AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Source Code verschlüsseln

Ein Thema von OlliWW · begonnen am 7. Jun 2020 · letzter Beitrag vom 10. Jun 2020
Antwort Antwort
Seite 4 von 4   « Erste     234   
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#31

AW: Source Code verschlüsseln

  Alt 9. Jun 2020, 18:06
87% aller Informationssicherheitsverletzungen gehen von den eigenen Mitarbeitern aus ... und von den Wenigsten wissentlich bzw absichtlich.
Keine Ahnung was die Quelle ist, klingt aber prinzipiell plausibel. Jetzt frage ich mich halt welcher Prozentsatz davon wiederum auf die verschwunden gegangenen Firmengeheimnisse entfällt und wie viel davon wiederum Entwicklern angelastet werden kann?! Gibt's dazu auch aussagekräftige Zahlen?

Ich finde es daher schon sinnvoll, dass man _jedem_ Benutzer nur die notwendigsten Zugriffsrechte gibt.
Klar, soziale Probleme mit technischen Maßnahmen "erschlagen" ist bekanntlich ein Lieblingsthema der inkompetentesten IT-Abteilungen. Firmen schulen ihre Mitarbeiter zwar in Arbeitssicherheit und dazu was zu tun ist wenn der Feueralarm losgeht, meist mindestens jährlich, aber Schulung der Mitarbeiter in Grundlagen der IT-Sicherheit durch die IT-Abteilungen ist ein Unding, weil das Kontakt der IT mit echten Menschen erfordern würde; und eine Behandlung der Benutzer die nicht "von oben herab" und abschätzig den "LUsern" gegenüber ist, sondern Wissensvermittlung auf Augenhöhe und Offenheit für Rückmeldungen auch von Laien erfordert.

Und das sage ich ausdrücklich als ehemaliger Admin der jetzt nicht gerade die große Leuchte im Umgang mit Leuten (also keine "people person") ist, der aber gelernt hat, daß IT-Sicherheit durch technische Maßnahmen nur marginal verbessert wird, durch Wissenstransfer zu den "Anwendern" hingegen fundamental.

Bin ein großer Verfechter des Zero-Trust-Ansatzes in internen Firmennetzen. Aber wenn für alle möglichen Autoritätspersonen innerhalb der Firmenhierarchie ohnehin Extrawürste gebraten werden (weil die ihre "Managerkarte" zücken), ist das eben kein Zero-Trust und fällt auseinander bevor es zusammengebaut ist. Oder anders ausgedrückt: du kannst zwar deine "Bodentruppen" (die Entwickler) mit Scheinsicherheit gängeln, aber wenn die sehen, daß das Scheunentor woanders offen gelassen wird, schwindet die Akzeptanz für solche Maßnahmen ganz schnell. Dazu haben die meisten Entwickler zu viel Einblick in die Materie ... und mindestens deutlich mehr als die Buchhalterin oder der Assistent des Geschäftsführers.

Egal, wie sinnvoll Dir jetzt ein Cola-Rezept erscheint, aber die Firma hat es als schützenswert eingestuft und hier geht es darum, wie man es technisch umsetzen kann.
Das Framing "wie man es technisch umsetzen kann" ist genau der Punkt den ich bemängele. Wenn dich jemand fragt wie er am besten mit nem Hammer das Bücherregal an der Leichtbauwand festschraubt empfiehlst du doch auch nicht besonders fest draufzuhauen oder lieber einen Drittanbieterhammer zu benutzen, oder?

Wenn die Mitarbeiter an gewisse Information nicht kommen, können diese sie auch nicht unabsichtlich weitergeben (und wenn es "bloß" Ausspähen durch Schadsoftware ist).
Die stärkste Kette ist nur so stark wie ihr schwächstes Glied.

Und klar, nix dagegen das zu trennen (separates Repo wurde ja schon genannt). Absolut nicht. Besonders wenn man Praktikanten/Werksstudenten im Hause hat, möchte man da sicher eine Abstufung des Zugriffs auf die "Kronjuwelen". Diese Abstufung klang im Beitrag eingangs aber nicht an. Und wenn der Zugriff auf das Repo mit dem "Cola-Rezept" eingeschränkt ist und ein Mock während der Entwicklung existiert braucht es eben keine Schlangenöllösung.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Benutzerbild von IBExpert
IBExpert

Registriert seit: 15. Mär 2005
672 Beiträge
 
FreePascal / Lazarus
 
#32

AW: Source Code verschlüsseln

  Alt 9. Jun 2020, 19:15
Da kann ich dir von diversen Kunden und sogar von ehemaligen eigenen Mitarbeitern
durchaus interessante Geschichten erzählen, aber garantiert nicht hier ...

Es ist auch nicht so, das immer nur der unten in der Hierarchie das A...loch ist und mit
seinem Know How abhaut, oft ist es auch ein Wechsel in der Geschäftsführung, die den
Chefarchtekt hinter einer gesamten Softwarelösung in die Selbstständigkeit treiben
und warum sollte dieser sein Branchen Know How nicht woanders einsetzen, verträge
hin oder her ....
Du willst uns also allen Ernstes erklären, daß das BGB (Verträge) und Urheberrecht zahnlose Papiertiger sind?
Jein, es ist ist in diesem Umfeld erstens ein sehr großes Problem, das vor Gericht
ohne jeden Zweifel zu beweisen.

Wissen über Prozessdetails bzw Anklage des Mißbrauchs sind ohne umfassendes Patent
nicht wirklich erfolgreich einklagbar. Und zumindest in Deutschland wirst nicht
mit vertretbarem Aufwand ein Patent für deine Software bekommen.

