.png)
5 Dinge, die ich von einem ehemaligen FBI-Hacker gelernt habe
In der Cybersicherheit sagen wir oft: "Denken Sie wie ein Angreifer." Aber nur wenige von uns haben jemals die Chance, direkt von jemandem zu hören, der dieses Leben gelebt hat – und es umgedreht hat.
In einer der unvergesslichsten Episoden von The Segment habe ich mich mit Brett Johnson zusammengesetzt, der einst vom US-Geheimdienst als "Original Internet Godfather" bezeichnet wurde.
Nachdem er die erste organisierte Cybercrime-Community aufgebaut und auf der Liste der meistgesuchten Personen des FBI gelandet war, baute Brett sein Leben neu auf und dient nun als vertrauenswürdige Stimme für Strafverfolgungs- und Sicherheitsverantwortliche gleichermaßen.
Hier sind fünf Lektionen, die Brett aus seinem reformierten Leben als Krimineller geteilt hat und die mir am meisten im Gedächtnis geblieben sind.
1. Wahrnehmung ist die neue Realität
Im Kern von Bretts Botschaft steckt eine erschreckende Wahrheit: "Es spielt keine Rolle, was die Wahrheit ist. Es kommt darauf an, wovon ich dich überzeugen kann."
Das ist nicht nur eine kriminelle Taktik – es ist ein gesellschaftliches Anliegen. Von Phishing-E-Mails bis hin zu politischen Fehlinformationen wird Vertrauen als Waffe eingesetzt. Und da sich Deepfake-Videos und -Audios rasant weiterentwickeln, verschwindet die Grenze zwischen echt und gefälscht schnell.
"Wir nähern uns dem Punkt, an dem Deepfakes in Echtzeit verfügbar sein werden", warnte Brett.
Er nannte ein Beispiel für einen Angriff, bei dem böswillige Akteure einen CEO über eine Zoom-Videokonferenz deepfaken können. Die Gehaltsabrechnung denkt, dass sie in Echtzeit mit dem CEO spricht, aber sie werden tatsächlich dazu verleitet, Geld auf ein anderes Bankkonto zu überweisen.
"Das ist sehr effektiv", sagte er. "Und es wird wie ein Zauber funktionieren."
Das Wichtigste ist, Systeme zu entwickeln, die verifizieren, nicht annehmen. Zero Trust ist ein Sicherheits-Framework, aber es ist auch eine Möglichkeit, das Vertrauen in eine Welt der digitalen Täuschung wiederherzustellen.
"Wir kommen an den Punkt, an dem Deepfakes in Echtzeit sein werden."
2. Kriminelle sind Opportunisten, keine Genies
Hollywood stellt Hacker als brillante Gesetzlose dar. Brett sieht das anders.
"Die meisten Angriffe basieren auf Bargeld und sind opportunistisch", erklärte er. "Ich bin auf der Suche nach dem einfachsten Zugang, der mir die größte Rendite für diese kriminelle Investition bringt."
Deshalb ist grundlegende Cyberhygiene nach wie vor wichtig: Schwachstellen patchen, Anmeldeinformationen sichern, offene Ports schließen. Diese Schritte sind nicht auffällig, werden aber oft übersprungen.
Sicherheit muss nicht teuer sein. Aber es muss konsequent sein.
3. Vertrauen basiert auf Verhalten
Angreifer wissen, dass wir unseren Geräten vertrauen. Sie nutzen dieses Vertrauen gegen uns.
"Wir vertrauen von Natur aus unseren Handys, unseren Laptops und unseren Desktops", sagte Brett. "Wir vertrauen den Websites, die wir besuchen, und das öffnet tendenziell die Tür des Vertrauens."
Brett fordert Menschen und Organisationen gleichermaßen auf, das Vertrauen in unsere digitalen Systeme neu zu definieren. Überprüfen Sie das Verhalten, achten Sie auf den Kontext und entwerfen Sie Systeme, die sich nicht auf ein einzelnes Legitimitätssignal verlassen.
"Sie können allen Betrug der Welt stoppen. Das Einzige, was man tun muss, ist, das Internet abzuschalten", scherzte er. "Sie wollen ein Gleichgewicht zwischen Sicherheit und Reibung haben, aber dieses Gleichgewicht muss unbedingt mehr auf die Sicherheitsseite ausgerichtet sein."
4. Hacker arbeiten zusammen. Das gilt auch für die Verteidiger.
Eine seiner schärfsten Kritikpunkte? "Die Bösewichte sind besser darin, sich auszutauschen und zusammenzuarbeiten als ihr", sagt er.
Cyberkriminelle tauschen mit Werkzeugen, Taktiken und Tipps aus. Aber Verteidiger werden oft durch Branche, Wettbewerb oder Bürokratie isoliert.
"Wenn ich in einer bestimmten Branche tätig bin und mein Unternehmen von einer bestimmten Art von Angriff betroffen ist, bedeutet die Weitergabe dieser Informationen, dass sich andere im selben Bereich schützen können, bevor sie ebenfalls ins Visier genommen werden", sagte er.
Die Quintessenz: Die Bedrohungslandschaft ist nicht isoliert, also sollte es auch unsere Abwehr nicht sein.
"Wenn ich in einer bestimmten Branche tätig bin und mein Unternehmen von einer bestimmten Art von Angriff betroffen ist, bedeutet die Weitergabe dieser Informationen, dass sich andere im selben Bereich schützen können, bevor sie ebenfalls ins Visier genommen werden."
5. Zero Trust ist der Weg, wie wir Vertrauen wiederherstellen
Brett glaubt, dass KI-generierte Inhalte wie Deepfakes es den Menschen erschweren, zu wissen, worauf sie vertrauen können. Es ist wichtig, kritisch zu denken und online skeptisch zu bleiben. Aber Unternehmen müssen Wege finden, um das Vertrauen wiederherzustellen.
"Jede neue Interaktion zwischen dem Kunden und dem Unternehmen sollte unter dem Gesichtspunkt von Zero Trust erfolgen", empfiehlt er.
In einer Welt, in der Wahrnehmung in Echtzeit gefälscht werden kann, kann Vertrauen nicht vorausgesetzt werden. Es muss verdient werden – immer und immer wieder.
"Tun Sie im Hintergrund alles, was Sie können, um das Betrugspotenzial zu antizipieren, und handeln Sie dann an diesem Punkt", riet Brett.
Zero Trust ist nicht nur eine technische Strategie. Es ist eine tägliche Gewohnheit und eine Denkweise. Und in diesem sich wandelnden Bedrohungsumfeld ist dies unsere beste Chance, vorbereitet zu bleiben.
Hören, abonnieren und rezensieren Sie The Segment
Möchten Sie mehr von Brett Johnson hören? Sehen Sie sich die ganze Folge von The Segment: A Zero Trust Leadership Podcast auf unserer Website, Apple Podcasts, Spotify oder wo immer Sie es hören, an.
.webp)
.webp)
.webp)