Schutz vor Softwarediebstahl

Hallo,

folgendes Szenario:

Großes Softwarehaus möchte vermeiden, dass dessen Entwickler Sourcecode stehlen. Es wird auf Citrix-Servern gearbeitet, damit entfällt das lokale Downloaden von Firmensoftware auf externe USB-Geräte, Firmenfirewall lässt nur HTTP(S) ausgehend zu, Emails nach draußen sind nicht möglich.

Wie sieht es aber mit Entwicklerforen aus dem WWW aus? Hier könnten die Entwickler des Softwarehauses Sourcecode per PN über den Browser in ein Forum kopieren. Wenn das Ganze dann noch über SSL/HTTPS geschieht, könnte die Nachvollziehbarkeit schwierig werden, zumal die PNs nicht öffentlich sind.

Gegenmaßnahmen / Firewall?

Schöne Grüße
Hackse
 
SSL Scanning, hierbei sind rechtliche Bedingungen zu beachten. z. B. darf die Auswertung nur durch die Maschine erfolgen. Außer ihr findet ein Schlupfloch.

Aber mal ganz ehrlich, wenn ihr euren Entwicklern nicht vertraut sucht euch neue. Eine gewisse Vertrauensbasis ist bei jedem Arbeitsverhältnis Grundvoraussetzung. Und wer möchte findet immer einen Weg den Code auszuschleusen.
Habt ihr denn jeden einzelnen webmail service gesperrt?

Wie wollt ihr verschlüsselten Code über z. B. HTTP GET Anfragen blocken? Oder die Entwickler davor bewahren den Code über die Software selbst auszuschleusen? usw.
Ein Entwickler kann sich die ein oder andere Ausschleusehilfe selbst schreiben.

Neben technischen Maßnahmen ist vertrauen ein muss.

Falls die Paranoia doch groß genug ist kann man die Systeme Internet und Entwicklungsplattform physikalisch trennen. Dann sollte man darauf achten, dass keine Webcams angesteckt werden können um Bildschirmfotos zu machen. Handy verbot einführen (Kameras). Am besten schaut man alle 5 Minuten mal vorbei ob der Code nicht auf Papier abgeschrieben wird.

Vertrauen + Bewusstsein schaffen hilft manchmal mehr als der technische eiserne Vorhang.
 
Das ist auch einer der Hauptgründe wiso Entwickler gut bezahlt werden.

Abgesehen davon, selbst wenn es zu 100% verhindert werden könnte:
Die Entwickler arbeiten 8h+ mit dem Code, 5-6Tage die Woche.
Nach einiger Zeit wissen sie auswendig wie die Software aufgebaut ist, was die Schwächen sind und wie man es ggf. besser machen kann sollte man nochmal anfangen müssen.
Und das Wissen um diese Interna brauchen die Entwickler um ihre Arbeit erledigen zu können, und natürlich kann man mit dem wissen auch bei der Konkurrenz schneller ein besseres Produkt schreiben, etc. oder Angriffe fahren, gegen Schwachstellen die man kennt.

Von daher ist das was du vorschlägst/haben möchtest dumm, denn du kannst nicht kontrollieren was man wissen muss oder auswendig lernt.
Soetwas wird noch nicht einmal von PCI-DSS-zertifizierten Softwareabteilungen umgesetzt.

Man sagt ja nicht umsonst wenn du dein Idol überholen willst tritt nicht in dessen Fußstapfen.

