[...] Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante [...]
Tatsächlich ist bei einem Heimnetzwerk das Risiko eines Brandschadens und damit vollständigen Datenverlusts ungleich höher als die Wahrscheinlichkeit auf einen gezielten Industriespionageangriff durch die NSA auf einen Hoster.
Da würde mich Interessieren woher du die Zahlen dafür hast. Risiko für Wohnungsbrände kann man berechnen, aber wie misst du die Wahrscheinlichkeit auf einen Angriff auf einen Hoster?
Wenn die Sourcen so wertvoll sind, dann lohnt sich der physische Angriff viel eher und ist bei einem "Heimnetzwerk" wesentlich leichter (und auch viel schwerer nachzuweisen). Als wenn die NSA einen Brief an den Hoster schickt à la "bitte Sourcen von xyz GmbH zum Zwecke der nationalen Sicherheit aushändigen".
Gezielte Angriffe sind mit hohem Aufwand verbunden. Guck einfach mal was betrieben wurde, um Gemalto zu hacken. Und: Hacks sind sehr oft nachweisbar. Im Gegensatz zu Briefen an einen Hoster, die dann höchstwahrscheinlich mit Gag-Order versehen werden. Dann kanns gut sein, dass nie jemand davon erfährt.
Ich habe den Eindruck, dass die wenigsten, die sich hier äußern, überhaupt schon einmal mit Industriespionage zu tun hatten. Der USB-Stick (gerne auch eine Micro-SD-Card), den ein Mitarbeiter für einen luxuriösen dreiwöchigen Urlaub in der Karibik für die ganze Familie mal irgendwo in einem Bistro nach einem (natürlich bezahlten) Abendessen mit dem befreundeten Entwickler des Mitbewerbers aus der Nachbarstadt "zufällig" auf dem Tisch liegen lässt, ist die viel konkretere Gefahr. Die will der "German Angsthase" aber nicht sehen und investiert Zeit und Geld in zweifelhafte Schutzmechanismen für Quellcode gegen Datendiebstahl durch ausländische Geheimdienste, aber knausert an den Gehältern der und den Incentives für die Mitarbeiter.
Ich dreh mal die Frage um: Wieviel hast du denn mit Industriespionage zu tun?
Von meiner Seite kann ich sagen, dass ich in einem Unternehmen arbeite, bei dem man davon ausgehen kann, dass es bereits Ziel von Geheimdiensten war&ist. Ich bin dort zwar nicht in der Sicherheitsabteilung, aber man kriegt so manche Sachen trotzdem mit.
Und ja, es gibt immer auch das Risiko, dass ein Mitarbeiter gekauft wird. Das sollte aber genauso nachvollziehbar sein, und der entsprechende Mitarbeiter kann dafür auch rechtlich zur Verantwortung gezogen werden. Insgesamt ist das ein nicht zu vernachlässigender Angriffsvektor, der aber kein Grund ist, andere Angriffspotentiale zu ignorieren.