Das Geschäft mit Cyberkriminalität: Was ein ehemaliger stellvertretender FBI-Direktor möchte, dass jeder CISO weiß

Cyberkriminalität ist nicht nur eine technische Bedrohung — sie ist ein florierendes globales Geschäft. Und nur wenige Menschen verstehen die Entwicklung dieses Geschäfts besser als Brian Boetig.
Mit mehr als 35 Jahren Erfahrung in der nationalen und öffentlichen Sicherheit war er als stellvertretender Direktor des FBI, US-Diplomat, CIA-Verbindungsmann und Partner einer internationalen Beratungsfirma tätig. Heute ist er Hauptberater bei Global Trace und hilft Unternehmen beim Aufbau von Cyber-Resilienz.
In dieser Folge von Das Segment, Brian erzählte mir, wie seine Erfahrung in den Bereichen Strafverfolgung und Nachrichtendienste seinen heutigen Cybersicherheitsansatz beeinflusst und warum Bedrohungsakteure dort gewinnen, wo Unternehmen hinterherhinken.
Vom Ladenüberfall bis zur Ransomware als Service
Brian hat alles untersucht, von Entführungen im Ausland bis digitale Erpressung zu Hause.
Was verbindet sie? Das Streben nach Hebelwirkung.
„Wir haben Entführungen gegen Lösegeld genauso behandelt, wie wir vorgehen. Ransomware heute „, sagte Brian. „Sie wissen, wer es getan hat, Sie wissen, wie sie arbeiten, und Sie wissen, wie man verhandelt. Es ist ein Geschäftsmodell, und sie führen es besser aus als einige legitime Unternehmen.“
Seiner Meinung nach tendieren die wirtschaftlichen Aspekte der Cyberkriminalität zu Gunsten von Angreifern.
„Wenn Sie persönlich ein Geschäft für 50 Dollar ausrauben, taucht ein ganzes Polizeireaktionsteam auf“, sagte er. „Aber 500.000$ online stehlen? In den meisten Ländern wissen die Strafverfolgungsbehörden nicht, was sie damit anfangen sollen.“
Cyberkriminalität ist skalierbar, grenzenlos und oft unsichtbar. Brian ist der Meinung, dass die Verteidiger, bis sie einen ähnlichen geschäftsorientierten Ansatz verfolgen, überholt bleiben werden.
Wenn Sie persönlich ein Geschäft für 50$ ausrauben, taucht ein ganzes Polizeireaktionsteam auf. Aber 500.000$ online stehlen? In den meisten Ländern wissen die Strafverfolgungsbehörden nicht, was sie damit anfangen sollen.
Warum das Verbot von Lösegeldzahlungen nicht die Antwort ist
Wenige Themen lösen mehr Debatten aus als die Frage, ob Organisationen Lösegeld zahlen dürfen sollten. Brian hat von seiner Zeit beim FBI bis hin zur Beratung von CEOs bei der Bewältigung eines Sicherheitsverstoßes beide Seiten gesehen.
„Es gibt keine pauschale Antwort“, sagte er. „Manche Unternehmen werden aufhören zu existieren, wenn sie nicht zahlen.“
Er erinnerte sich an eine Anwaltskanzlei, deren gesamte Kundenhistorie gesperrt war. Ohne Bezahlung wären ihr Geschäft und ihr Ruf zerstört worden.
Verbot Lösegeldzahlungen Das mag abschreckend wirken, aber Brian glaubt, dass dadurch die Gefahr besteht, dass Unternehmen doppelt schikaniert werden: „Sie entfernen eines der wenigen Tools, die noch zum Überleben übrig sind.“
Stattdessen schlägt er eine nuanciertere Strategie vor:
- Durch Vorsorge weniger Anreize für Zahlungen schaffen
- Entwickeln Sie allgemeine Cybersicherheitshygiene, einschließlich Backups
- Implementieren Sie intelligente Versicherungsmodelle
- Reduzieren Sie Gesetze, die komplexe Geschäftsrealitäten zu stark vereinfachen
Anstatt pauschaler Verbote benötigen Unternehmen einen intelligenteren Ansatz — einen, der Resilienz, Risiken und die Realitäten, mit denen Führungskräfte nach einem Angriff konfrontiert sind, in Einklang bringt.
