Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Katastrophen- und Notfallpläne für den Mittelstand

Wie überlebt Ihr Unternehmen einen Katastrophenfall? - Business Continuity und Disaster Recovery

Autor: Philipp Schaumann - stark erweiterter Auszug aus dem 2. Band des "Eisbergbuches" - Sicherheitsmanagement und das Eisbergprinzip.

Die Unterkapitel

Die Begriffe Katastrophenplan/Notfallplan, oder auch Desaster Recovery und Business Continuity und werden oft verwechselt oder vermischt gebraucht. Business Continuity ist ein breiteres Thema. Business Continuity sollte alle Themen behandeln, die die kontinuierliche Weiterführung des Geschäftsbetriebes gefährden könnten. Dies sind eben nicht nur Katastrophen, sondern auch ganz simple Managementfehler wie z.B. Marktverluste durch fehlende Innovation und falsches Cash Management. Dabei sollte ich natürlich von einer Risikoanalyse ausgehen, da diese mir eine möglichst vollständige Liste der Bedrohungen liefert.

Bei Desaster Recovery geht es um die Vorsorge gegen alle Bedrohungen, die aus dem Eintreten einer Katastrophe entstehen können. Dies können Naturkatastrophen sein wie Feuer, Wasser oder technische Katastrophen, wie der Ausfall von Geräten oder der Versorgung mit Strom und Wasser, oder auch Probleme, die durch Menschen verursacht werden, entweder durch Fehler, Nachlässigkeit oder sogar Vorsatz. Auch hier sollte natürlich eine Risikostudie bei der Definition der Gefährdungsszenarien die Grundlage sein.

Ein weiteres Gebiet sind Katastrophen, bei denen die Bedrohung nicht im technischen Bereich, sondern eher im Marketingbereich angesiedelt sind. Damit meine ich Probleme, wie z.B. die Erkrankung belgischer Kinder in 1999 nach dem Genuss von Coca Cola und die Entdeckung von Benzenen in den Wasserflaschen von Perrier in 1990. Auch wenn die im folgenden diskutierten Konzepte sich vom Schwerpunkt her auf andere Katastrophen konzentrieren, so hilft jedoch eine gute Katastrophenplanung auch bei Vorfällen dieser Art. Die Kommunikation mit der Öffentlichkeit muss immer ein integraler Bestandteil jedes Katastrophenplanes sein. Dies ist ein wichtiger Aspekt des Krisenmanagements.

Um sich gegen Katastrophen zu wappnen sollten alle Unternehmen einen Katastrophenplan erarbeiten und geeignete Vorsorgen treffen, damit die Schäden, die durch solche Probleme entstehen, vermieden oder zumindest minimiert werden. Welchen Umfang ein solcher Plan einnehmen sollte, hängt ganz von den jeweiligen Umständen ab. Bei einem Unternehmen, dessen Einnahmen von einer funktionierenden Produktion abhängen oder von einer kontinuierlich verfügbaren EDV, sollte der Plan ein Überleben des Unternehmens auch dann sicherstellen, wenn durch Katastrophen wie z.B. ein länger andauernder Stromausfall oder ein großes Feuer die EDV oder die Produktion zum Erliegen bringen.

Dabei sollte nach einem sinnvollen Schema vorgegangen werden:

1. Schritt: Analyse der Geschäftsprozesse und Setzen von Prioritäten

Zuerst wird untersucht, welche Ausfälle die wichtigsten und entscheidenden Geschäftszweige verkraften können (z.B. wie essentiell die Buchhaltung im Vergleich zum Verkauf wirklich ist). Mehr dazu unter Analyse des Schutzbedarfs.

Ein sehr hilfreiches Schema, das sich bei vielen Unternehmen mittlerer Größe im aktiven Einsatz bewährt hat, findet sich in dieser Vorlage für eine DR-Konzept Detailanalyse.

