Der Sicherheitsgurt für Cybersicherheit: Die Sicht eines Cyberpsychologen auf den Übergang vom Bewusstsein zur Gefahrenabwehr

Raghu Nandakumara 00:11

Willkommen zurück, alle, zu einer weiteren Folge von The Segment. Es ist eine große Ehre und ein Privileg, heute von einem preisgekrönten Pädagogen, Unternehmer, Redner und Cybersicherheitsforscher begleitet zu werden. Dr. Erik Huffman, Willkommen bei The Segment!

Dr. Erik Huffmann 00:28

Hallo. Danke, dass du mich eingeladen hast. Ich weiß das zu schätzen.

Raghu Nandakumara 00:30

Also, ich werde deinem wunderbaren Hintergrund nicht gerecht werden können. Ich werde nur sagen, dass dies das erste Mal ist, dass ich ein Gespräch mit einem Cyberpsychologen führe. Ich bin fasziniert, worum es geht. Ich habe eine kleine Idee, nachdem ich einige deiner YouTube-Videos gesehen habe. Also, Dr. Huffman, warum geben Sie uns nicht etwas über Ihren Hintergrund?

Dr. Erik Huffmann 00:52

Ja, also von vorne anfangen, oder, du weißt schon, mit der Cyberpsychologie anfangen, interessantes Zeug?

Raghu Nandakumara 00:59

Wissen Sie was? Ich denke, es ist wichtig, von vorne zu beginnen, denn so finden wir heraus, wie Sie zur Cyberpsychologie gekommen sind, oder?

Dr. Erik Huffmann 01:05

Die kurze Kurzversion ist, nachdem ich meinen Bachelor-Abschluss in Informatik gemacht habe und angefangen habe, für Walgreens zu arbeiten, wie zum Beispiel von Geschäft zu Geschäft zu fahren, Drucker zu reparieren, Netzwerke zu reparieren, Computer zu reparieren und solche Dinge. Ich habe es genossen! Weißt du, der Grund, warum ich mit Informatik angefangen habe, ist mein Vater, um ehrlich zu sein. Als ich aufwuchs, hat man natürlich, genau wie viele Menschen, nicht viel, und ich habe meinen Vater zur Schule gehen sehen, und er hat sich wirklich mit diesen Computern beschäftigt. Dann sah ich, wie sich unser Leben verändert hat. Ich habe gesehen, wie wir von einer, du weißt schon, wirklich kleinen Wohnung, einem kleinen Haus zu einem großen Haus gingen. Also sagte ich: „Hey, das ist ziemlich cool“, und so beschloss ich, den gleichen Weg zu gehen. Also machte ich meinen Bachelor-Abschluss in Informatik, fing an, für Walgreens zu arbeiten und solche Dinge. Dann erhielt ich meinen Master in Management mit dem Schwerpunkt IT-Management. Und so fing ich an, etwas zu tun, Projektmanagement. Ich war genauso denkend wie alle anderen auch. Zum Beispiel werden nur dumme Leute gehackt. Zum Beispiel, wenn dein Nutzername admin und dein Passwort admin ist, hast du es verdient. Weißt du, solche Dinge sind einfach super arrogant. Also, hey, ich werde alles absperren. Nichts ist schlecht. Es wird passieren. Und dann gab es eine Datenschutzverletzung in meinem Kopf. Dann, drei Monate später, habe ich eine weitere Datenschutzverletzung. Ich war neugierig: Wenn nur dumme Leute gehackt werden, bin ich dann dämlich? Weißt du, eine Art Selbstreflexion, ist das? Ist das? Bin ich dämlich? Also fing ich wirklich an, mir die Daten bei allem, was wir getan haben, anzusehen, weil ich weiß, was die Technologie, die wir implementiert haben, geholfen hat. Ich weiß es. Wie die Firewall, das IDS-System, das IPS-System, all die Dinge, die wir rausgeworfen haben, all die Technologie, wir haben dieses Problem verworfen. Ich weiß, dass es geholfen hat, aber warum sehen wir keines der Ergebnisse? Also habe ich einige Nachforschungen angestellt, und dann habe ich mir nur die Geschwindigkeit der Technologie angesehen, und ich habe mir die Rate der Datenschutzverletzungen angesehen, und sie spiegeln sich gerne gegenseitig wider. Es ist so, je mehr Technologie wir implementiert haben, desto schlimmer war das Problem der Datenschutzverletzung. Aber trotzdem dachte ich in meinem Herzen, ich weiß, ich weiß, das hilft. Und so fing ich an, mich mit der Gemeinsamkeit zu befassen, das sind wir, das sind Menschen. Was zu einer ganz anderen Sache führte, weil ich anfing, mich mit der Psychologie von Menschen zu befassen, mit der Psychologie des Social Engineering. Und dann haben wir mitgeholfen, dieses Gebiet der Cyberpsychologie zu gründen. Also, mein besonderer Blick auf Cyberpsychologie, es gibt jetzt eine Reihe verschiedener Zweige. Davon ausgehend gibt es einige Leute, die fantastische Nachforschungen anstellen. Insbesondere ich beschäftige mich mit digitalem Social Engineering in der Cybersicherheit. In der Cyberpsychologie gibt es also auch Menschen, die sich mit der psychischen Gesundheit von Kindern, Cybermobbing und ähnlichen Dingen befassen. Aber ich beschäftige mich besonders mit digitalem Social Engineering und Cyberangriffen und solchen Dingen. Also fuhr ich in Walgreens von Geschäft zu Geschäft, weißt du, um mit dem Unterrichten anzufangen. Ich fing an zu unterrichten, und ich liebte die Ausbildung an ein paar Colleges, die Hochschulbildung. Als ich dann die Geschichten erzählte, übersah ich den Grund, warum diese Geschichten existierten. Und so sagte ich: „Hey, ich muss aus dem Klassenzimmer raus. Lass mich mit meinen Cyber-Brüdern und -Schwestern zurück in die Schützengräben gehen.“ Und das führt mich dazu, dass ich jetzt eine riesige Menge an Recherchen anstelle, um den Vorstoß der Cyberpsychologie fortzusetzen und gleichzeitig in der Branche zu arbeiten.

