://de.wikipedia.org
Cloud Escrow hat seinen Ursprung naturgemäß dem Cloud Computing(CC) zu verdanken.
– Amazon war einer der CC‐Vorreiter (neben Google und Yahoo)– CC wurde erst nur intern genutzt: Bereits Weihnachten 2006 war
die Spitzenlast um Faktor 10 höher als die Grundlast!– Dann wurde die freie Kapazität extern/Dritten angeboten:
Amazon ist heute weltweit der größte Anbieter von Cloud Computing Services
Was haben der Film ‚Cloud Atlas‘ und Cloud Escrow gemeinsam? ‐ 2
07.03.2015 © Stephan Peters Deposix 4
Beide galten lange als „unmöglich“!
Cloud Escrow
vs.
„Unverfilmbar!“
„Handlung viel zu komplex!“ …
Dann in 2012:Tom Tykwer und Wachowski
Geschwister, deutsche Produktion, € 100 M ‐ es ging!
05.03.2013 5
“Cloud Computing means: Your data on somebody else's hard drive".
Bruce Schneier, US‐amerikanischer Experte für Kryptographie und Computersicherheit
… und auch für Cloud Escrow galt lange: Das bringt doch nichts, das ist nicht machbar!
Heute ist Cloud Escrow ein spannendes Wachstumsfeld!
Was haben der Film ‚Cloud Atlas‘ und Cloud Escrow gemeinsam? ‐ 3
07.03.2015 © Stephan Peters Deposix 6
Viele alte und neue Stars machen mit
Cloud Escrow
vs.
Cloud Atlas > Besetzung
05.03.2013 7
Quelle: http://de.slideshare.net/artupton/j‐tobolski‐cloud‐computing 805.03.2013
Cloud Computing > Besetzung
Was haben der Film ‚Cloud Atlas‘ und Cloud Escrow gemeinsam? ‐ 4
07.03.2015 © Stephan Peters Deposix 9
Everything isconnected!!!
Cloud Escrow
vs.
09.03.2015 10Stephan Peters, Deposix Software EscrowQuelle: http://www.liveforfilms.com/wp‐content/uploads/2012/09/Cloud‐Atlas‐Poster.jpeg
Quelle: http://www.cinemablend.com/images/news/33823/_1351547825.jpg
Sehr komplexe Handlung, 6 Stories über 500 Jahre, alles ist verbunden …
Tom Hanks Hugo Weaving
Halle Berry
Hugh Grant
Jim Sturgess
© Stephan Peters Deposix 12
Lizenzvertrag zwischen Lizenzgeber und Lizenznehmer
Objectcode (ausführbare Programme)
• surveillance of updates and modifications
• verification of source code
• handout of source code if definedcontractual criteria are met
softwareescrow
Escrow Agent
Software‐Hersteller / Lizenzgeber
• developssoftware
• delivers object code(executable software)to Licensee
• deposits source code at agent
• usessoftware
• confirms reception of software
• may access source code if criteria are met
Das klasssische Escrowmodell
Anwender / Lizenznehmer
07.03.2015
07.03.2015 © Stephan Peters Deposix 13
Vorteile einer Hinterlegung von Quellcode
Vorteile einer Hinterlegung (Software Escrow)
… für Lizenznehmer (LN)
… für Lizenzgeber(LG)
… für General–unternehmer (GU)
• Sichert den LN gegen Ausfall des Lizenzgebers durch z.B. Insolvenz, Verkauf oder Geschäftsaufgabe
• Garantiert Zugriff auf den Quellcode einer beim LN eingesetzten Software
• Ermöglicht ununterbrochene Pflege/Wartung/Weiterentwicklung der Software durch eigene Mitarbeiter oder Dritte
• Allgemein: Escrow stellt einen Investitionsschutz für IT-Projekte dar
• Wendet erfolgreich eine Heraus-gabe des eigenen Quellcodes an Kunden (LN) oder Partner ab
• Schützt effektiv das eigene „geistige Eigentum“ (Intellectual Property, IP)