Von daher kann ich mich meinem Vorposter nur anschließen.
Gruß

Fluffy
 
lama0815 hat gesagt.:
SSL Scanning, hierbei sind rechtliche Bedingungen zu beachten. z. B. darf die Auswertung nur durch die Maschine erfolgen. Außer ihr findet ein Schlupfloch.
Gute Idee, vielen Dank. Werde ich mir anschauen.
lama0815 hat gesagt.:
z. B. darf die Auswertung nur durch die Maschine erfolgen.
Sollte von einem dritten Server / von außen ohnehin schwierig sein wg. End-To-End Verschlüsselung.

lama0815 hat gesagt.:
Falls die Paranoia doch groß genug ist kann man die Systeme Internet und Entwicklungsplattform physikalisch trennen.
Das war auch mein erster Gedanke. Ich denke hierauf wird es hinauslaufen. Infrastrukturänderungen sind aufwendig und teuer, aber in diesem Falle vermutlich unvermeidbar. Ich danke Dir.

Fluffy hat gesagt.:
Von daher ist das was du vorschlägst/haben möchtest dumm, denn du kannst nicht kontrollieren was man wissen muss oder auswendig lernt.
Dumm, hm? Verstehe. :rolleyes: Diese Aussage halte ich weder für konstruktiv, noch für korrekt. Immerhin geht es bei der Klage um einen zweistelligen Millionenbetrag, da Teile der Software nachweislich bei der Konkurrenz gefunden wurden. Der Bedarf des zukünftigen Vermeidens eines solchen Diebstahls ist nach meinem Empfinden durchaus gerechtfertigt und keineswegs als "dumm" zu bezeichnen. Streitigkeiten wegen Diebstahl/Patent erlebt man heute öfters (siehe Apple vs. Samsung, SAP vs. Oracle, ...) Ich bin mit PCI-DSS vertraut, hier geht es jedoch um etwas anderes. Die Company hat tausende von Entwicklern, auf mehreren Kontinenten verteilt, Interne und Externe (wie mich). Bei dieser breiten Streuung ist das mit dem Vertrauen so eine Sache. "Schwarze Schafe" in einem kleinen Softwarehaus mit 5 - 10 Leuten lassen sich evtl. leichter finden als bei einem solchen Weltkonzern.
Fluffy hat gesagt.:
Von daher kann ich mich meinem Vorposter nur anschließen.
Ja, aber das tust Du nicht. Dein Vorredner hat zwei konstruktive Vorschläge gemacht (SSL-Scanning, Trennung von Internet und Entwicklungsplattform), Du hast jedoch alleine die Frage nach einer Lösung in diesem Forum als "dumm" abgestempelt. Man darf hier im Forum noch Fragen stellen, oder? :rolleyes: Bitte überdenke Deine Aussage.


Gruß
Hackse
 
Klar darf man fragen stellen, man sollte die Antworten aber nicht persönlich nehmen.
Und nö ich überdenke meine Antwort nicht, wenn du wissen willst wiso les weiter.

Ich hab gesagt ich kann mich der Aussage anschließen, NICHT, das das was ich sage seine Aussage untermauert.

Und du siehst auch nicht den Punkt um den es mir geht.
In dem Moment in dem Du Leuten zugriff auf Quellcode gibst, MUSST du ihnen vertrauen, denn welche Maßnamen du auch immer ergreifst, sie enden an der Wetware, oder ggf. schon am Client/der Workstation.

Und sei es nur das ich Quellcode ablichte, ausdrucke, abschreibe oder auswendig lerne, und gegen solche low-tech-angriffe hilft SSL-Scanning und ein Citrix-Server herzlich wenig.

Und Apple Samsung und Co verklagen sich wegen der Verletzung von Patenten, nicht weil Quellcode 1:1 kopiert wurde.

Abgesehen davon stellt sich mir dann auch die Frage wiso jemand für ein Unternehmen arbeiten soll das einem explizit misstraut.
Da kommt man sich ja vor wie nur ein Handbreit von einer Klage entfernt, was zu einem sehr tollen Arbeitsklima führt und ich bin mir sicher das das einem Unternehmen ggf. genauso schaden kann.