Raghu Nandakumara 04:45

Das ist unglaublich, und du hast absolut recht. Die Annahme ist, dass, oh, unvorsichtige Leute, dumme Leute gehackt werden, kompromittiert werden, richtig? Aber die Wahrheit ist, dass einige der am besten finanzierten Organisationen mit den ausgereiftesten Cybersicherheitsprogrammen immer noch Opfer eines Angriffs sind, oder? Und Sie haben gesagt, dass Sie sozusagen mitten in zwei Cyberangriffen waren. Wie haben Sie sich inmitten dieser Vorfälle gefühlt? So wie diese Vorfälle auch sind, du hast sie entdeckt. Du bist mittendrin. Wie fühlst du dich?

Dr. Erik Huffmann 05:22

Ehrlich gesagt, das Gefühl hat Angst und es ist wie, wie, was haben wir falsch gemacht? Du musst dich beruhigen. Du musst alle anderen beruhigen. Weil es sofort so ist, als ob, wer hat was getan? Und vielleicht hast du nichts falsch gemacht. Zum Beispiel, wenn Sie ein kleines Unternehmen oder ein mittelständisches Unternehmen sind, wenn ein Nationalstaat Sie kriegen will, wird er Sie höchstwahrscheinlich so erwischen, dass Sie alles richtig machen und es trotzdem falsch machen können. Und so war es bei diesen Vorfällen einfach so: „Was haben wir falsch gemacht? Wer hat was verpasst? Wer hat was gemacht?“ Und das war das, das war dieses Gefühl, und ich musste daraus herauswachsen. Weißt du, als Wesen, als Senior-Person, weil, weißt du, ich war neu, habe meinen Master gemacht, war eine ganze Weile in der Branche, aber ich war neu in meiner Position. Sie sind also eine Person auf der unteren, oberen Ebene, Sie müssen verstehen, dass, hey, Sie müssen verstehen, wie man führt, und dass es vielleicht nicht die Schuld von irgendjemandem ist, und diese reflexartige Reaktion auf das, was passiert ist, und dann geht es darum, wer was getan hat — das war toxisch. Und eine Lektion, die ich für mich gelernt habe, war, mich einfach auf die Sache zu konzentrieren, sich darauf zu konzentrieren, was passiert ist, sich darauf zu konzentrieren, wie, wie man verhindern könnte, dass es wieder passiert. Also fiel ich dem zum Opfer und dachte nur, wer hat was getan? Das sollte nicht passieren. Wir waren zu 100% sicher. Tatsächlich gibt es keine hundertprozentige Sicherheit. Also denk nicht darüber nach, wer was getan hat. Denke einfach darüber nach, was passiert ist, und dann, in der Nachaktion, oder manche Leute nennen es eine Obduktion, finde heraus, wer was getan hat. Was ist passiert, weißt du, haben wir etwas falsch gemacht oder wurden wir einfach mit der Sicherheitslücke erwischt, von der wir nicht einmal wussten, dass sie existiert?