Jeden externen, der per reverse engineer deine Software komplett analysiert
und sich dann auf deine Verfahren und apis drauf setzt, wirst du auch nur
sehr begrenzt verklagen können, gpl etc. hin oder her, warum sollte er deine
Sourcecodes benutzen. Vielleicht ist es ja auch deine Schuld, das deine API
zu banal ist und schon ist da kein klarer Sieger mehr sichtbar.

Da kannst du ansonsten sehr viel gutes Geld dem verlorenen schlechten Geld
hinterher schmeißen und am meisten freuen sich die Anwälte, die am Ende
im Vergleichsverfahren ihr volle Kohle von beiden Parteien bekommen und
gewonnen hast du gar nichts.

Recht haben und Recht bekommen sind zwei völlig verschiedene Baustellen.
Holger Klemt
www.ibexpert.com - IBExpert GmbH
Oldenburger Str 233 - 26203 Wardenburg - Germany
IBExpert and Firebird Power Workshops jederzeit auch als Firmenschulung
  Mit Zitat antworten Zitat
bepe

Registriert seit: 17. Okt 2006
119 Beiträge
 
#33

AW: Source Code verschlüsseln

  Alt 9. Jun 2020, 19:24
Tendenziell gehöre ich eher dem „Vertrauen muss sein und ob sich der Aufwand lohnt?“-Lager an. Aber jetzt habe ich einmal zu oft „Konkurrenz“ gelesen
Die gibt es und die sind teils ernsthaft bemüht. Aber egal….

Bei einem ehemaligen Arbeitgeber gab es einen Kollegen, der irgendwann gehen musste (div. Gründe aber eigentlich alles ganz friedlich). Einige Monate später meldete sich ein Kunde beim Support. Dieser Kunde war nur nicht unser Kunde.

Der Kollege hat sich den gesamten Source mitgenommen und damit selbständig gemacht. Da er nicht sehr bemüht war, den Produkt- und Firmennamen auszutauschen, hat er einige Stellen übersehen. So kam sein Kunde auf uns. Anstatt den Rechtsweg zu gehen, haben wir uns einfach bei ihm gemeldet… Wozu gleich den großen Stress (Rechtsmittel)? Holger hat es geschrieben, so einfach ist es nicht immer. Und selbst wenn es für einen glücklich ausgeht, du verlierst unglaublich viel Zeit und musst entsprechenden Aufwand betreiben.

Fazit: Es muss nicht immer die Konkurrenz sein (gut, in dem Fall doch irgendwie ) oder ein Plan dahinterstecken. Es kann schon die Gelegenheit reichen. Mit einem kleinen Stolperstein kann man sich ggf. Ärger ersparen.

mfg,
bp
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#34

AW: Source Code verschlüsseln

  Alt 10. Jun 2020, 00:53
Bei einem ehemaligen Arbeitgeber gab es einen Kollegen, der irgendwann gehen musste (div. Gründe aber eigentlich alles ganz friedlich). Einige Monate später meldete sich ein Kunde beim Support. Dieser Kunde war nur nicht unser Kunde.

Der Kollege hat sich den gesamten Source mitgenommen und damit selbständig gemacht. Da er nicht sehr bemüht war, den Produkt- und Firmennamen auszutauschen, hat er einige Stellen übersehen. So kam sein Kunde auf uns. Anstatt den Rechtsweg zu gehen, haben wir uns einfach bei ihm gemeldet… Wozu gleich den großen Stress (Rechtsmittel)?
Eine ähnliche Geschichte kenne ich von einem Vertriebler. Es scheint so als ob es bei Vertriebsmitarbeitern Usus ist die Kundendatenbank von einer Firma zur nächsten mitzuschleppen. Aber nicht nur die Kunden die man vielleicht bereits selbst mitgebracht hat, sondern eben alle. Bei der besagten Firma war man so clever einen unechten Kunden mit Kontaktdaten und allem drum und dran einzufügen. Und siehe da, einer der ehemaligen Vertriebler war doof genug da anzurufen. Klingt recht ähnlich. Stolperdraht ausgelegt ... in die Falle gegangen.

Mit einem kleinen Stolperstein kann man sich ggf. Ärger ersparen.
Ich weiß nicht. Stolpersteine sind ja ganz nett. Aber wenn ein Entwickler schon zu doof ist mit einem ordentlichen Suchwerkzeug alle Strings aufzutreiben und gleichzeitig genügend kriminelle Energie hat den Quelltext überhaupt mitzunehmen und den anschließend noch zu verwenden, kann man sich fragen ob es nicht ausreicht ne DCU in Binärform ins Repo einzuchecken (statt weiterer Verschleierung). Und selbst mit Verschleierung hat irgendjemand eben doch Zugriff auf das eigentliche Repo mit dem "Cola-Rezept" im Klartext. Wenn das einzig der Chef/Firmeneigner ist und der Ahnung von der Materie hat, geht das noch. Aber das skaliert nicht. In den meisten Firmen wird "Ahnung von der Materie" delegiert und dann verschiebt sich nur immer weiter wem du meinst mißtrauen zu müssen.

Aber was juckt mich anderer Leute Firmenphilosophie. Ich habe meine Argumente dargelegt und ob die in der gleichen Schlußfolgerung münden, welche ich ziehen würde, kann ich ohnehin nicht beeinflußen.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 4   « Erste     234   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:37 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz