Wenn ich wirklich etwas entwickel was ich später verkaufen möchte dann würde ich den Code auch niemals auf fremden Servern hosten. Schon gar nicht wenn Leute meinen Source sehen/runterladen können. Da ist ein eigener SVN/GIT Server auf einem (V-)Server wahrscheinlich sicherer, oder man baut sich lokal ein kleines System im Heimnetzwerk.

Mal abgesehen davon, dass die NSA bestimmt leichter an die Daten eines virtuellen Servers eines deutschen Massenhosters als eines australischen, darauf spezialisierten Produkthosters kommt.

Sollte sich der Sachverhalt derart darstellen, dann kann die Schöpfungshöhe nicht gewaltig gewesen sein (keine Patente oder sonstige Schutzmaßnahmen vorhanden). Und dann stelle ich mir die Frage, ob jemand sich dann wirklich die fragwürdige Mühe macht, sich auf illegalem Wege Deine Quellen zu besorgen (was immer ein gewisses Risiko birgt und auch nicht ganz billig sein dürfte) oder er die fragliche Funktionalität nicht in einem Niedriglohnland einfach neu entwickeln lässt.

Nur um das noch einmal zu betonen: wir reden hier von Australien.

Mein Reden. Wenn sicher, dann bitte nicht bei einem Online-Hoster.

Warum nicht? Hierzulande hosten ganze Versicherungsunternehmen sensibelste Vertragsdaten in von fremden (amerikanischen!) Firmen betriebenen Rechenzentren... http://www.cio.de/a/allianz-riesen-o...an-ibm,2948015

Naja, irgend jemand muss ja mit dem Source auch arbeiten, oder nicht?

Wenn ich "Heimnetzwerk" höre, dann stellen sich mir alle Nackenhaare auf. Sicherlich hast Du in Deinem "Heim" auch einen Hochsicherheitstrakt, der 24/7 bewacht, gegen Naturkatastrophen geschützt und mit einem ausgefeilten Zugangskontrollsystem versehen ist?

Was zu bezweifeln wäre. Die Australier sind auch nicht gerade bekannt dafür, viel auf die Privatsphäre ihrer Bürger zu geben. Und die Kooperation des BND mit der NSA ist bei weitem nicht so eng und ausgiebig wie die des ASD. (Stichwort 5 eyes)

Was noch lange nicht heißt, dass es eine gute Idee ist.

Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante - vorausgesetzt man weiß was man tut. Man braucht auch keinen 24/7 bewachten Sicherheitstrakt. Ein Angriff auf ein ordentlich eingerichtetes Heimnetzwerk ist nur durch eine gezielte Operation machbar, die deutlich mehr Ressourcen verbraucht als ein Brief an deinen Hoster. Und vor allem: Gezielte Angriffe skalieren schlechter als Briefe.

Tatsächlich ist bei einem Heimnetzwerk das Risiko eines Brandschadens und damit vollständigen Datenverlusts ungleich höher als die Wahrscheinlichkeit auf einen gezielten Industriespionageangriff durch die NSA auf einen Hoster.

Wenn die Sourcen so wertvoll sind, dann lohnt sich der physische Angriff viel eher und ist bei einem "Heimnetzwerk" wesentlich leichter (und auch viel schwerer nachzuweisen). Als wenn die NSA einen Brief an den Hoster schickt à la "bitte Sourcen von xyz GmbH zum Zwecke der nationalen Sicherheit aushändigen".

Ich habe den Eindruck, dass die wenigsten, die sich hier äußern, überhaupt schon einmal mit Industriespionage zu tun hatten. Der USB-Stick (gerne auch eine Micro-SD-Card), den ein Mitarbeiter für einen luxuriösen dreiwöchigen Urlaub in der Karibik für die ganze Familie mal irgendwo in einem Bistro nach einem (natürlich bezahlten) Abendessen mit dem befreundeten Entwickler des Mitbewerbers aus der Nachbarstadt "zufällig" auf dem Tisch liegen lässt, ist die viel konkretere Gefahr. Die will der "German Angsthase" aber nicht sehen und investiert Zeit und Geld in zweifelhafte Schutzmechanismen für Quellcode gegen Datendiebstahl durch ausländische Geheimdienste, aber knausert an den Gehältern der und den Incentives für die Mitarbeiter.

Auf besagtem USB-Stick ist dann übrigens viel mehr als nur der Quellcode - ein Backup der Kundendatenbank und der Finanzbuchhaltung sowie der archivierten Verträge passt da sehr gut auch noch drauf...

Da würde mich Interessieren woher du die Zahlen dafür hast. Risiko für Wohnungsbrände kann man berechnen, aber wie misst du die Wahrscheinlichkeit auf einen Angriff auf einen Hoster?

Gezielte Angriffe sind mit hohem Aufwand verbunden. Guck einfach mal was betrieben wurde, um Gemalto zu hacken. Und: Hacks sind sehr oft nachweisbar. Im Gegensatz zu Briefen an einen Hoster, die dann höchstwahrscheinlich mit Gag-Order versehen werden. Dann kanns gut sein, dass nie jemand davon erfährt.