Sie haben da einen sehr starken Begriff verwendet, es war wie giftig. Dabei ging es eher darum, einer Einzelperson oder einem Team die Schuld zuzuweisen, als zu verstehen, wie sich das Problem überhaupt manifestierte. Siehst du das? Ich weiß nicht, wie viele Jahre diese Vorfälle her sind, aber stellen Sie fest, dass sich dieser Ansatz in Unternehmen jetzt geändert hat und dass der Schwerpunkt viel stärker darauf liegt, was dazu geführt hat, als wer?

Nein. Die unglückliche Antwort lautet nein. Oft, selbst wenn ich Organisationen berate, ging es darum, wer was getan hat, und es geht darum, wer etwas getan hat oder welche Nachlässigkeit es gab, im Vergleich zu dem, was tatsächlich passiert ist. Und wir als Öffentlichkeit, als Gesellschaft, tun das auch oft mit diesen Organisationen, und so gibt es eine Datenschutzverletzung in einem großen Unternehmen und sofort ist es so, naja, Mann, sie machen offensichtlich etwas falsch, weil es eine Datenschutzverletzung gibt. Selbst Cyberexperten spielen Cybersicherheitsingenieure auf dem Sessel und sagen: „Hey, das wäre nicht passiert, wenn Sie das getan hätten“, obwohl wir wissen, dass es keine hundertprozentige Sicherheit gibt, solange Dinge mit der Kloake des Internets verbunden sind. Solange diese Verbindung besteht, sind Sie nicht zu 100% sicher. Ich glaube also nicht, dass sich das noch geändert hat, insbesondere aus geschäftlicher Sicht. Oft ist es schlecht für das Geschäft, wenn Unternehmen glauben, dass sie in der Öffentlichkeit wahrgenommen werden, oder sie erleiden einen Aktieneinbruch oder ähnliches. Es geht sofort darum, wer was getan hat, und dann kommt es wieder an, wie der CISO oder so. Und dann sagt der CISO, nun ja, offensichtlich machen Sie Ihren Job nicht richtig, und wer weiß, was diese Sicherheitslücke war. Es hätte Tag Null sein können. Es ist so, hey, niemand wusste es, und wir sind Patient Null hier draußen. Ja, wir haben alles richtig gemacht und es trotzdem falsch verstanden. Und das ist eine bedauerliche Realität, wenn es um diese Branche geht. Und ich bin bescheiden. Ich bin ein sehr bescheidener Mann. Das sind meine Mutter, meine Großmutter, mein Vater, zu denen sie mich erzogen haben. Und weißt du, dem bin ich zum Opfer gefallen. Und ich werde allen gegenüber ehrlich sein und sagen, ja, dem bin ich zum Opfer gefallen. Als ich als Sicherheitsbeauftragter aufeinanderfolgende Vorfälle zu verzeichnen hatte, fragte ich mich, wer hat was getan? Das sollte quasi nicht passieren. Nun, es sollte nicht passieren, aber es ist passiert. Und es ist irgendwie so, welche Sicherheitslücke es gab. Wir können alle etwas lernen, zum Beispiel kann ich der Welt etwas mitteilen, und jeder lernt etwas. Und es ist genau an diesem Punkt, wie: Wem bist du schuld? Es tut mir leid, Sie wissen nicht alles über Technologie und jede Technologie, die potenziell ausgenutzt werden könnte. Das ist keine realistische Erwartung, die eine Führungskraft an ihre Mitarbeiter stellt, und es sollte auch keine realistische Erwartung für alle anderen sein, den CISO oder die Cybersicherheitsingenieure. Ich will nicht sagen, hey, jede Datenschutzverletzung sollte entschuldigt werden. Nein, aber du kannst einfach nicht sofort dorthin gehen. Wenn Fahrlässigkeit vorliegt, finden Sie dies heraus, nachdem Sie das Problem behoben haben. Zeigen Sie nicht sofort auf Fahrlässigkeit, dann lassen Sie uns das Problem beheben. Beheben Sie das Problem nicht und suchen Sie dann nach Fahrlässigkeit, falls vorhanden.