Cyberversicherung ist kein Sicherheitsnetz
Da sich immer mehr Unternehmen an Cyber-Versicherung Zur Beruhigung bietet Brian einen Realitätscheck an.
„Es ist keine Lösung. Es ist oft eher wie eine Verhandlung „, sagte er. „Und manchmal sucht der Versicherer als Erstes nach einem Grund. nicht zu bezahlen.“
Er verglich es mit einer Autoversicherung. Ja, Sie sind abgesichert... es sei denn, Sie haben ein Detail im Kleingedruckten übersehen. Das Ergebnis ist Verwirrung während einer Krise, unklare Versicherungsbedingungen und eine verzögerte Erholung.
„Die meisten Richtlinien helfen Ihnen nur dabei, wieder online zu gehen“, warnte Brian. „Sie decken nicht den Wiederaufbau von Vertrauen, Reputationsschäden oder zukünftige Widerstandsfähigkeit ab.“
Sein Rat an CISOs lautet, genau zu wissen, was Ihre Police abdeckt und wo Ihre Deckungslücken bestehen. Behandeln Sie Versicherungen niemals als Ersatz für starke Abwehrmaßnahmen und vertrauen Sie nicht darauf, dass Versicherungsunternehmen nach einem Angriff in Ihrem besten Interesse handeln.
Cyberrisiko ist Geschäftsrisiko
Zu oft wird Cyberrisiko immer noch als IT-Problem behandelt. Brian hält das für einen gefährlichen Fehler.
„Wenn die Geschäftsleitung nicht an Cybersicherheit glaubt, wird sie nicht finanziert, priorisiert oder praktiziert“, sagte er.
Er erinnerte sich an eine Zeit, in der CEOs nicht wussten, wer ihre IT-Leiter waren. „Jetzt verstehen die Vorstandsetagen endlich, dass es bei Cybersicherheit nicht um Firewalls geht, sondern darum, das Unternehmen am Leben zu erhalten.“
Dieser Wandel, so sagt er, sei zum Teil auf den regulatorischen Druck zurückzuführen, spiegle aber auch die zunehmende Erkenntnis wider, dass Widerstandsfähigkeit ein Wettbewerbsvorteil ist.
Brian wies auch schnell darauf hin, dass ein Verstoß nicht bedeutet, dass man versagt hat. Tatsächlich gehen die besten Sicherheitsverantwortlichen davon aus, dass dies passieren wird.
„Ich habe CEOs immer gesagt: ‚Es ist okay, Opfer eines Cyberangriffs zu werden. Es ist nicht in Ordnung, auf einen nicht vorbereitet zu sein „, sagte er.
Diese Denkweise steht im Mittelpunkt von Null Vertrauen was von Kompromissen ausgeht und sich darauf konzentriert, die Folgen eines Verstoßes zu verringern.
„Vorsorge bedeutet nicht nur Backups und Richtlinien“, betonte Brian. „Es ist kulturell. Jeder in der Organisation muss seine Rolle kennen, wenn etwas schief geht.“
Ich habe CEOs immer gesagt: „Es ist okay, Opfer eines Cyberangriffs zu werden. Es ist nicht in Ordnung, auf einen nicht vorbereitet zu sein.“
Die Lücke zwischen Risiko und Realität schließen
Brians Geschichten heben eine zentrale Wahrheit hervor. Bei Cybersicherheit geht es nicht darum, Risiken zu vermeiden, sondern darum, sie zu managen.
Die widerstandsfähigsten Unternehmen betrachten Sicherheit als Geschäftsfunktion, setzen auf proaktive Planung und investieren in Eindämmung, nicht nur in Prävention.
Oder wie Brian es ausdrückte: „Man wartet nicht bis ein Feuer ausbricht, um einen Feuerlöscher zu kaufen. Du planst, trainierst und stellst sicher, dass jeder weiß, wo es ist.“
Willst du mehr hören? Hören Sie sich die vollständige Folge dieser Woche an Das Segment: Ein Zero-Trust-Leadership-Podcast auf Apple-Podcasts, Spotify, oder wo auch immer du deine Podcasts bekommst. Sie können auch die lesen vollständiges Protokoll.