Escrow in Publikationen des Bundes

EVB IT-Systemvertrag

IT-Grundschutz (BSI)

Auszug Prüffragen:

  • Wurde geprüft, ob durch die treuhänderische Hinterlegung (Escrow) eine Minderung der Sicherheitsrisiken erreicht werden kann?
  • Sind im Escrow-Vertrag alle Bedingungen der Hinterlegung, Aktualisierung und Herausgabe sowie die Rechte und Pflichten der beteiligten Parteien präzise festgelegt?
  • Ist sichergestellt, dass der Escrow-Vertrag im Einklang mit dem entsprechenden Nutzungsvertrag steht?
  • Verfügt die Escrow-Agentur über die notwendigen Qualifikationen?
  • Wird bei der treuhänderischen Hinterlegung geprüft, ob das Material im Falle einer zukünftigen Herausgabe verwendbar ist?

Für institutionskritische Anwendungen sollte geprüft werden, ob diese gegen Ausfall des Herstellers abgesichert werden sollten. Dafür sollten nicht zum Lieferumfang der Anwendung gehörende Materialien und Informationen treuhänderisch hinterlegt werden, etwa bei einer Escrow-Agentur. Dazu sollten dokumentierter Code, Konstruktionspläne, Schlüssel oder Passwörter gehören. In diesem Fall sollten die Pflichten der Escrow-Agentur zur Hinterlegung und Herausgabe vertraglich geregelt werden. Es sollte geklärt werden, wann das Hinterlegte an wen herausgegeben werden darf.

Auszug aus „CON.5.A12 Treuhänderische Hinterlegung (H)“ Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium, 2020