• Sichert Wettbewerbsvorteile• Dient als vertrauensbildende
Maßnahme und steigert dadurch den Absatz der eigenen Produkte
• Hilft LG, sich im Wettbewerb gegen Wettbewerber zu positionieren
• Reduziert erheblich die durch potenziellen Wegfall eines Zulieferers bestehenden Risiken
• Ermöglicht (Service-) Zusagen, die von Drittanbietern (Softwareher-stellern, LG) abhängen
• Sichert Verträge und gegenüber Kunden eingegangene Verpflichtungen ab
• Stärkt eigene Glaubwürdigkeit im Markt
Entscheidung Entscheidung für Escrow
Vertrags-vorbereitung
-Zusammen-stellung
Quellcode
Ersthinter-legung
laufendeVertrags-betreuung
Deposix unterstützt Kunden bei jedem Schritt und übernimmt auf Wunsch die komplette Prozessverantwortung
(*) Quellcode und Dokumentation müssen Dritte in angemessener Zeit in die Lage versetzen, das Material zu kompilieren, zu linken und daraus ein ausführbares Programm zu erstellen
• Informationsmaterial sichten und Escrow kennen lernen
• Entscheidung für Escrow treffen
• Einbindung des Partners -je nach Rollenverteilung den LG (Lizenzgeber) oder den LN (Lizenz-nehmer)
• Zustimmung des Partners einholen
1
• Benötigte Informationen (Details siehe nächste< Seite) sammeln und in Vertragvorlage eintragen
• Ggf. Abstimmung zwischen Lizenzvertrag und Escrowvertrag
2
Abschluss(Unter-Schrift)
3
• Formaler Vertrags-schluss zwischen den beteiligten Parteien
• Drei Unter-schriften
• Alle relevanten Programme und Dateien (*)
• Alle relevante Dokumentation inklusive Program-mierhandbuch und Build Guide
• Namen der wichtigsten Programmierer
• Deposix erhält Quellcode und prüft: Stufe A (automatisch) und ggf. Stufe B oder C (kostenpflichtig)
• Offizielle Benachrichtigung an beide Parteien
• Absicherung des Lizenznehmers beginnt
• Regelmäßige Aktualisierungen
• Deposix verwaltet das Depot im Namen von Lizenzgeber und Lizenznehmer
4 5 6
Der Escrowprozess
© Stephan Peters Deposix
Klassisches Lizenzmodell und einfaches Cloudmodell
50 Jahre: ca. 1960 bis 2010
Klassische Lizenz/ Cloud Computing
Lizenznehmer/ Kunde
Lizenzgeber/ Cloud Service
Provider
kom
ple
xere
Clo
ud
-Mod
elle
ein
fach
es C
lou
d-M
odel
lCloud Computing wird zunehmend komplexer:
ab 2010 …
Cloud Computing
Lizenz‐nehmer Lizenzgeber
Cloud Computing
Lizenz‐nehmer
IaaS
Data Center
PaaS
Lizenz‐geber 2
Lizenz‐geber 1
PraaS
Daten
1981 2002 2013 2021
Juri
stis
chK
aufm
änn
isch
Tech
nis
ch
Auch Escrow wird komplexer I
DSI (ab 1997 IM)
Klassisches Escrow
???
CloudEscrow
Escrow Atlas for Cloud Computing – ein Versuch
Cloud Computing
2013
Juri
stis
chK
aufm
änn
isch
Tech
nis
ch Auch Escrow wird komplexer II
Lizenzgeber
Cloud Computing
(IT‐) Berater
VCs/ Investoren
Lizenz‐nehmer
StB., WPs sonstige Berater
Anwälte, Juristen
Optimum
Quelle: www.selflinux.de)
Muss jetzt wirklich alles in die Cloud ?!
19Quelle: http://www.trainsignal.com/blog/what‐is‐cloud‐computing
Quelle:http://thecustomizewindows.com/2011/08/cloud‐computing‐everything‐as‐a‐service‐xaas‐or‐eaas/
20© Stephan Peters Deposix
07.03.2015
NOEscrow inthe Cloud!
We DO Cloud Escrow, but please …Bei Deposix werden regelmäßig Cloud‐Lösungen Dritter hinterlegt = Cloud Escrow!