Gruß

Fluffy
 
Zuletzt bearbeitet von einem Moderator:
Naja da werden sich kluge gut bezahlte Köpfe wohl Gedanken zum "Gesamtkonzept" gemacht haben. Wenn der kleine Rajid nur 1,50€ für den Code bekommt und Paul für den selben Code 2000€ und Walter senior 150.000€ für ne Unterschrift.

Die Ursache des Problems liegt bei den Betroffenen und Beteiligten wohl eher zwischen den Ohren.

Ein gestärktes Gefühl sich auch als Externer mit dem Unternehmen zu identifizieren sollte neben technischen Maßnahmen ein begleitender Prozess sein. Das mag bei der Streuung schwierig sein, aber nicht unmöglich. Wenn gewollt.

Den Code wird man immer ausschleusen können. Daher würde ich mir auch Gedanken machen wie das dann mit der Nachweisführung gehandhabt wird. Wer Wann mit Wem Wie oft usw.

Zusätzlich die Verteilung der Aufgaben, die Zusammenführung des Code und die Einblicke in den Gesamtcode eingrenzen/abgrenzen. Also das Konzept Teile und Herrsche knallharrt umsetzen und nur noch mit Schnittstellen bzw. Input/Output arbeiten. Und jeder ist nur noch auf seinen Bereich beschränkt.

Die Fähigkeiten vieler Entwickler wird dadurch sehr stark eingeschränkt.
 
Technische Maßnahmen reichen üblicherweise von Signaturen über Commits, über ein kontrolliertes Zugriffsmanagement inkl. der notwendigen Prozesse (z.B. Recertification) auf Code bis hin zu einem umfangreichen Logging und Reporting. Auf Netzwerkebene hast du z.B. Deep Packet Inspection, das den Traffic insbesondere mit dem Code im Repository abgleicht, sowie Foward Proxies zur Überwachung und zum Logging von HTTP- und HTTPS-Verbindungen. Für letzteres ist meist die Absprache mit dem Betriebsrat notwendig, lässt sich aber zumindest bei lebensnotwendigen Key Assets (z.B. Core-Libraries, ...) durchaus verargumentieren.

Der Punkt ist allerdings, dass du mit den technischen Maßnahmen nur eine erste Hürde errichtest, die meist einem fähigen Angriff wenig entgegenzusetzen hat. Spätestens das Abfotographieren von Code-Fragementen - auch bekannt als analoge Kopie- wirst du nur noch durch einschneidende Maßnahmen wie Überwachungskameras verhindern können, die dazu führen, dass die Produktivität unter den Sicherheitsmaßnahmen leidet, die Zufriedenheit sinkt und Mitarbeiterinnen und Mitarbeiter das Unternehmen verlassen, da ihnen das Vertrauen seitens des Arbeitgebers oder der Arbeitgeberin fehlt. Hier spielt natürlich auch der kulturelle Aspekte eine große Rolle: Hier in Deutschland ist Überwachung verpönt, in Ländern wie Indien mag das noch anders sein. Auch hierrauf solltest du also achten. Nicht zuletzt spielt auch die Art, wie die Arbeit geleistet wird, eine Rolle. Wird z.B. direkt beim Kunden gearbeitet? Wird im Zug und auf Reisen gearbeitet? Gibt es Laptops und Notebooks oder nur feste PCs? Welche Tools werden eingesetzt, z.B. Dropbox? Warum wird teilweise bewusst gegen die Firmen-Policies verstoßen (und glaube mir, es wird!)? Der Bezug zu einem ganzheitlichen Informationssicherheitsmanagement sollte also in jedem Fall hergestellt werden.

In deinem Fall ist jedoch noch eine ganz andere Sache von Interesse: Lizenzen. Stelle sicher, dass jeder Code, und sei es nur der temporäre Code von einem externen Mitarbeitenden, eine Lizenz besitzt - notfalls eine automatische Lizenz. In Zusammenhang mit Signaturen hast du nun ein Werkzeug zur Hand, um Fälle wie diesen juristisch nachweisbar aufzuklären. Darauf aufbauend kann man sich nun Gedanken über ein einheitliches IP Regelwerk machen, das sich wieder von Land zu Land unterscheiden wird. Gerade in einem großen Unternehmen hast du eigene Mitarbeiterinnen und Mitarbeiter mit juristischem Background für genau diesen Zweck.

