...wer auf "Closed-Source"-Lösungen setzt (und der GPL-Verweis wird ja gerne vergessen), hat die gleichen Risiken wie bei "offenem" OpenSource (statt geklautem OpenSource), aber die neu entdeckten Scheunentore deutlich länger offenstehen.
Absolut richtige Beobachtung. In diesem Zusammenhang fällt mir nur Fortinet ein, das sich schamlos an offener Software bedient, das eigene Branding und propietäres Deep-Inspection, Crypto- und Werbe-Zeugs hinzupappt und anschliessend den Mist als Enterprise-Security teuer verkauft.
Warum macht jemand sowas? Warum verschlechtert ein Unternehmen, das immer nur ein begrenztes Maß an Ressourcen haben kann, einfache und millionenfach bewährte Lösungen? Warum wurden z.B. mit SSL Interception verschlüsselte Verbindungen bewusst aufgebrochen, nur um diese dann fehlerbehaftet neu zu verschlüsseln? Die Antwort ist einfach: Kontrolle.
Kontrolle um künftig Produkte nicht nur anzubieten sondern einem ahnungslosen Kunden zwangsweise zu verkaufen. Denn eine Infrastruktur wechselt man nicht "mal eben". Besonders kriminell wird's bei den "Connected UTM" Cloud-Diensten, wo die eigenen Daten und Surfverläufe am Ende in den Händen von Datenverkäufern landen. Man kann Fortinet da noch nicht mal vorwerfen zu betrügen denn in deren AGBs und Privacy-Bestimmungen steht's schwarz auf weiß. Aber der typische, deutsche, mittelständische Michel mit seiner Bauernschläue vertraut lieber Hochglanzprospekten und einem Marketing/Nudging Geschätz. "Nein ein App-Whitelisting können wir nicht machen, das schränkt die Mitarbeiter zu sehr ein. Wir vertrauen lieber dem AV-Security-Schlangenölprodukt XYZ." oder "Welcher Hersteller steckt hinter Open-Source?".
Bitteschön, mache wollen eben leiden und lieber den schwierigen und schmerzhaften Lernprozess durchlaufen. Mir soll's sogar Recht sein, denn dann verstummen auch die elenden Diskussionen was Honor- und Tagessätze anbetrifft... zumindest für 4-6 Wochen nach einem Daten GAU. Schwarmdummheit nennt Günther Dueck sowas.