Raghu Nandakumara 10:30

Absolut. Ich denke, das ist ein so wichtiger Punkt, weil es nicht zu einer werden sollte, die erste Reaktion sollte keine CYA-Übung sein. Richtig? Bedecke zuerst deinen Hintern. Das sollte nicht sein, oder? Sie haben auch den Stress für die CISOs erwähnt, richtig, und die Art von, dieser ständigen Angst, in der sie leben, vor „was passiert, wenn es unter meiner Aufsicht einen Verstoß gibt“, oder? Vor allem, weil es so ist, naja, ich werde gefragt, oder? Nun, Sie haben all diese Mittel für Ihr Sicherheitsprogramm, und doch ist das passiert. Das muss also ein wichtiger Teil sein, weil wir so oft von CISO-Burnout hören. Das muss ein Hauptgrund dafür sein.

Dr. Erik Huffmann 11:13

Ja, das ist absolut die letzte Position, in der ich war. Ich war die ranghöchste Sicherheitsperson in der Organisation, und das ist, es ist ein Weg zum Burnout. Sie machen sich ständig Sorgen über alle Arten von Sicherheitsbedrohungen und die Geschwindigkeit, die das Unternehmen beschleunigen möchte, weil, Sie wissen, das Geschäftstempo nicht verlangsamen kann, was völlig verständlich ist. Aber da das Geschäftstempo einfach immer schneller und schneller voranschreitet, desto höher ist das Risiko. Ja, Sie versuchen also, das Risiko auszugleichen, ohne das Geschäft zu verlangsamen, aber irgendwann müssen Sie dem Unternehmen sagen: „Hey, Sie müssen langsamer werden.“ Und du wirst niemals, du wirst diesen Streit niemals gewinnen. Und es ist sehr, sehr schwierig, weil Sie sich immer noch Sorgen über mögliche Sicherheitslücken machen, weil Sie vielleicht derjenige sind, der dafür verantwortlich ist, es sei denn, Sie haben ein ausgereiftes Unternehmen, das Ihnen sagt: „Hey, aus diesem Grund ist es wahrscheinlich, wahrscheinlich nicht Ihre Schuld, aber wir müssen trotzdem weiter in Sicherheit investieren.“ Aber das ist ein Reifegrad, das wir bei vielen Organisationen nicht sehen. Es ist ein Reifegrad, das in vielen Vorstandsetagen noch nicht existiert, wenn man dem CISO sagt, dass eine Datenschutzverletzung möglicherweise nicht auf Fahrlässigkeit zurückzuführen ist. Es ist möglicherweise nicht die Schuld des CISOs. Es ist möglicherweise nicht die Schuld des Cybersicherheitsingenieurs oder des Sicherheitsdirektors. Es könnte etwas sein, das die gesamte Branche gleichzeitig lernt, oder es könnte ein Zero-Day sein, den wir einfach nicht schnell genug gepatcht haben, weil er, Zero Days, am ersten Tag, am dritten Tag veröffentlicht wurde. Es kommt vor, kommt zufällig zu Ihnen, besonders im Unternehmensumfeld, solche Dinge gibt es. Ich bin nicht wie ein CISO-Apologet, aber es ist offensichtlich nicht fair, wie genau diese Datenschutzverletzungen in gewissem Maße überprüft werden. Wenn Sie ein mittelständisches Unternehmen sind und ein Nationalstaat gegen Sie vorgeht, investieren Sie nicht genug Geld. Ich sage Ihnen, dass Sie nicht genug Geld investieren, um diesen CISO zu schützen. Dieser CISO wird wahrscheinlich ausgenutzt werden. Und wenn du ihnen die Schuld gibst, kannst du jemand anderen einstellen, und ihnen wird dasselbe passieren. Also, wenn die Ressourcen knapp sind, stellen Sie ein, wen Sie wollen, und das wird die Organisation nicht vor dem retten, was passieren wird. Sie müssen also weiterhin in Sicherheit investieren, aber verstehen, dass es keine hundertprozentige Sicherheit gibt, und verstehen, dass einige dieser Sicherheitslücken, wie Menschen, einfach nur gut sind. Und ob Sie darauf vorbereitet sind oder nicht, und wenn Sie auf alles vorbereitet sein und das Risiko wirklich minimieren möchten, sollten Sie diese Investition besser ziemlich hoch sein. Es muss ziemlich hoch sein, um Ihren Sicherheitsingenieuren eine Chance zu geben. Haben Sie nicht 1,2,3 davon in Ihrem Unternehmen im Wert von 50, 60, 100 Millionen $ und sagen Sie, wenn etwas Schlimmes passiert, liegt es an Ihnen allen. Ich kenne nicht viele Leute, die dafür gut genug sind, und das sind sie auch nicht. Sie werden wahrscheinlich nicht genug bezahlt, damit das echt ist, wie 24-Stunden-SOC mit drei Leuten, ich weiß nicht, Mann.

Raghu Nandakumara 14:27

Da ist etwas drin, was du gesagt hast. Es geht nicht nur darum, dass der Vorstand die Bedeutung eines Sicherheitsprogramms voll und ganz versteht, oder? Diese Art von, ich denke, diese Reife, wir sind absolut an einem Punkt angelangt, an dem der Vorstand, der für die Entscheidungsfindung verantwortlich ist, den Nutzen eines gut entwickelten und gut ausgeführten Sicherheitsprogramms klar versteht. Aber was Sie sagen, ist, dass das von selbst ist, das ist gut, aber der Vorstand muss wirklich die nötige Reife haben, um zu verstehen, dass, obwohl er in Sicherheit investiert, immer noch eine erhebliche Chance besteht, dass ein Angreifer seine Umgebung kompromittiert. Und er sollte dann nicht reagieren und sagen: „Hey, was zur Hölle“, also das sollte nicht die Reaktion sein. Es sollte so sein: „Ja, wir verstehen es. Wir verstehen, dass die Wahrscheinlichkeiten immer noch zu ihren Gunsten stehen.“

Dr. Erik Huffmann 15:19

Ja, genau, weil sich jedes Gespräch im Sitzungssaal über den Fortschritt oder das Geschäft höchstwahrscheinlich, ich werde nicht sagen, die ganze Zeit, höchstwahrscheinlich weiterentwickeln oder ein neues Risiko mit sich bringen wird. Und je nachdem, wie hoch das Risiko ist, als Vorstand oder CEO, COO, so etwas, müssen Sie verstehen, dass bei diesen Gesprächen diese Risiken auftauchen, und werden Sie diese mindern oder werden Sie diese Risiken akzeptieren? Einige dieser Sicherheitsgespräche, bei denen Sie frustriert sind, sind nur auf akzeptierte Risiken zurückzuführen. Und der Vorstand, der CEO, der CEO und der CFO sollten verstehen, dass, hey, wenn das passiert, das passiert ist, weil wir das Risiko akzeptiert haben, dass es passiert. Und wenn du das Risiko akzeptiert hast, dass es passiert und es passiert, dann ist es nur eine Art Schadensbegrenzung. Wissen Sie, wenn das Risiko bestünde und wir dachten, dass die Auswirkungen, die Folgen dieses Risikos, nicht so schwerwiegend sein würden. Und es passiert, stellen wir sicher, dass es nicht so schwerwiegend ist, und lassen Sie uns dann das Risiko noch einmal überprüfen. Nehmen wir dieses Risiko weiterhin in Kauf? Höchstwahrscheinlich lautet die Antwort: „Nein, wir müssen umschwenken. Wir müssen etwas anderes machen.“ Weil wir nicht dachten, dass die Wahrscheinlichkeit, dass dieses Risiko eintritt, so wahrscheinlich ist, oder es war ziemlich wahrscheinlich, und dann ist es einfach so schnell passiert. Denken wir zum Beispiel, dass es wieder passieren wird? Ja, wird das eine jährliche Sache sein? Ist es eine vierteljährliche Sache? Hoffentlich ist es nicht wie eine wöchentliche Sache, aber es könnte einmal alle fünf Jahre passieren, nachdem Sie Ihre Obduktion und Ihre Recherchen dazu durchgeführt haben, dann dieses Risiko akzeptieren und den CISO für das Risiko verantwortlich machen. Dieses Risiko wurde akzeptiert wie: „Okay, wenn das passiert, schützen Sie uns bitte davor, dass es noch schlimmer wird.