Die Punkte meiner Vorrednerinnen und Vorredner sind natürlich nicht weniger wichtig: Mitarbeiterinnen und Mitarbeiter sind nur loyal, wenn es auch ihr Arbeitgeber oder ihre Arbeitgeberin ist. D.h. Eine korrekte und faire Führung, die Achtung und Wertschätzung der Mitarbeitenden und ihrer geleisteten Arbeit sowie ein internes wie externes Marketing (im Sinne von Stärkung der Unternehmensmarke) fördern nicht nur die Produktivität, sondern auch das Zugehörigkeitsgefühl. Dies führt ganz automatisch dazu, dass Mitarbeitende garnicht erst auf so dumme Ideen kommen ;)
 
Zuletzt bearbeitet:
Grob gesagt bestimmt die Lizenz die Nutzungsrechte und Pflichten (z.B. die Nennung von Autoren), die der Hersteller dem Vertragspartner einräumt.

Üblicherweise wird eine Software nur zusammen mit einer dazugehörigen Lizenz geliefert, z.B. in Form einer Lizenz-Datei ("LICENSE" Datei bei OSS), in Form von Kommentaren in Headern von Sourcecodes, oder, was bei kommerzieller Software oft anzutreffen ist, als Vertragswerk zwischen Hersteller, Distributor und Kunde. Anders gesagt: Aus Herstellersicht ist es essentiell, dass jedem Nutzer und jeder Nutzerin die Lizenzbedingungen zugänglich und damit bekannt sind, um die eigenen Interessen auch durchsetzen zu können. Auch hier gilt wieder: Andere Kulturen, andere Sitten. In Deutschland und den USA kann davon ausgegangen werden, dass Unwissenheit nicht vor Schaden schützt. In Indien oder China mag das anders sein, gerade für ausländische Unternehmen.

Um den konkreten Verstoß zu klären, wäre z.B. die Antwort auf die Frage interessant, ob und unter welcher Lizenz der geklaute Code zum Zeitpunkt des Diebstahls stand. Dies bedarf dann der Analyse der Lizenzen aller eingesetzten Softwarekomponenten. Z.B. gibt es OSS Lizenzen, die die Veröffentlichung des Sourcecodes erfordern oder die Lizenzierung unter einer anderen Lizenz untersagen (GPL-3). Auch die Betrachtung der Historie des betroffenen Code-Ausschnitts könnte interessant sein. So ist es nicht unüblich, dass Code aus mehreren Quellen zusammen kopiert und die Lizenz dazu einfach "vergessen" wird. Hier ist also möglicherweise auch ein wenig Recherche bei Stackoverflow und Co. notwendig. Gerade in großen Unternehmen ist das ein nicht mehr geringer Aufwand, der dazu auch noch eine gehörige Portion Rechtskenntnis voraussetzt.

Darauf aufbauend lässt sich nun ein Intellectual Property Management einrichten, d.h. die Definition von Prozessen und Maßnahmen, wie das eigene geistige Eigentum des Unternehmens geschützt wird. Das beginnt üblicherweise mit der Definition der "Ownership" und geht über die Definition des Rechtstransfers bis hin zu Plänen bei einem Bankrott der Firma. Es geht also um die Standardisierung beim Umgang mit genau solchen Fällen, wie er auch hier vorliegt.
 
Zuletzt bearbeitet:
Vielen Dank für Eure Beiträge und konstruktiven Vorschläge.