2. Schritt: Risikoanalyse für diese Bereiche

Für diese überlebenskritischen Geschäftsbereiche muss untersucht werden, welche Bedrohungen hier unterbrechend wirken können. Es muss untersucht werden, welchen Bedrohungen diese Geschäftsbereiche ausgesetzt sind und was gegen diese Bedrohungen jeweils unternommen werden kann. Dies ist ein Teil einer Risikoanalyse. Mehr zur Risikoanalyse befindet sich im separaten Kapitel. Dort befindet sich auch eine Übersicht über die wichtigsten Bedrohungen, die Sie bei Ihrer Analyse berücksichtigen sollten.

3. Schritt: Erarbeitung von Überlebenskonzepten

Für diese Geschäftsbereiche und deren Bedrohungen muss dann ein Plan erstellt werden, der die Unterbrechung des Geschäftsbetriebes für alle Katastrophenfälle auf ein Maß reduziert, das für das Unternehmen erträglich ist. Das kann für manche Firmen bedeuten, dass keinerlei Unterbrechung eintreten darf (was dann bei der Implementierung sehr teuer kommen würde), für andere hingegen sind ein paar Tage oder gar Wochen nicht so schlimm.

Das ist die eigentliche Erstellung des Katastrophenplanes. Der kann in Fällen, bei denen die ununterbrochene Verfügbarkeit z.B. der EDV von kritischer Bedeutung ist, darin bestehen, dass ein zweites Rechenzentrum möglichst weit vom Hauptrechenzentrum aufgebaut wird und dass die gesamte EDV doppelt vorgehalten wird. Natürlich müssen auch die Daten ständig zwischen den Standorten synchronisiert werden.

Die Abkürzung: zwei pragmatische Schritte für KMUs

Ein solches systematisches Vorgehen nach Lehrbuch ist zwar sinnvoll, aber für ein mittelständisches Unternehmen ist das in der Regel nicht erschwinglich und finanziell auch oft nicht zu rechtfertigen. Welchen Umfang meine Desaster Recovery Aktivitäten einnehmen sollen, hängt davon ab, welche Unterbrechung des IT-Betriebs sich Ihr Unternehmen leisten kann. Wenn die Anforderungen sehr hoch gesetzt werden, so muss ein Ausweichrechenzentrum an einem anderen Ort Tag und Nacht einsatzbereit sein. In diesen Fällen werden oft die gesamten Daten zeitgleich in das zweite Rechenzentrum gespiegelt. Dies ist natürlich ein kostspieliges Unterfangen und für KMUs vermutlich nicht unbedingt sinnvoll.

Für diese Unternehmen gibt es hier ein pragmatischeres Vorgehen aus zwei Schritten:

  • Implementierung einer verlässlichen, soliden Datensicherung, einschließlich Auslagerung der Sicherungsdaten
  • Minimierung der Auswirkungen und der Eintrittswahrscheinlichkeiten für die wichtigsten Bedrohungen

Die Datensicherung ist bei vielen Firmen (und Privatleuten) ein ziemlich düsteres Thema. Was würde Ihr Unternehmen wirklich tun, wenn ihre Daten verloren gingen? Dies ist absolut kein unwahrscheinliches Szenario, so etwas passiert immer wieder. Dies kann z.B. durch Ausfall einer Magnetplatte geschehen oder aber auch durch Unachtsamkeit eines Mitarbeiters. Und falls Sie das Zurückladen einer Datensicherung nie geprobt haben, besteht durchaus eine Wahrscheinlichkeit, dass es dann nicht gelingt. Immer wieder kommt es vor, dass nach einem solchen Fehler Daten verloren gehen. Auch Viren und Würmer können Daten zerstören, auch wenn dies bisher zum Glück eher selten vorkommt.

Die Kernregeln für einen minimalen Schutz

(aktualisiert 20.2.2005)

Diese Minimallösung soll sicherstellen, dass sie zumindest in der Lage sind, auch noch bei einem Totalverlust nach einiger Zeit den Geschäftsbetrieb (notfalls auch in anderen Räumen) wieder aufnehmen zu können. Dafür muss in der IT folgendes erfüllt sein:

