.png)
5 Dinge, die ich von einem ehemaligen meistgesuchten FBI-Hacker gelernt habe
In der Cybersicherheit sagen wir oft: „Denken Sie wie ein Angreifer.“ Aber nur wenige von uns haben jemals die Gelegenheit, direkt von jemandem zu hören, der dieses Leben gelebt hat — und es verändert hat.
In einer der unvergesslichsten Folgen von The Segment habe ich mich mit Brett Johnson getroffen, der einst vom US-Geheimdienst als „Original Internet Godfather“ bezeichnet wurde.
Nachdem Brett die erste Community für organisierte Cyberkriminalität aufgebaut und auf der Liste der meistgesuchten Personen des FBI gelandet war, hat er sein Leben wieder aufgebaut und ist nun eine vertrauenswürdige Stimme für Strafverfolgungs- und Sicherheitsbeamte gleichermaßen.
Hier sind fünf Lektionen, die Brett aus seinem reformierten Kriminalleben geteilt hat und die mir am meisten im Gedächtnis geblieben sind.
1. Wahrnehmung ist die neue Realität
Im Mittelpunkt von Bretts Botschaft steht eine erschreckende Wahrheit: „Es spielt keine Rolle, was die Wahrheit ist. Es ist wichtig, wovon ich dich überzeugen kann.“
Das ist nicht nur eine kriminelle Taktik — es ist ein gesellschaftliches Problem. Von Phishing-E-Mails zu politischen Fehlinformationen wird Vertrauen als Waffe eingesetzt. Und da sich Deepfake-Video und -Audio rasant weiterentwickeln, verschwindet die Grenze zwischen echt und falsch schnell.
„Wir kommen an einen Punkt, an dem Deepfakes in Echtzeit ablaufen werden. „, warnte Brett.
Er führte ein Beispiel für einen Angriff an, bei dem schlechte Schauspieler einen CEO über eine Zoom-Videokonferenz hinters Licht führen können. Payroll glaubt, in Echtzeit mit dem CEO zu sprechen, aber sie werden tatsächlich dazu verleitet, Geld auf ein anderes Bankkonto zu überweisen.
„Das ist sehr effektiv“, sagte er. „Und es wird wie ein Zauber funktionieren.“
Das Wichtigste ist, Systeme zu entwickeln, die verifizieren, nicht davon ausgehen. Zero Trust ist ein Sicherheitsframework, aber es ist auch eine Möglichkeit, das Vertrauen in einer Welt der digitalen Täuschung wiederherzustellen.
„Wir kommen an einen Punkt, an dem Deepfakes in Echtzeit ablaufen werden.“
2. Kriminelle sind Opportunisten, keine Genies
Hollywood stellt Hacker als brillante Gesetzlose dar. Brett sieht das anders.
„Die meisten Angriffe sind bargeldbasiert und opportunistisch“, erklärte er. „Ich suche nach dem einfachsten Zugang, der mir die größte Rendite für diese kriminelle Investition bietet.“
Deshalb Basic Cyberhygiene spielt immer noch eine Rolle: Sicherheitslücken beheben, Anmeldeinformationen sichern, offene Ports schließen. Diese Schritte sind nicht auffällig, werden aber oft übersprungen.
Sicherheit muss nicht teuer sein. Aber es muss konsistent sein.
3. Vertrauen basiert auf Verhalten, nicht auf Annahmen
Angreifer wissen, dass wir unseren Geräten vertrauen. Sie nutzen dieses Vertrauen gegen uns.
„Wir vertrauen von Natur aus unseren Handys, unseren Laptops und unseren Desktops“, sagte Brett. „Wir vertrauen den Websites, die wir besuchen, und das öffnet in der Regel die Tür zum Vertrauen.“
Brett fordert Menschen und Organisationen gleichermaßen auf, das Vertrauen in unsere digitalen Systeme neu zu definieren. Überprüfe das Verhalten, achte auf den Kontext und entwirf Systeme, die nicht auf ein einziges Legitimitätssignal angewiesen sind.
„Du kannst den ganzen Betrug auf der Welt stoppen. Das einzige, was du tun musst, ist das Internet herunterzufahren“, scherzte er. „Sie wollen ein Gleichgewicht zwischen Sicherheit und Reibung haben, aber dieses Gleichgewicht muss unbedingt mehr auf die Sicherheitsseite ausgerichtet sein.“
4. Angreifer arbeiten zusammen. Das müssen auch die Verteidiger tun.
Eine seiner schärfsten Kritiken? „Die Bösewichte können besser teilen und zusammenarbeiten als ihr“, sagt er.
Cyberkriminelle tauschen Tools, Taktiken und Tipps aus. Aber die Verteidiger werden oft von der Industrie, der Konkurrenz oder der Bürokratie isoliert.
„Wenn ich in einer bestimmten Branche tätig bin und mein Unternehmen von einer bestimmten Art von Angriff getroffen wird, bedeutet das Teilen dieser Informationen, dass sich auch andere im gleichen Bereich schützen können, bevor sie ins Visier genommen werden“, sagte er.
Fazit: Die Bedrohungslandschaft ist nicht isoliert, daher sollten unsere Abwehrmaßnahmen auch nicht isoliert sein.
„Wenn ich in einer bestimmten Branche tätig bin und mein Unternehmen von einer bestimmten Art von Angriff getroffen wird, bedeutet das Teilen dieser Informationen, dass sich auch andere im gleichen Bereich schützen können, bevor sie ebenfalls ins Visier genommen werden.“
5. Mit Zero Trust bauen wir Vertrauen wieder auf
Brett glaubt das KI-generierter Inhalt, wie Deepfakes, macht es den Leuten schwerer zu wissen, wem sie vertrauen können. Es ist wichtig, kritisch zu denken und online skeptisch zu bleiben. Unternehmen müssen jedoch Wege finden, um Vertrauen wiederherzustellen.
„Jede neue Zusammenarbeit zwischen dem Kunden und dem Unternehmen sollte von einem Null Vertrauen Standpunkt „, empfiehlt er.
In einer Welt, in der Wahrnehmung in Echtzeit gefälscht werden kann, kann Vertrauen nicht vorausgesetzt werden. Es muss verdient werden — immer wieder.
„Tun Sie im Hintergrund alles, was Sie können, um das Betrugspotenzial zu antizipieren, und handeln Sie dann an diesem Punkt“, riet Brett.
Zero Trust ist nicht nur eine technische Strategie. Es ist eine tägliche Gewohnheit und eine Denkweise. Und in diesem sich ständig weiterentwickelnden Bedrohungsumfeld ist das unsere beste Chance, vorbereitet zu sein.
Höre zu, abonniere und rezensiere Das Segment
Willst du mehr von Brett Johnson hören? Sehen Sie sich die komplette Folge von Das Segment: Ein Zero-Trust-Leadership-Podcast auf unsere Website, Apple-Podcasts, Spotify, oder wo auch immer du zuhörst.
.webp)
