Keine Ahnung was die Quelle ist, klingt aber prinzipiell plausibel. Jetzt frage ich mich halt welcher Prozentsatz davon wiederum auf die verschwunden gegangenen Firmengeheimnisse entfällt und wie viel davon wiederum Entwicklern angelastet werden kann?! Gibt's dazu auch aussagekräftige Zahlen?

Klar, soziale Probleme mit technischen Maßnahmen "erschlagen" ist bekanntlich ein Lieblingsthema der inkompetentesten IT-Abteilungen. Firmen schulen ihre Mitarbeiter zwar in Arbeitssicherheit und dazu was zu tun ist wenn der Feueralarm losgeht, meist mindestens jährlich, aber Schulung der Mitarbeiter in Grundlagen der IT-Sicherheit durch die IT-Abteilungen ist ein Unding, weil das Kontakt der IT mit echten Menschen erfordern würde; und eine Behandlung der Benutzer die nicht "von oben herab" und abschätzig den "LUsern" gegenüber ist, sondern Wissensvermittlung auf Augenhöhe und Offenheit für Rückmeldungen auch von Laien erfordert.

Und das sage ich ausdrücklich als ehemaliger Admin der jetzt nicht gerade die große Leuchte im Umgang mit Leuten (also keine "people person") ist, der aber gelernt hat, daß IT-Sicherheit durch technische Maßnahmen nur marginal verbessert wird, durch Wissenstransfer zu den "Anwendern" hingegen fundamental.

Bin ein großer Verfechter des Zero-Trust-Ansatzes in internen Firmennetzen. Aber wenn für alle möglichen Autoritätspersonen innerhalb der Firmenhierarchie ohnehin Extrawürste gebraten werden (weil die ihre "Managerkarte" zücken), ist das eben kein Zero-Trust und fällt auseinander bevor es zusammengebaut ist. Oder anders ausgedrückt: du kannst zwar deine "Bodentruppen" (die Entwickler) mit Scheinsicherheit gängeln, aber wenn die sehen, daß das Scheunentor woanders offen gelassen wird, schwindet die Akzeptanz für solche Maßnahmen ganz schnell. Dazu haben die meisten Entwickler zu viel Einblick in die Materie ... und mindestens deutlich mehr als die Buchhalterin oder der Assistent des Geschäftsführers.

Das Framing "wie man es technisch umsetzen kann" ist genau der Punkt den ich bemängele. Wenn dich jemand fragt wie er am besten mit nem Hammer das Bücherregal an der Leichtbauwand festschraubt empfiehlst du doch auch nicht besonders fest draufzuhauen oder lieber einen Drittanbieterhammer zu benutzen, oder?

Die stärkste Kette ist nur so stark wie ihr schwächstes Glied.

Und klar, nix dagegen das zu trennen (separates Repo wurde ja schon genannt). Absolut nicht. Besonders wenn man Praktikanten/Werksstudenten im Hause hat, möchte man da sicher eine Abstufung des Zugriffs auf die "Kronjuwelen". Diese Abstufung klang im Beitrag eingangs aber nicht an. Und wenn der Zugriff auf das Repo mit dem "Cola-Rezept" eingeschränkt ist und ein Mock während der Entwicklung existiert braucht es eben keine Schlangenöllösung.

Jein, es ist ist in diesem Umfeld erstens ein sehr großes Problem, das vor Gericht
ohne jeden Zweifel zu beweisen.

Wissen über Prozessdetails bzw Anklage des Mißbrauchs sind ohne umfassendes Patent
nicht wirklich erfolgreich einklagbar. Und zumindest in Deutschland wirst nicht
mit vertretbarem Aufwand ein Patent für deine Software bekommen.

Jeden externen, der per reverse engineer deine Software komplett analysiert
und sich dann auf deine Verfahren und apis drauf setzt, wirst du auch nur
sehr begrenzt verklagen können, gpl etc. hin oder her, warum sollte er deine
Sourcecodes benutzen. Vielleicht ist es ja auch deine Schuld, das deine API
zu banal ist und schon ist da kein klarer Sieger mehr sichtbar.

Da kannst du ansonsten sehr viel gutes Geld dem verlorenen schlechten Geld
hinterher schmeißen und am meisten freuen sich die Anwälte, die am Ende
im Vergleichsverfahren ihr volle Kohle von beiden Parteien bekommen und
gewonnen hast du gar nichts.

Recht haben und Recht bekommen sind zwei völlig verschiedene Baustellen.

Tendenziell gehöre ich eher dem „Vertrauen muss sein und ob sich der Aufwand lohnt?“-Lager an. Aber jetzt habe ich einmal zu oft „Konkurrenz“ gelesen
Die gibt es und die sind teils ernsthaft bemüht. Aber egal….

Bei einem ehemaligen Arbeitgeber gab es einen Kollegen, der irgendwann gehen musste (div. Gründe aber eigentlich alles ganz friedlich). Einige Monate später meldete sich ein Kunde beim Support. Dieser Kunde war nur nicht unser Kunde.

Der Kollege hat sich den gesamten Source mitgenommen und damit selbständig gemacht. Da er nicht sehr bemüht war, den Produkt- und Firmennamen auszutauschen, hat er einige Stellen übersehen. So kam sein Kunde auf uns. Anstatt den Rechtsweg zu gehen, haben wir uns einfach bei ihm gemeldet… Wozu gleich den großen Stress (Rechtsmittel)? Holger hat es geschrieben, so einfach ist es nicht immer. Und selbst wenn es für einen glücklich ausgeht, du verlierst unglaublich viel Zeit und musst entsprechenden Aufwand betreiben.

Fazit: Es muss nicht immer die Konkurrenz sein (gut, in dem Fall doch irgendwie ) oder ein Plan dahinterstecken. Es kann schon die Gelegenheit reichen. Mit einem kleinen Stolperstein kann man sich ggf. Ärger ersparen.

Eine ähnliche Geschichte kenne ich von einem Vertriebler. Es scheint so als ob es bei Vertriebsmitarbeitern Usus ist die Kundendatenbank von einer Firma zur nächsten mitzuschleppen. Aber nicht nur die Kunden die man vielleicht bereits selbst mitgebracht hat, sondern eben alle. Bei der besagten Firma war man so clever einen unechten Kunden mit Kontaktdaten und allem drum und dran einzufügen. Und siehe da, einer der ehemaligen Vertriebler war doof genug da anzurufen. Klingt recht ähnlich. Stolperdraht ausgelegt ... in die Falle gegangen.

Ich weiß nicht. Stolpersteine sind ja ganz nett. Aber wenn ein Entwickler schon zu doof ist mit einem ordentlichen Suchwerkzeug alle Strings aufzutreiben und gleichzeitig genügend kriminelle Energie hat den Quelltext überhaupt mitzunehmen und den anschließend noch zu verwenden, kann man sich fragen ob es nicht ausreicht ne DCU in Binärform ins Repo einzuchecken (statt weiterer Verschleierung). Und selbst mit Verschleierung hat irgendjemand eben doch Zugriff auf das eigentliche Repo mit dem "Cola-Rezept" im Klartext. Wenn das einzig der Chef/Firmeneigner ist und der Ahnung von der Materie hat, geht das noch. Aber das skaliert nicht. In den meisten Firmen wird "Ahnung von der Materie" delegiert und dann verschiebt sich nur immer weiter wem du meinst mißtrauen zu müssen.

Aber was juckt mich anderer Leute Firmenphilosophie. Ich habe meine Argumente dargelegt und ob die in der gleichen Schlußfolgerung münden, welche ich ziehen würde, kann ich ohnehin nicht beeinflußen.