  • Alle Daten werden regelmäßig gesichert. Tägliche Sicherung ist für ein Unternehmen in der Regel sinnvoll. Von diesen Sicherungen sollte zumindest eine der Sicherungen in jeder Woche mindestens für 4 Wochen aufgehoben werden.
  • Diese Sicherungen werden oft genug an einen entfernten Ort ausgelagert. Eine Sicherung pro Woche sollte auf jeden Fall außerhalb des Gebäudes aufbewahrt werden. Was hilft die beste Sicherung, wenn sie im Brandfall mit den Rechnern zusammen vernichtet wird?
  • Es liegen detaillierte Dokumentationen vor, mit deren Hilfe notfalls auch betriebsfremde Spezialisten Ihre IT wiederherstellen könnten (Cookbook-Details)
  • Es liegen Unterlagen vor, mit deren Hilfe notfalls die gesamte IT-Ausstattung und alle anderen Maschinen neu gekauft werden könnten. Dazu gehören z.B. Modell-Informationen, Kontaktadressen der Lieferanten und auch der Versicherung, die hoffentlich das nötige Geld zur Verfügung stellt
  • Es liegen am Auslagerungsort auch die Installationsmaterialien (CDs, Magnetbänder, Dokumentationen, Lizenzinformationen, Telefonnummern von Kundendiensten, Kundennummern oder andere Informationen, die die jeweilige Support-Hotline abfragen wird), Systempassworte (in verschlossenen Umschlägen)
  • Die Dokumentation und die Abläufe sind getestet worden und haben diesen Test bestanden. Das Zurückladen der Sicherungen muss auf jeden Fall getestet werden. Viele Unternehmen haben nach der Katastrophe entdeckt, dass sie entweder die Sicherungsdaten nicht lesen konnten oder aber, dass die Daten zwar wiederhergestellt waren, aber die Datenbank in einem inkonsistenten und nicht wirklich nutzbaren Zustand war (Sicherungen von Datenbanken sind nur mit spezieller Software oder aber im inaktiven Zustand möglich)
  • Ausgelagerte Daten und Dokumentationen sind auf dem aktuellen Stand

Wenn ein Unternehmen solche Datensicherungen an einem sicheren Ort aufbewahrt, so kann auch nach einem Totalverlust von EDV oder sogar des Gebäudes an einem anderen Ort, mit neuen Geräten, zumindest wieder mit den alten Daten weitergearbeitet werden. Die Kundenlisten sind noch da, und die Verträge und anderen Unterlagen (sofern das Unternehmen klug genug war, diese einzuscannen und auch über die EDV zu sichern).

Der vorbeugende Schutz vor Katastrophen

Natürlich ist es nicht möglich, sich 100% vor jeglichen Katastrophen zu schützen, das weiß jeder. Aber trotzdem kann man die Auswirkungen von Katastrophen minimieren und gleichzeitig die Eintrittswahrscheinlichkeiten reduzieren.

Um der EDV einen Grundschutz zu verpassen müssen neben der bereits erwähnten Datensicherung folgende 4 Schritte beachtet werden:

  • Jede Verbindung nach außerhalb des Unternehmens, so z.B. zum Internet, muss durch eine Firewall abgesichert werden. Eine Firewall schützt gegen viele, aber leider nicht gegen alle Angriffe aus dem Internet. Das Firmennetz kann man durch eine sog. Hardware Firewall schützen, PCs, die manchmal auch direkt am Netz hängen, brauchen eine sog. "Personal Firewall", das ist eine Software (die braucht auch jeder Privatrechner, der manchmal mit dem Internet verbunden ist)
  • Jeder Rechner muss über einen Virenschutz verfügen. Dieser Virenschutz muss täglich aktualisiert werden, was heute bei fast allen Programmen automatisiert werden kann. (Verhandeln Sie mit dem Anbieter der Virensoftware, oft ist es möglich, dass gegen geringen Aufpreis die Mitarbeiter die Software auch zu Hause einsetzen können, dann bringen die Mitarbeiter keine infizierten Dateien von zu Hause mit)
  • Alle heute verwendeten Programme haben Schwachstellen, die nach und nach entdeckt werden und die von Hackern für Angriffe ausgenutzt werden. Die Hersteller der Software bieten Programmaktualisierungen an (sog. Updates oder Patches), die regelmäßig auf allen betroffenen Systemen installiert werden müssen
  • Der vielleicht wichtigste Punkt ist nicht-technisch: Sorgen Sie dafür, dass Ihre Mitarbeiter richtig informiert werden, damit sie z.B. nur auf E-Mail-Anhänge (Attachments) zu klicken, wenn die Mitarbeiter von diesem Absender wirklich eine Datei erwarten. Heute reicht es nicht mehr aus, nur solche Anhänge zu öffnen, deren Absender man kennt. Die Absender solcher Mails sind heute meist gefälscht. Viele Angriffe funktionieren, weil ein einziger Mitarbeiter unvorsichtig ist. Mehr Hintergrund dazu gibt es in den Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones.

