Foto: ARudolf - shutterstock.com
Zugriff auf Firmendaten immer und von überall macht Mitarbeiter unabhängig, hilft Prozesse zu vernetzen; eine flexible Skalierung der IT-Infrastruktur spart Zeit und Kosten. Die Kehrseite: Cloud-Dienste machen Unternehmen angreifbar. Nicht nur für Cybercrime-Attacken, sondern immer öfter auch für Angriffe von Patent-Trollen. Die arbeiten stets nach gleichem Muster: Sie kaufen in großem Stil Patente an allen möglichen Entwicklungen, um sie dann für den eigenen Profit gegen andere digitale Dienste zu verwenden.
Sie verklagen also Unternehmen, die beispielsweise unwissentlich Open Source Software im Rahmen der Cloud-Lösung einsetzen, wegen Verletzung von Patenten, Gebrauchsmustern oder Urheberrechten im Zusammenhang mit der eingesetzten Software. Die Unternehmen trifft das in der Regel völlig unvorbereitet - die Open Source Software ist doch vermeintlich frei und man denkt, dass alle Pflichten bezüglich der Lizenzeinhaltung beim Cloud-Anbieter liegen. Für die Digitalisierungsprozesse von Unternehmen werden solche Auseinandersetzungen zunehmend riskant.
Rechtliche Risiken bei der Nutzung von Cloud-Diensten
Cloud-Dienste bieten viel Angriffsfläche für solche Angriffe, denn sie arbeiten hauptsächlich mit Erzeugnissen aus geistiger Arbeit, die rechtlich durch das Urheberrecht und/oder entsprechende Patente geschützt sind. Besonders problematisch ist dabei Open Source Software, die häufig im Rahmen von proprietären Angeboten mitverwendet wird.
Die rechtlichen Vorgaben beim Einsatz dieser vermeintlich "freien" Software sind vielfältig und teilweise schwer zu durchschauen. Nicht nur deshalb stellt eine vollständige rechtliche Prüfung eines Dienstes vor dessen Verwendung meist einen unverhältnismäßigen, wenn nicht gar unmöglichen Aufwand dar. Dazu kommt, dass Unternehmen häufig verschiedene Dienste in Anspruch nehmen, was den Aufwand weiter potenziert.
Viele Unternehmen nehmen die entstehenden Risiken deshalb notgedrungen in Kauf und hoffen auf das Ausbleiben von Rechtsstreitigkeiten. Doch in der Praxis setzen die Inhaber ihre Rechte immer öfter und konsequenter durch. Zugleich ist so etwas wie ein regelrechter Sekundärmarkt entstanden, auf dem sogenannte Patent Assertion Entities (PAE) agieren. Diese analysieren andere Unternehmen in Bezug auf etwaige Rechtsverletzungen und greifen sie dann rechtlich an - ein originäres Geschäftsmodell: finanziert durch Schadensersatzansprüche oder Vergleichsabschlüsse.
Patent-Trolle entdecken Deutschland
Bei diesen PAEs handelt es sich um Unternehmen, die Patente - teilweise in großer Zahl - erwerben, um dann mit Hilfe dieser erworbenen Rechte gegen Unternehmen, die Cloud- und andere digitale Dienste verwenden, rechtlich vorzugehen. Umgangssprachlich heißen solche Unternehmen nicht ganz zu Unrecht "Patent-Trolle". Gab es sie ursprünglich nur in den USA, treiben sie ihr Unwesen inzwischen auch hierzulande, sichtbar an einer steigenden Zahl von entsprechenden Klagen vor deutschen Gerichten.
Viele betroffene Unternehmen stehen solchen Angriffen oft schutzlos gegenüber, da sie auf Rechtsstreitigkeiten - allgemein und insbesondere im Bereich des geistigen Eigentums - nicht vorbereitet sind und keine Schutzmechanismen für die Abwehr solcher Attacken besitzen. Das aber machen sich die "Patent-Trolle" zunutze und konzentrieren ihre Angriffe besonders auf die Kunden von Cloud- und anderen Digitalisierungs-Services, anstatt deren Anbieter direkt zu attackieren. Verunsicherung auf Seiten der Unternehmenskunden und Umsatzrückgänge für die Anbieter sind die Folgen.
Wirksame Verteidigungsstrategien gegen Patent-Trolle
Foto: WindVector - shutterstock.com
Es ist daher sinnvoll, schon im Vorfeld zu prüfen, welche Software von den jeweiligen Cloud-Anbietern eingesetzt wird. Falls dies Open Source Software ist, sollte man genau prüfen, welche Tools eingesetzt werden und unter welchen Lizenzen diese ggf. erworben wurden. Auskunft dazu gibt in der Regel der Cloud-Anbieter. Falls proprietäre Software eingesetzt wird, sollte man sich beim Cloud-Anbieter rückversichern, wer welches Haftungsrisiko übernehmen muss.