Aber: Deposix legt die uns anvertraute Software von Herstellern NICHT in der Cloud ab, der Quellcode wird klassisch offline gespeichert und eingeschlossen!
21© Stephan Peters Deposix
07.03.2015
Was beim Escrow ist also anders in den Wolken?!
– Komplexität der Anwendungen– Anzahl involvierter Komponenten und Parteien– Verfügbarkeit der Anwendung, Zeitfaktor bei
Ausfallplanung!– Datenhoheit!!– Aufwand für technische Verifizierung– Rechtliche Fragen (Lizenzen, Datenschutz, … … …)
Der Anwender kontrolliert immer die eigenen Daten … oder?!?
22Quelle: The Burton Group, 201107.03.2015
Process asa Service
Data
App
Services
Server
Storage
Network
© Stephan Peters Deposix 23
Technische VerifizierungAnfertigung individueller
Gutachten nach Kundenwünschen Garantien?!
07.03.2015
Praxisbeispiel ‚Tracking & Tracing‘
24Stephan Peters, Deposix Software Escrow07.03.2015
End User
Cloud Service Provider (CSP)
Cloud9IDE, Inc or Heroku, Inc.
Treasure Data, Inc, CA/USA
Apache Hadoop Framework / Apache Software Foundation
intelligent remote usage administration
DeveloperDeveloper
Heroku – Cloud‐basierte Entwicklungsplattform
2505.03.2013
Heroku: Baukastenprinzip für die Entwicklung eigener Anwendungen durch Bausteine Dritter
2605.03.2013
Quelle: https://appexchange.salesforce.com/ 2805.03.2013
2905.03.2013
Aktuelles Cloud Escrow Beispiel 1:
Skyvva Solution Architecture =IPaaS (Integration Platform as a Service)
Hybrid Architecture:• On Premise SAP NetWeaver (leading) & Salesforce force.com • Integration Processes (Mappings, Transformations, Business Flows) powered by SAP NetWeaver Process
Orchestration• NetWeaver Process Orchestration to handle all SAP Connectivity• covering PI (Process Integration) 7.0/7.1 and NetWeaver PO 7.3
Quelle: Skyvva Produktdefinition 3005.03.2013
Wichtigste Stichworte:• Salesforce‐zu‐SAP‐Integration (sf‐to‐SAP)• Live‐Abgleich in real time: optimales Cloud‐Datenbackup
oder Escrow der eigenen Daten• Basiert auf den „nativen“ Entwicklungsplattformen
force.com (sf) und NetWeaver (SAP)• Macht damit normale Middleware redundant• Die Entwicklungsplattformen werden unabhängig vom
Lizenzgeber (Skyvva) unterhalten und sind frei verfügbar• Technische Verifizierung (Kompilierung, Installation,
Ausführung …) der einzelnen Komponenten auf ihrer jeweiligen Plattform und im Zusammenspiel möglich (!)
05.03.2013 Stephan Peters, Deposix Software Escrow 31
Aktuelles Cloud Escrow Beispiel 1:
Skyvva Solution Architecture =IPaaS (Integration Platform as a Service)
05.03.2013 Stephan Peters, Deposix Software Escrow 32
Aktuelles Cloud Escrow Beispiel 2:
SnapEngage live chat service =PraaS (Process as a Service)
Wichtigste Stichworte:• White‐Label Chat‐Lösung für End‐ und Business‐Kunden
eines großen deutschen ISP (Internet‐Anbieters)• Herausforderungen: near real‐time Verfügbarkeit der
Chat‐Funktion und Sicherung z.B. persönlicher Daten und Chat‐Historien aus der Cloud heraus
• Escrow‐Lösung: Aufbau eines Shadow‐Systems mit Live‐Spiegelung der Daten
• Aufwendiger Unterhalt, aber durch die Bedeutung der Chat‐Funktion für die strategischen Ziele des ISP‐Anbieters gerechtfertigt
05.03.2013 Stephan Peters, Deposix Software Escrow 33
Aktuelles Cloud Escrow Beispiel 3:
Real‐time Datensicherung für salesforce.com (AaaS‐Lösung)Wichtigste Stichworte:• Klassische ‐ die erste! ‐ Customer Relationship
Management (CRM) Cloud Lösung • Herausforderung: Alle CRM‐/Kundendaten werden in der Cloud
gespeichert, außerhalb der Kontrolle des jeweiligen salesforce‐Anwenders
• Hohes Risiko bei Datenverlust oder Nichtverfügbarkeit/ unter‐brochenem Zugriff
• Die Lösung für die Kundendaten: realtime‐Synchronisation aller relevanten Datenfelder mit Outlook‐Kontaktfunktion (individuelle 1:1‐Zuweisung auf Feldebene)
• Sichert nicht einen möglichen Ausfall der AaaS‐Lösung ab, garantiert aber jederzeit Zugriff auf die eigenen aktuellen Daten und deren Weiterverwendung, unabhängig von salesforce.com
Enable2Cloud: Drei Thesen!