Gesucht sind kreative Lösungen

Um die Auswirkungen einer Katastrophe zu reduzieren sind oft kreative Lösungen am besten. Was dabei geeignet ist, hängt von der individuellen Problemstellung im jeweiligen Unternehmen ab. Hier einige Ideen:

Laptops als Backup Rechner

Diese haben im Katastrophenfall eine ganze Reihe von Vorteilen:

  • bei Stromausfall laufen sie erst mal einige Stunden einfach so weiter,
  • sie können auch bei einer schnellen Gebäudeevakuierung mitgenommen werden und sie sind überall einsetzbar.

Wenn Sie es schaffen, dass einige Ihrer kritischen Anwendungen auch lokal auf den Laptops ausgeführt werden können, dann können z.B. Ihre Verkäufer weiterhin im Außendienst Beratungen durchführen und Aufträge entgegennehmen

Vereinfachung von Anwendungen

Manchmal ist es sinnvoll, neue Funktionen nicht in die bereits vorhandenen monolithischen Anwendungen aufzunehmen, sondern bewusst separat zu halten. Auf diese Weise kann man diese Anwendungen auch auf Laptops ausführen die vom Firmennetz getrennt sind (z.B. wenn die EDV nicht mehr zur Verfügung steht). Voraussetzung ist, dass nicht unbedingt auf tagesaktuelle Daten zugegriffen werden muss, wenn es z.B. reicht, wenn die Daten regelmäßig aktualisiert werden. Beispiele dafür sind Preislisten, Angebotstexte und -kalkulationen, Konfigurationshilfen und die Vertragsunterlagen der Kunden.

Ausnützen von bereits vorhandenen Außenstellen

Wenn ein Unternehmen bereits an mehreren Standorten vertreten ist, so bietet es sich oft an, diese räumliche Verteilung als Basis für einen Katastrophenschutz zu benützen. Richten Sie in diesem Fall nicht die gesamte EDV an einem Standort ein, sondern verteilen Sie diese auf zwei Standorte. Auch wenn Sie nicht alles doppelt vorhalten, so kann aber doch mit Hilfe des zweiten Standorts in erheblich kürzerer Zeit ein EDV-Betrieb wiederhergestellt werden. Der zweite Standort kann auch ein idealer Platz für die ausgelagerte Datensicherung sein.

Recovery im Internetcafé

Wenn Sie in der Lage sind, die EDV auf 2 Standorte verteilen zu können, so haben Sie eventuell immer noch das Problem, dass bei einem Verlust des Gebäudes keine Arbeitsplätze für Ihre Mitarbeiter vorhanden sind. Wenn die wichtigen Anwendungen auch über das Internet nutzbar sind, so können Sie eines der vielen Internetcafés anmieten und Ihre Mitarbeiter von dort aus mit der verbliebenen EDV arbeiten lassen.

Auslagern des Problems

Eine weitere Möglichkeit ist, die kritischen Anwendungen extern betreiben zu lassen. In diesem Fall muss aber darauf geachtet werden, dass der Vertrag mit diesem Anbieter wirklich eine sog. Hoch-Verfügbarkeit vorsieht. Das heißt, in diesem Fall muss der Anbieter der Dienstleistung dafür sorgen, dass auch im Katastrophenfall die Anwendung weiterhin zur Verfügung steht. Aber für einen großen Anbieter ist es natürlich viel ökonomischer, zwei Rechenzentren, eigene Dieselgeneratoren und ähnliches vorzuhalten. Wichtig ist aber, dass Sie diese Anwendungen auch dann noch nützen können, wenn ihr Geschäftsgebäude nicht mehr besteht, zum Beispiel von einem Internetcafé oder einer Zweigstelle aus.