Wenn der Cloud-Anbieter hier keine Lösung parat hat, müsste man als Unternehmen die gesamte eingesetzte Software prüfen, um ein Haftungsrisiko auszuschließen. Dies ist schon aus praktischen Gründen im Regelfall nicht durchführbar.
Auf jeden Fall sollte man Angriffe von Patent-Trollen sehr ernst nehmen. Nicht nur sind hohe Kosten mit der Abmahnung und noch höhere mit einem evtl. einstweiligen Gerichtsverfahren verbunden, sondern es droht auch die sehr zeitnahe Verpflichtung zur Abschaltung aller rechtverletzenden Software. Das kann den laufenden Betrieb eines Unternehmens ad hoc stoppen.
Cloud-Anbieter sichern ihre Kunden ab
Die Anbieter selbst sind auf Angriffe mittlerweile besser vorbereitet und bemühen sich inzwischen darum, auch ihre Kunden besser zu schützen. So hat beispielsweise Microsoft für den hauseigenen Cloud-Dienst Azure das "Azure IP Advantage"-Programm entwickelt, das auf verschiedenen Ebenen umfassenden Schutz und Unterstützung bietet.
Das Programm soll einerseits Klagen gegen Cloud-Kunden von vornherein verhindern oder, wenn dies nicht gelingt, nachträglich abwehren. Vorbeugend arbeitet Microsoft mit einer innovativen rechtlichen Konstruktion, die als "Springing Licence" bezeichnet wird. Damit will man den oben beschriebenen "Patent-Trollen" die Grundlagen ihres Geschäftsmodells so weit wie möglich entziehen. Falls sich ein Rechtsstreit dennoch nicht vermeiden lässt, wird der Azure-Kunde sowohl finanziell als auch durch die Bereitstellung von geschützten Rechten bei der Abwehr der Klage unterstützt.
Ähnliche Lösungen bieten auch andere Anbieter an, die jedoch teilweise nicht so weit gehen. So hat beispielsweise Amazon für die Amazon Web Services (AWS) im Juni 2017 seine Geschäftsbedingungen geändert und bietet nun auch Schutz und Unterstützung bei Patentverletzungen an, eine Nicht-Angriffs-Klausel hinsichtlich der Patente zu Lasten der Kunden wurde gestrichen.
Dies stellte sich zuletzt als vorteilhaft im Rahmen von Rechtsstreitigkeiten dar. Für die Google Cloud Services gibt es nach aktuellen Erkenntnissen noch keine vergleichbaren Patent-Lizenzierungs-Regelungen und Open Source Software ist explizit von eventuellen Regelungen ausgenommen.
Zusammenfassung und Ausblick
Vor dem Einsatz von Cloud-Lösungen sollten Unternehmen deshalb genau prüfen, welche Haftung und welche Abwehrstrategien die jeweiligen Cloud-Anbieter zur Verfügung stellen, denn Unternehmen im Digitalisierungsprozess sind im Zusammenhang mit Patent- und Urheberrechten verschiedenen Risiken ausgesetzt. Grundsätzlich sollten die Cloud-Anbieter aktiv werden und die Rechte ihrer Kunden stärken. Das entbindet die Unternehmen allerdings nicht davon, eigene Verteidigungsstrategien zu entwickeln.
Dazu kommt, dass Unternehmen selbst immer mehr Produkte und Softwarelösungen einsetzen, bei denen es zu IP-Problemen kommen kann. Vielerorts gibt es dazu noch kaum Erfahrungen und wenige Lösungen. Strategien zur Risikominderung und zur Abwehr von Klagen sind also gefordert, denn Prozesskosten und Schadensersatzforderungen können besonders kleine und mittlere Unternehmen existenziell gefährden.
Beim Thema Cloud-Dienste und Risiko-Absicherung müssen die Unternehmen abwägen, wie viel Aufwand sie selbst in die Verteidigung investieren können und wollen. Eventuell ist es sicherer und kosteneffizienter, Lösungen einzusetzen, die eigene Sicherheitsmaßnahmen beinhalten. Bei der Auswahl von Cloud-Diensten sollten deshalb neben Funktionalität und Service die angebotenen Absicherungen von IP-Risiken als Auswahlkriterien ebenfalls Berücksichtigung finden.