Das mit dem Vertrauen ist so eine Sache. Ich vermute einem kleinen Konzern mit einer Hand voll Mitarbeitern fallen Vertrauen und Gesamtüberblick leichter als einem Weltkonzern mit etlichen Standorten around the globe und etlichen tausend Entwicklern, autonomen Teams, die teilweise das Gleiche tun, weil es an Absprachen mangelt und die Teams vor allem in unterschiedlichen Ländern nichts voneinander wissen. Das ist schon sehr chaotisch alles. :)

Sicherlich ist Vertrauen wünschens- und erstrebenswert, aber Vertrauen ist umso schwerer aufzubauen, wenn es durch einen schweren Diebstahl schon einmal massiv ausgenutzt wurde. Offensichtlich gibt es in diesem Fall also einen (berechtigten) Grund für Misstrauen.

Eine pauschale Formel wie "Vertrauen ist wichtig, also vertraue Deinen Mitarbeitern" halte ich für schwierig, denn dieser Fall zeigt uns, dass eine Company nicht einfach blind vertrauen sollte, sonst wird es ausgenutzt und teuer.

Andererseits ist es natürlich auch unglücklich, dass man nun alle Mitarbeiter weltweit "besser überwachen" möchte, nur weil evtl. ein einziger Mitarbeiter einen Diebstahl begangen hat. Fair sieht anders aus, einfach so weiter machen wie bisher und weitere Diebstähle in Kauf nehmen, kommt jedoch nicht in Frage.

Einen 100%igen Schutz gibt es nicht; das steht außer Frage. Diese Eigenschaft sollte jedoch nicht dazu verleiten gar nichts zu unternehmen.

Ja, Bildschirmfotographien einer virtuellen Umgebung sind möglich und würden, vor allem im Homeoffice, niemandem auffallen. Sourcecode bildweise zu fotografieren und später wieder aus den einzelnen Bildern zu extrahieren bedeuten sehr viel mehr Aufwand als ein kleines Skript zu schreiben, das den Sourcecode aus vielen Projekten extrahiert, diesen in eine sehr große Datei kopiert und den Dateiinhalt irgendwo via HTTPs einfügt, notfalls in ein geschütztes Software-Repository im WWW. Separiert man Internet von Entwicklungsumgebungen, so entfällt der Upload des Codes und jemand, der erneut einen Diebstahl im großen Stil durchführen möchte, müsste durch Fotos sehr viel mehr Aufwand betreiben. Zu viel Aufwand schreckt oftmals ab.

Ich bin zwar kein Teil des Unternehmens, bilde mir jedoch ein, dass ich zukünftige, weitere Sicherheitsmaßnahmen wie einer Separierung von Entwicklungsumgebung und Internet als Angestellter des Unternehmens in Anbetracht des vergangenen Diebstahls durchaus gerechtfertigt empfinden würde. Ich persönlich habe kein Bedarf an Internet beim Kunden, da ich grundsätzlich mein eigenes Equipment (Notebook, Internet) mitbringe. Aber Menschen sind natürlich unterschiedlich, daher könnte ich mir vorstellen, dass sich der ein oder andere Entwickler an einer solchen Separierung stören könnte. Wie seht Ihr das?


Gruß
Hackse
 
@Beere ich kann dir immernoch nicht folgen. Ich weiß was Lizenen sind nur versteh ich nicht wie mir das beim Nachweis helfen soll? Davon abgesehen werden die Entwickler beauftragt der Firma Code zu erstellen. Somit gehört dieser der Firma und bedarf erstmal keiner Lizenz für die weitere Verwendung. Die Methode meinen Entwicklern Lizenzen für noch nicht erstellten Code zu geben ist mir nicht bekannt. Bitte werde konkreter.

@Hackse das ganze sollte die technischen Maßnahmen begleiten und wenn du eine Lösung erarbeitest ist es zumindest in ein paar Sätzen erwähnenswert. In großen Unternehmen nimmt man das oft auf die leichte Schulter oder beachtet es eigentlich nicht mehr, da es ja irgendwo eine organisatorische Regel für gab. Diese aber nie richtig umgesetzt wird.