Stephan Peters, Deposix Software Escrow 3407.03.2015
2. Ignorieren hilft nicht!Interessenkonflikte lösen durch Kosten‐Nutzen‐Abwägungen und konstruktive Zusammenarbeit:‐ Anwendersicht: Schutz gegen kurz‐ und langfristigen Ausfall, eigene Daten!‐ CSP‐Sicht: Wettbewerbsfähigkeit, Schutz des eigenen Know‐hows und IPs
3. Auch Darwin lebt in der Cloud!Cloud Escrow kann und wird bei der natürlichen Cloudevolution helfen:‐ (Weiter‐)Entwicklung fortschrittlicher und komplexer SaaS Geschäftsmodelle‐ Höherwertige Cloud‐Nutzung entlang der Wertschöpfungskette
1. Noch nicht ganz da!Die Cloud kommt erst dann voll im Business an, wenn Risk Management, Business Continuity und Total Cost of Ownership (TCO) noch konsequenter adressiert werden.
Was haben der Film ‚Cloud Atlas‘ und Cloud Escrow NICHT gemeinsam?!
07.03.2015 © Stephan Peters Deposix 35
Der Film lief im August 2014 in der ARD – dieser Vortrag (noch) nicht!
Cloud Escrow
vs.
Veröffentlichung zu Cloud Escrow
„Cloud Escrow als Werkzeug zur Risikominimierung"
von Stephan Peters im Kapitel "Cloud Computing" im "Münchener Anwaltshandbuch IT‐Recht", Veröffentlichung im Oktober 2013, 3. Auflage
im Verlag C.H. Beck, www.beck‐shop.de07.03.2015 © Stephan Peters Deposix 36
07.03.2015 Stephan Peters, Deposix Software Escrow 37
Auf dass alle dunklen Gewitterwolken....
07.03.2015 Stephan Peters, Deposix Software Escrow 38
...bald für immer einer sichereren Cloud weichen!
39
Stephan Peters
Deposix Software Escrow GmbHInnere Wiener Straße 11a
D‐81667 München+49 (89) 189‐1255‐0
Vielen Dank!
07.03.2015
Backup
© Stephan Peters Deposix 40
Deposix
• Gegründet 2002 in D• Idee aus den USA über Mitgründerin• Heute mit Schwesterfirma in den USA• Escrow pur!
07.03.2015 © Stephan Peters Deposix 41
Das Foto stammt aus dem Film “Source Code” (US 2011), der im Rahmen der Feierlichkeitenzum 10. Jubiläum von Deposix
in 2012 in einer privatenKinovorstellung gezeigt wurde.
07.03.2015 © Stephan Peters Deposix 42
Agfa-Gevaert
Agilent
Atisreal
Alfa Bank
Allianz
Axa
BMF
BMW
Bundesdruckerei
CA
CSC
Delmia
Deutsche Bank
Sparkassen
Deutsche Post
DHL
D‐Link
D‐Trust
eBay
empolis
Flextronics
freenet AG
Fujitsu
Go Yellow
HP
IBM
ING DiBa
Kordoba⦁⦁⦁
neckermann.de
Philip Morris
Pirelli
SAP
Atos (ex Siemens SIS)
Siemens
Südzucker
Swarovski
SWISS
T‐Systems
Deutsche Telekom
VocalTec
Vogel Medien
VoiceObjects
Ausgewählte Referenzen von Deposix
07.03.2015 © Stephan Peters Deposix 43
Wann sollte Quellcode hinterlegt werden?Ein Kriterienkatalog
Bildet die Software kritische Prozesse oder Daten ab? …..……………
Wäre ein kurzfristiger Ersatz der Software ggf. teuer/aufwendig? …….