Partner in der Not

Es kann sinnvoll sein, eine andere Firma, z.B. eine Tochterfirma oder Partnerfirma zu suchen, die eine ähnliche Ausstattung hat und mit der man vereinbaren kann, dass im Katastrophenfall deren EDV mitgenutzt werden kann. Natürlich müssen dann entsprechende Vorkehrungen getroffen werden. Zum Beispiel müssen Ihre Daten bei dieser Firma zur Verfügung stehen. Und wie für alle Katastrophenpläne ist es ganz wichtig, dass das Katastrophenszenario vorher geübt wird, am besten einmal im Jahr.

Manuelle Mittel

In vielen Fällen ist es möglich, im Notfall wieder zu der herkömmlichen Vorgehensweise zurückzukehren, so wie diese Arbeit vor der Einführung der EDV getan wurde. Auch dies muss aber entsprechend vorbereitet werden. Das kann z.B. bedeuten, dass die entsprechenden Formulare noch zur Hand sein müssen, dass die notwendigen Daten auch auf Papier vorliegen und dass die Mitarbeiter weiterhin in der manuellen Durchführung der Arbeiten geschult werden.

Ein paar weitere Gedanken

Wenn ein Unternehmen Standardhardware einsetzt, so ist eine Wiederbeschaffung nach einem Totalverlust, sei es durch Wasser oder Feuer, auf jeden Fall einfacher, als wenn Systeme eingesetzt werden, die auf dem Markt nur schwer und mit langen Lieferfristen zu beschaffen sind.

Im Softwarebereich gilt das gleiche: Standard-Anwendungen können auch von externen Leiharbeitskräften installiert und konfiguriert werden. Selbstentwickelte Anwendungen bedeuten nicht nur im Katastrophenfall eine unschöne Abhängigkeit von der Verfügbarkeit des eigenen Personals, sondern stellt auch im Normalbetrieb eine Abhängigkeit dar, die bei einem Personalwechsel zu Problemen führen kann.

Programme, die speziell für Ihr Unternehmen entwickelt wurden, bedürfen einer besonderen Aufmerksamkeit. Wenn Sie den Quellcode der Programme selbst haben, bewahren Sie diesen sehr gut geschützt auf, z.B. durch Brennen auf eine CD und Auslagern in einen Tresor. Wenn die Programme durch eine Fremdfirma entwickelt wurden, so ist es wichtig, dass der Quellcode auch nach einem möglichen Konkurs dieser Firma noch zur Verfügung steht. Falls keine speziellen dahingehenden Verträge gemacht wurden, ist dieser Quellcode, der für eine Umstellung ihrer Anwendung auf eine neue Version der Systemsoftware nötig ist, meist automatisch Teil der Konkursmasse und damit nicht ohne neue Kosten verfügbar.

Wenn Sie bei den Diskussionen über den Katastrophenschutz feststellen, dass Ihr Unternehmen Anwendungen hat, die immer und ohne Unterbrechung zur Verfügung stehen müssen, so kann es sehr sinnvoll sein, für diese Anwendungen hochverfügbare Rechner einzusetzen. Dies geht mit sog. Clustern, bei denen zwei Rechner für diese Anwendung eingesetzt werden, so dass bei dem Ausfall des einen Rechners der andere die Arbeit weiterführen kann.

Jedes Unternehmen sollte prüfen, ob es offensichtliche Bedrohungen gibt, die leicht behoben oder gemildert werden können. Dies kann z.B. die Platzierung des Rechnerraums im Keller sein, wo leicht Wasser eindringen kann. Oder die Sprinkleranlage im Rechnerraum, die nie deaktiviert wurde und die bei Ausbruch eines Feuers mehr Schaden anrichten könnte, als das Feuer selbst (für Rechnerräume sollte man eine Feuerschutzanlage mit einem nichtbrennbaren Gas nutzen).

Die notwendigen Schritte für die KMUs

Zuerst muss sich die Geschäftsführung darüber im Klaren werden, wie viel Aufwand sie für den Katastrophenschutz für ihr Unternehmen für angemessen hält. Erst danach ist es möglich, konkrete Vorschläge für Maßnahmen zu erarbeiten. Dabei sollten aber grundlegende Schutzmechanismen wie Datensicherung und der Grundschutz im Bereich der EDV nicht zur Debatte stehen.