Auf technischer Seite sollen die Entwicklungsumgebungen online erreichbar sein. Die Möglichkeit den Code im Terminalfenster abzufilmen besteht ebenfalls und bedarf auch bei vielen Zeilen Code nicht allzu viel Aufwand. Es ist auf jeden Fall wichtig den Entwicklern die Anreize zu nehmen, den Code zu kopieren.
 
@Beere ich kann dir immernoch nicht folgen. Ich weiß was Lizenen sind nur versteh ich nicht wie mir das beim Nachweis helfen soll? Davon abgesehen werden die Entwickler beauftragt der Firma Code zu erstellen. Somit gehört dieser der Firma und bedarf erstmal keiner Lizenz für die weitere Verwendung. Die Methode meinen Entwicklern Lizenzen für noch nicht erstellten Code zu geben ist mir nicht bekannt. Bitte werde konkreter.

Was bringt dir eine Software, wenn du (z.B. als Mitarbeiter/in, Externe/r oder Kunde bzw. Kundin) weder ihren Sourcecode, noch ihre binäre Repräsentation nutzen darfst? Ohne Lizenz könnte man annehmen, dass es keine Rechteübertragung gibt, ergo darfst du nichts damit anstellen.

An dem Szenario hier wird es klarer: Code wird sowohl intern, als auch extern für das Unternehmen produziert. Nehmen wir an, dass die Besitzrechte klar geregelt sind (und das ist auch heute noch in vielen Fällen nicht gegeben). Dann geht der Besitz des Codes bei Lieferung auf das Unternehmen über. Um aber mit dem Code zu arbeiten (Nutzung von Libraries, Weiterentwicklung, usw..) muss das Unternehmen diesen Personen (Interne, Externe) die Rechte dazu überlassen. Dazu will man die Software möglicherweise auch an Kunden ausgeben. Hier steht also die Frage im Raum, was sowohl die Distributoren, als auch die Kunden dürfen. Oder anders gefragt: Ist z.B. Decompilierung der Software erlaubt oder was darf man mit mitgeliefertem Sourcecode (Samples, SDKs, Templates mit Javascript, ...) anstellen?

Ohne Lizenz, d.h. die explizite Einräumung bestimmter Rechte, wirst du in der Praxis immer auf Vertrauens- und Annahmebasis (bzw. auf dem Copyright Recht der jeweiligen Länder, sofern ein solches existiert und es anwendbar ist) arbeiten - und das ist gerade in einem internationalen Umfeld nicht sinnvoll.
 
Das ist zwar richtig, aber es erklärt nicht den Zusammenhang mit dem Nachweis. Einfach gefragt: Wie sehe ich anhand einer Lizenz wer meinen Code kopiert hat?
 
Wie sehe ich anhand einer Lizenz wer meinen Code kopiert hat?
Ein technisches License Enforcement oder eine License-Violation-Erkennung ist heute in der Praxis ein ungelöstes Problem, zumindest für kommerzielle closed-source Software, die großflächig installiert wird, sowie für nicht öffentlichen Sourcecode. Das liegt zum einen an der Schwierigkeit der Bestimmung, inwiefern ein Stück Code überhaupt als Eigentum betrachtet werden kann (siehe z.B. http://crest.cs.ucl.ac.uk/cow/9/slides/cow9Rainer.pdf) sowie an der Impraktikabilität der Prüfung beim Kunden. Zum anderen wäre ein zu starkes Enforcement auch Hinderlich für die Nutzbarkeit der Software an sich, z.B. bei Microsofts oder Ubisofts DRM-Mechanismen, die beide aufgrund der massiven Kritik abgeschwächt oder gar entfernt wurden. Da ist man meist mit DPI und ähnlichem besser bedient, was z.B. der Fall Goldman Sachs ebenfalls gezeigt hat. Auch in der Wissenschaft gibt es Ansätze, die es meines Wissens aber noch nicht in die Wirtschaft geschafft haben, z.B. https://nixos.org/~eelco/pubs/clones-msr2011-final.pdf, https://people.inf.ethz.ch/barrerad/files/seke09-brown.pdf, usw..