Ich dreh mal die Frage um: Wieviel hast du denn mit Industriespionage zu tun?
Von meiner Seite kann ich sagen, dass ich in einem Unternehmen arbeite, bei dem man davon ausgehen kann, dass es bereits Ziel von Geheimdiensten war&ist. Ich bin dort zwar nicht in der Sicherheitsabteilung, aber man kriegt so manche Sachen trotzdem mit.
Und ja, es gibt immer auch das Risiko, dass ein Mitarbeiter gekauft wird. Das sollte aber genauso nachvollziehbar sein, und der entsprechende Mitarbeiter kann dafür auch rechtlich zur Verantwortung gezogen werden. Insgesamt ist das ein nicht zu vernachlässigender Angriffsvektor, der aber kein Grund ist, andere Angriffspotentiale zu ignorieren.

Zu dem Thema Brandstatistiken und Industriespionage möchte bzw. darf ich nur so viel sagen, dass ich aus meiner täglichen Arbeit durchaus vertraut mit solchen Themen bin.

Bitte komm aber noch mal auf die hier angesprochene Problematik zurück:

Wenn wir hier ein so dermaßen schützenswertes Gut haben, dass davon die Weltherrschaft abhängt, dann ist weder der virtuelle Server bei einem Massenhoster, noch ein kommerzieller Git-Hoster, noch der Server im Keller ein probater Aufbewahrungsort.

Für den durchschnittlichen Klein(st)unternehmer bleibe ich aber dabei, dass ein darauf spezialisierter Hoster die (durchaus vorhandenen und berechtigten) Schutzbedürfnisse meist besser befriedigen kann als der Betrieb eines eigenen (virtuellen) Servers bei einem Massenhoster.

Und zu glauben, dass sich die NSA wirklich für die 1.654ste in Delphi geschriebene Vereinsverwaltung interessiert, ist einfach vermessen.

Aber ich gebe Dir Recht, dass natürlich jeder Angriffsvektor abgewogen und bewertet werden muss. Oft ist es halt eine Generalangst vor allem, die dann zu unüberlegten, viel gefährlicheren Handlungen führt.

Also gegen einen Server im Keller ist doch nichts einzuwenden, so lange der nur per VPN von aussen erreichbar ist. Auf diesen Server spielt man einen Apache und kann dann gleichzeitig das Wiki und das Web-Frontend des hg-Servers drüber laufen lassen. Super einfach, stabil und geschützt genug (wer ins Firmennetz eindringen kann, der hat es sich auch verdient an die Sourcen zu kommen).

Sherlock

Größtenteils kann ich dem beipflichten. Der Knackpunkt ist der, dass man bei Hostern davon ausgehen kann, dass sich Dritte Zugriff darauf verschaffen können. Eigene, individuelle Lösungen sind keineswegs 100% sicher, aber manchen (abhängig vom Setup) einen gezielten, nicht-skalierenden Angriff notwendig. Natürlich kann man dabei auch ordentlich verkacken, und eine offene Tür hinterlassen.

Das ja. Ein V-Server erbt die Problematik eines Hosters im Bezug auf rechtliche Zuständigkeit, PLUS das Risiko des eigenen SetUps. (War da nicht letzt auch mal was, dass zig-tausende MongoDBs wegen falschem Setup öffentlich zugänglich waren?)

Es hängt von der Anwendung, bzw. den Kunden ab. Eine gewisse Grundabsicherung sollte immer da sein. Aber um den Aufwand zu betreiben, sich gegen bestimmte Angriffe zu verteidigen, dann sollte auch das Risiko solcher Angriffe bestehen.

Full Ack. Es war auch durchaus korrekt, auf andere Angriffsvektoren (Wie eben korrupte Mitarbeiter) hinzuweisen - Das schlimmste das man tun kann ist, eine Sicherheitsvorkehrung zu treffen, und dann glauben, man sei vor allem sicher.


Es ist ein Aufwand, und kostet Ressourcen. Und wenn jemand wirklich dran will, wird der Laptop eines Mitarbeiters angegriffen.

Ja, man kann natürlich Kompetenz und KnowHow nach aussen werfen, und sich auf die "wichtigen" Dinge konzentrieren. Andererseits könnte der Chef auf den gleichen Gedanken kommen, und die Entwicklungsabetilung outsourcen. Wer keinen Apache zusammenklicken kann (und mehr muss man mit einer handelüblichen XAMPP-Installation wirklich nicht tun) und darauf kein DokuWiki (imho simpelstes Wiki überhaupt) und hg-Servlet drauf bekommt, der bekommt auch sonst in der IT nichts auf die Reihe. Für das VPN und die Unternehmensfirewall sorgt die hauseigene IT.

Sherlock

"Schuster, bleib bei deinen Leisten". Das gefährliche sind eben Leute, die meinen sich damit auszukennen, dann aber was zusammenklicken und davon ausgehen, dass es sicher sei. Wenns ne hauseigene IT gibt, dann setzt die das auf, und hat hoffentlich auch die entsprechenden Qualifikationen und Erfahrungen. Ansonsten ist ein externer Dienstleister mit dafür qualifizierten und erfahrenen Leuten trotz rechtlicher Verpflichtungen immernoch die sicherere Variante.