Dann sollte ein kleines Team eingesetzt werden, dass mögliche Lösungsvorschläge erarbeitet (Vorschläge weiter vorn). In allen Fällen ist es wichtig, dass nach der Implementierung der Maßnahmen diese auch gut dokumentiert und dann getestet werden. Diese Tests müssen bei größeren Änderungen auch wieder getestet werden. Und die Dokumentation sollte so detailliert sein, dass zum Beispiel ein Wiederherstellen der Anwendungen und der Datenbanken mit Hilfe der Datensicherungen auch dann möglich ist, wenn alle eigenen EDV-Mitarbeiter, aus welchen Gründen auch immer, nicht zur Verfügung stehen.

Weiters ist es wichtig, dass ein Notfall- und Alarmplan vorliegt, der die privaten Kontaktmöglichkeiten aller wichtigen Mitarbeiter des Rechenzentrums und der Geschäftsleitung enthält. Dieser Plan muss auch im Katastrophenfall noch zugänglich sein.

Ein weiteres wichtiges Thema ist der Versicherungsschutz. Es ist möglich, sich gegen alle möglichen Katastrophen zu versichern. Dabei ist es jedoch wichtig, auf das Kleingedruckte zu achten, was nämlich alles nicht mitversichert ist. Außerdem gibt es bei der Frage des Selbstbehalts weite Gestaltungsmöglichkeiten. Ein hoher Selbstbehalt senkt die Prämien erheblich. Dies kann durchaus eine sinnvolle Strategie sein: Absichern der wirklich großen Katastrophe und eigene Kostenübernahme für die kleinen Katastrophen.

Zusammenfassung - Positive Nebeneffekte der K-Planung

Die Erstellung eines Katastrophenplans kann eine ganze Reihe von positiven Nebeneffekten für ein Unternehmen haben. So ändert sich durch die Beschäftigung mit diesen Fragen und die Kommunikation der Problematik innerhalb des Unternehmens bei vielen Mitarbeitern das Bewusstsein für diese Problematik. Es werden dann oft Sicherungs- und Schutzmaßnahmen ergriffen, die auch im laufenden Normalbetrieb sehr positiv sein können.

So kann es z.B. sein, dass das Management erkennt, dass es bei den Mitarbeitern in einigen Bereichen Engpässe im Know-how gibt. Solche Abhängigkeiten von einzelnen Mitarbeitern sind auch ohne dass eine Katastrophe eintritt für jedes Unternehmen eine Bedrohung, so z.B. im Krankheitsfall (und niemand kann ausschließen, dass bei einer SARS-ähnlichen Epidemie (oder einer gefährlichen Grippewelle) große Teile der Belegschaft unter Quarantäne gestellt werden.

Ein wichtiger Aspekt ist immer die Verbesserung und das Austesten der Datensicherung, die auch im Normalbetrieb für den sicheren Betrieb der EDV-Systeme unumgänglich ist, ebenso wie die Verbesserung der Dokumentation der Installation und der Anwendungen.

Das heißt, es gibt viele gute Gründe, sich über einen Katastrophenplan so schnell wie möglich einige Gedanken zu machen.

 

Weiterführende Themen und Literatur

Vom deutschen BSI gibt es einen Draft-Standard zu Notfallmanagement (pdf). Das entsprechende Dokument gibt es auch bei der US-Katastrophenschutzorganisation FEMA, es heißt FEMA NFPA 1600 (pdf) und im Britsh Standard BS25999-1 "Business Continuity Management" (kostenpflichtig :-( ).

Wenn etwas passiert ist was nicht gleich das Unternehmen gefährdet, so ist es aber trotzdem gut, wenn überlegt darauf reagiert wird. Das läuft unter Vorfallbehandlung. Dort gibt es auch Links auf entsprechende Standards.

Notfallplanung sollte immer Teil einer umfassenden Sicherheitskonzepts sein, mehr dazu unter Informationssicherheit und das Eisbergprinzip.

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.