Fakt ist, dass die Auswirkungen auf ein Unternehmen sehr groß sind, wenn ein Lizenzverstoß ans Licht kommt. Auf diese abschreckende Wirkung - die gerade bei GPL Code sehr hoch ausfallen sollte - setzt man heute. Ob dieser FUD Ansatz etwas bringt, ist fraglich..

Oder man bleibt "einfach" auf Patentebene. Der Diebstahl einer Idee oder eines Algorithmusses ist einfacher zu bestimmen, als bei Sourcecode. Dass die Prozesse aber trotzdem hochkomplex werden können, hat man an den Prozessem zwischen Oracle und seinen Konkurrenten zu genüge gesehen.
 
Zuletzt bearbeitet:
Vorweg ich war interessiert an deinem Gedanken, da ich nicht beratungsresistent und offen für neues bin. Aber du hast dir selbst wiedersprochen und ich will jetzt keine Diskussion lostreten. Lizenzen und Urheberrecht haben seinen Sinn, lösen aber nicht das Problem. Ich dachte nur da kommt jetzt was aus der Nachwuchsecke [emoji6]

Nur mal als Anmerkung zum Nachdenken [emoji6]

...heute in der Praxis ein ungelöstes Problem...

...Hinderlich für die Nutzbarkeit der Software...

Warum schlägst du es dann vor?

Auch in der Wissenschaft gibt es Ansätze, die es meines Wissens aber noch nicht in die Wirtschaft geschafft haben
Genau... noch nicht geschafft... genauso wie Zeitreisen [emoji6]
Wissenschaft ist hier der falsche Ansatz [emoji6]

Fakt ist, dass die Auswirkungen auf ein Unternehmen sehr groß sind, wenn ein Lizenzverstoß ans Licht kommt.

Es geht um die Entwickler, Personal, welches bereits Code entwendet hat. Die werden von Lizenzen und Urheberrecht auch nicht mehr abgeschreckt.

Hausaufgabe: Streiche mal alle allgemeinen Floskeln aus deinen Beiträgen und schreibe in ein zwei kurzen verständlichen Sätzen nieder welche Lösung du jetzt konkret vorgeschlagen hast? Ich hab sie nämlich nicht verstanden. Ich kannn mir meinen Teil dazu denken, aber die Lösung sehe ich nicht [emoji6]

Es geht bestimmt nicht nur mir so und vielleicht traut sich das niemand sagen. Aber wenn ich deine Beiträge lese is da oft nur 2% Aussage drin und der Rest ziemlich genau nichts sagendes umschrieben und davon doppelt mal so viel wie mehr, geschmückt mit Fachbegriffen und Hyperlinks. Das macht das Lesen deiner Beiträge sehr anstrengend.

Versteh das nicht falsch und nimms nicht persönlich. Sieh es lieber als Tipp. Du hilfst anderen mehr, wenn sie dich verstehen und nicht einfach fröhlich lächeln und winken, weil die Takatuka Bahn gerade zwischen den Ohren quer fährt [emoji6]

Ich halt mich jetzt hier raus außer Hackse hat noch was [emoji6]
 
Zuletzt bearbeitet:
Hausaufgabe: Streiche mal alle allgemeinen Floskeln aus deinen Beiträgen und schreibe in ein zwei kurzen verständlichen Sätzen nieder welche Lösung du jetzt konkret vorgeschlagen hast? Ich hab sie nämlich nicht verstanden. Ich kannn mir meinen Teil dazu denken, aber die Lösung sehe ich nicht [emoji6]

Es geht bestimmt nicht nur mir so und vielleicht traut sich das niemand sagen. Aber wenn ich deine Beiträge lese is da oft nur 2% Aussage drin und der Rest ziemlich genau nichts sagendes umschrieben und davon doppelt mal so viel wie mehr, geschmückt mit Fachbegriffen und Hyperlinks. Das macht das Lesen deiner Beiträge sehr anstrengend.

