vor dem Mitlesen hätte ich jetzt auch keine so große Angst (beim Quellcode), allerdings schon eher, dass sich jemand die Sourcen besorgt und damit zu meinem Auftraggeber marschiert und der mich in Grund und Boden verklagt... Und dann kannst Du lange und breit erklären, dass der Quellcode für sich keinen großen Wert hat - wird niemanden interessieren...

Klar kann man jedes Horrorszenario herbeidiskutieren. Ich bleibe aber dabei: ich halte ein Git-Hosting bei darauf spezialisierten (und vor allem davon lebenden) Anbietern nicht per se für unsicherer als auf einem virtuellen Server eines Massenhosters.

Ich kann mich an einen Fall bei einem unserer (früheren) Provider erinnern, wo auf Grund einer Fehlkonfiguration alle Ressourcen (also auch Festplatten) für alle Guests eines Hosts sichtbar waren. Der Fehler wurde erst nach Monaten bemerkt.

Oder wie viele VPN- oder SSH.Credentials mittels - natürlich unverschlüsselter - Email versendet werden.

Oder wie viele Festplatten in Firmen-Notebooks unverschlüsselt sind.

In unserer Firma kommen im Jahr ca. 5 Notebooks mit sensiblen Daten verlustig. Wenn die Daten darauf nicht hinreichend verschlüsselt wären, dann würde ich nervös werden. Aber doch nicht, weil ich meine Quellcodes auf BitBucket hoste.

Nehmen wir mal an, du entwickelst in jahrelanger Kleinarbeit eine Anwendung bis zur Marktreife und hoffst nun, Käufer zu finden, um davon leben zu können, verfügst aber nicht über ausreichende Mittel, um im großen Stil dafür zu werben. Inzwischen hat eine darauf spezialisierte Firma die Marktreife deines Produkts erkannt, sich die Sourcen via illegalem NSA-Kontakt* besorgt, das Ding kompiliert und via aufwendiger Produktreklame zigtausendfach verkauft, und zwar zu einem geringeren Preis, als du es auf deiner Firmenhomepage anbietest. Du kannst jetzt nicht einmal mehr beweisen, daß es sich um deine Sourcen handelt.

* Es ist bekannt, daß die NSA regelmäßig amerikanische Firmen dazu zwingt, Daten oder Keys an die NSA herauszugeben, und im Prinzp keine amerikanische Firma davor geschützt ist. Es wird auch vermutet, daß zahlreiche amerikanische Softwareprodukte über "Hintertüren" verfügen, um amerikanische Industriespionage zu ermöglichen.

Wenn ich wirklich etwas entwickel was ich später verkaufen möchte dann würde ich den Code auch niemals auf fremden Servern hosten. Schon gar nicht wenn Leute meinen Source sehen/runterladen können. Da ist ein eigener SVN/GIT Server auf einem (V-)Server wahrscheinlich sicherer, oder man baut sich lokal ein kleines System im Heimnetzwerk.

Mal abgesehen davon, dass die NSA bestimmt leichter an die Daten eines virtuellen Servers eines deutschen Massenhosters als eines australischen, darauf spezialisierten Produkthosters kommt.

Sollte sich der Sachverhalt derart darstellen, dann kann die Schöpfungshöhe nicht gewaltig gewesen sein (keine Patente oder sonstige Schutzmaßnahmen vorhanden). Und dann stelle ich mir die Frage, ob jemand sich dann wirklich die fragwürdige Mühe macht, sich auf illegalem Wege Deine Quellen zu besorgen (was immer ein gewisses Risiko birgt und auch nicht ganz billig sein dürfte) oder er die fragliche Funktionalität nicht in einem Niedriglohnland einfach neu entwickeln lässt.

Nur um das noch einmal zu betonen: wir reden hier von Australien.

Mein Reden. Wenn sicher, dann bitte nicht bei einem Online-Hoster.

Warum nicht? Hierzulande hosten ganze Versicherungsunternehmen sensibelste Vertragsdaten in von fremden (amerikanischen!) Firmen betriebenen Rechenzentren... http://www.cio.de/a/allianz-riesen-o...an-ibm,2948015

Naja, irgend jemand muss ja mit dem Source auch arbeiten, oder nicht?

Wenn ich "Heimnetzwerk" höre, dann stellen sich mir alle Nackenhaare auf. Sicherlich hast Du in Deinem "Heim" auch einen Hochsicherheitstrakt, der 24/7 bewacht, gegen Naturkatastrophen geschützt und mit einem ausgefeilten Zugangskontrollsystem versehen ist?

Was zu bezweifeln wäre. Die Australier sind auch nicht gerade bekannt dafür, viel auf die Privatsphäre ihrer Bürger zu geben. Und die Kooperation des BND mit der NSA ist bei weitem nicht so eng und ausgiebig wie die des ASD. (Stichwort 5 eyes)

Was noch lange nicht heißt, dass es eine gute Idee ist.

Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante - vorausgesetzt man weiß was man tut. Man braucht auch keinen 24/7 bewachten Sicherheitstrakt. Ein Angriff auf ein ordentlich eingerichtetes Heimnetzwerk ist nur durch eine gezielte Operation machbar, die deutlich mehr Ressourcen verbraucht als ein Brief an deinen Hoster. Und vor allem: Gezielte Angriffe skalieren schlechter als Briefe.

Tatsächlich ist bei einem Heimnetzwerk das Risiko eines Brandschadens und damit vollständigen Datenverlusts ungleich höher als die Wahrscheinlichkeit auf einen gezielten Industriespionageangriff durch die NSA auf einen Hoster.

Wenn die Sourcen so wertvoll sind, dann lohnt sich der physische Angriff viel eher und ist bei einem "Heimnetzwerk" wesentlich leichter (und auch viel schwerer nachzuweisen). Als wenn die NSA einen Brief an den Hoster schickt à la "bitte Sourcen von xyz GmbH zum Zwecke der nationalen Sicherheit aushändigen".

Ich habe den Eindruck, dass die wenigsten, die sich hier äußern, überhaupt schon einmal mit Industriespionage zu tun hatten. Der USB-Stick (gerne auch eine Micro-SD-Card), den ein Mitarbeiter für einen luxuriösen dreiwöchigen Urlaub in der Karibik für die ganze Familie mal irgendwo in einem Bistro nach einem (natürlich bezahlten) Abendessen mit dem befreundeten Entwickler des Mitbewerbers aus der Nachbarstadt "zufällig" auf dem Tisch liegen lässt, ist die viel konkretere Gefahr. Die will der "German Angsthase" aber nicht sehen und investiert Zeit und Geld in zweifelhafte Schutzmechanismen für Quellcode gegen Datendiebstahl durch ausländische Geheimdienste, aber knausert an den Gehältern der und den Incentives für die Mitarbeiter.

Auf besagtem USB-Stick ist dann übrigens viel mehr als nur der Quellcode - ein Backup der Kundendatenbank und der Finanzbuchhaltung sowie der archivierten Verträge passt da sehr gut auch noch drauf...