Kann die SW-Pflege nicht auf Dauer zu 100% garantiert werden? ……
Ist die Erfüllung vertraglicher Verpflichtungen gegenüber Dritten von der eingesetzten Software abhängig? …………..…………..…………..
Escrow-Checkliste:
Wenn eines dieser Kriterien zutrifft, sollte eine Hinterlegung angestrebt werden.
© Stephan Peters Deposix 44
1. Fragen Sie Ihren … IT‐Anwalt oder Escrowagenten!– Grundlage i.d.R. Lizenzvertrag. Synchronisation!– Individuelle Anfertigungen oder Musterverträge auf
Anfrage …– Spielraum u. Flexibilität der Prozesse variieren pro
Anbieter (!)2. Diverse Vertragstypen und Konstellationen– Einzel‐/3‐Parteienvertrag– Sammelverträge LG und LN– Multiverträge– Sekundärberechtigungen z.B. für GU‐Konstellationen– …
Wie komme ich zu (m)einem Escrowvertrag ‐ allgemein?
07.03.2015
© Stephan Peters Deposix 45
Technische Aspekte
1. Übergabe des Materials– Klassisch auf Datenträgern oder per (s)FTP2. Updates– Nach Vereinbarung regelmäßig, bei Releasewechsel
(1x/Jahr)3. Eingangsverifizierung– Nur ein quantitativer Test4. Aufbewahrung und BAK– Variiert von Bankschließfach bis
elektronischem Datensafe und Backup in 2. Lokation
07.03.2015
© Stephan Peters Deposix 46
Wann und wie oft wird herausgegeben?
1. Herausgabe ist individuell verhandelbar!– Harte und weiche Bedingungen– Nennung der „Insolvenz“ ist aktuell noch
Glaubenssache (siehe § 108a)– auch Geschäftsaufgabe, Brain Drain, Change of Control,
…
2. Herausgabeprozedere wird in ca. 10% der Fälle eingeleitet
– Neutrale Prüfung durch Hinterlegungsstelle, keine Entscheidung unklarer (weicher) Fälle
– Wichtig: Funktion der (potenziellen) gelben Karte für LG
07.03.2015
© Stephan Peters Deposix 47
1. Sicherheit, Infrastruktur
2. Technologisches Verständnis und Verifizierungen
3. Qualität der Verträge
4. Aktualisierungen/Updates
5. Preis
6. Verantwortung (Prozesse) und Know‐how
Das „Gespenst“ der Notarhinterlegung lebt (teilweise)
Unterschiede werden in den folgenden Punkten deutlich:
Verbandsgründung:
„OSE International“ nimmt in 2005 Arbeit auf
Verbandsziele:
Aufklärung zum Thema „Schutz von Software Investitionen“
Steigerung des Bekanntheitsgrades von Escrow
Entwicklung von Standards für die Escrowbranche, und somit Gewährleistung gleich bleibend hoher Qualität der Escrowdienstleistungen von Mitgliedsunternehmen
Schaffung von Rechtssicherheit für Hinterlegungsverträge
Jährliche Symposien (immer im Januar – 29.01.16!) rund ums Thema Escrow, Tagungsleitung RA Prof. Jochen Schneider
Stellungsnahmen z.B. zu § 108a InsO-E
© Stephan Peters Deposix 48
Kurzer Hintergrund zu OSE
Bildnachweis(soweit nicht auf den einzelnen Seiten angegeben)
Titelseite DVD Cloud Atlas der Film:http://www.cloudatlas‐derfilm.de/images/promo_bg.jpg
Titelseite Graphik “Cloud Escrow“http://de.wikipedia.org
Alle anderen Bilder ohne direkten Nachweis: www.fotolia.de
07.03.2015 © Stephan Peters Deposix 49