Versteh das nicht falsch und nimms nicht persönlich. Sieh es lieber als Tipp. Du hilfst anderen mehr, wenn sie dich verstehen und nicht einfach fröhlich lächeln und winken, weil die Takatuka Bahn gerade zwischen den Ohren quer fährt [emoji6]

Danke für deine persöhnliche Rückmeldung. Beim nächste Mal würde ich dich bitten, die betroffene Person direkt per PN anzuschreiben, damit wir hier nicht ins Offtopic verfallen, da sowas bekanntermaßen schnell ausarten kann. Sehs mir deswegen nach, dass ich nicht weiter darauf eingehen werde.

Deswegen jetzt back to topic, wenn es dir nichts ausmacht ;)

Warum schlägst du es dann vor?
Ich habe nie vorgeschlagen, dass Lizenen forciert werden sollen, sondern nur, dass sie in place sein sollten. Die Begründung findest du im nächsten Abschnitt.

Es geht um die Entwickler, Personal, welches bereits Code entwendet hat. Die werden von Lizenzen und Urheberrecht auch nicht mehr abgeschreckt.
Zumindest im deutschen Strafrecht wird strikt zwischen Vorsatz und Fahrlässigkeit unterschieden. Lizenzen können hier also aus juristischer Sicht matchentscheidend sein.
Anders gesagt: Deine ganzen Schutzwälle und Gräben bringen dir nichts, wenn du etwas zu verhindern versuchst, das keine Straftat ist. Insofern sind diese Maßnahmen für das Unternehmen rausgeschmissenes Geld, sofern es kein (explizites/implizites) Regelwerk gibt, dass die Weitergabe von Code untersagt.

Zu viel Aufwand schreckt oftmals ab.
Die Verfügbarkeit von OCR Software schliesst diese Lücke wieder.Je weiter die Technologie voran schreitet, desto einfacher wird es, Sourcecode zu leaken - und desto komplexer werden die Gegenmaßnahmen, wenn sie keinem geordneten System unterliegen. Software Entwicklung bedeutet auch, dass Legacy Code über Jahrzehnte gepflegt werden muss, meist als Teil eines Projekt/Produkt-Cores. D.h. hier bedarf es einer langfristigen Strategie (z.B. der Aufbau eines konzernweiten, zentralen Accessmanagements) und nicht als nur dem Flicken einzelner Angriffsvektoren.

Aber Menschen sind natürlich unterschiedlich, daher könnte ich mir vorstellen, dass sich der ein oder andere Entwickler an einer solchen Separierung stören könnte. Wie seht Ihr das?
Es macht Sinn, das die Mitarbeiterinnen und Mitarbeiter zu fragen, die konkret von der Maßnahmen betroffen wären.

Man sollte aber bedenken, dass das Internet häufig bereits zentraler Bestandteil heutiger Softwarelösungen ist, man denke an Cloud, an die große API Economy oder an hochgradig vernetzte Digitalisierung (höre ich da ein Bingo?). Insofern macht es Sinn, sich die Produkte des Unternehmens anzuschauen sowie den gesamten Entwicklungsprozess, der damit verbunden ist.

Manchmal hilft auch ein einfacher Sichtwechsel: Wenn du der oder die böse Interne wärst, was würdest du tun, um an den Sourcecode zu kommen? Was würdest du mit deinem Wissen tun, um ihn weiterzugeben? Und wie würdest du versuchen, deine Spuren zu verwischen?
 
Zuletzt bearbeitet:
Zurück
Oben