“ Nicht „Bitte schützen Sie uns vor diesem Risiko, das wir akzeptiert haben, niemals, niemals eintreten“, dann müssen Sie das verdammte Ding nur abschwächen. Entschuldigung — Sie müssen die Sache nur mildern.

Raghu Nandakumara 17:26

Absolut und genau das letzte Argument, das Sie angesprochen haben, denn als ich Sie darüber sprechen hörte und so leidenschaftlich davon, zu verstehen, dass Sie, wenn Sie ein Risiko eingehen, im Grunde die gebotene Sorgfalt eingehalten haben und gesagt haben: „Ich denke, meine Chancen stehen zu meinen Gunsten. Also nehme ich das hier mit. Ich werde nicht mehr Geld investieren“, aber du musst erkennen, dass dieses Risiko immer noch besteht. Indem du es akzeptierst, hast du es nicht verschwinden lassen, oder? Wenn dieses Risiko also genau das ist, was ausgenutzt wird, dann kannst du nicht sagen: „Nun, ich dachte, wir haben uns dagegen verteidigt.“ Du hast es akzeptiert, oder? Und ich, bis zu diesem Punkt, unser Chefevangelist John Kindervag, er sagt tatsächlich zu ihm, das Risiko ist Gefahr, oder? Anstatt Risiken einzugehen, müssen Sie Ihr Bestes tun, um so viel wie möglich zu minimieren.

Dr. Erik Huffmann 18:20

Exakt. Vorstände, die sich mit Sicherheit auskennen, verstehen also nicht nur Sicherheit. Nun, das tun sie, aber sie wissen, dass Sicherheit Risikomanagement ist. Jeder Sicherheitsexperte, der Job ist ein Risiko. Ob es um den Einsatz von Technologie geht oder ob es darum geht, etwas zu implementieren, unsere Compliance ist einfach, es ist Risikomanagement. Daher sollte der Vorstand oder Ihre Geschäftsentwicklungsteams verstehen, dass alles Risikomanagement ist. Und so: „Hey, wir werden das machen. Verstehst du dieses Risiko? Ja.“ Und dann haben sie hoffentlich quasi ein Risikoregister ausgefüllt, und sie wissen, was sie akzeptieren, und sie wissen, was sie zu mindern versuchen. Und dann das Sicherheitsteam, ja, es sollte zur Rechenschaft gezogen werden. Sie werden für die Risiken im Vorstand zur Rechenschaft gezogen, die Sie mindern möchten. Zum Beispiel: „Hey, wir haben gesagt, wir haben das abgemildert, und wir haben herausgefunden, dass ihr aus irgendeinem verdammten Grund immer noch Windows XP verwendet.“ Ja, auf jeden Fall, auf jeden Fall. Aber wenn dieses Risiko akzeptiert wird und das Risiko dann so eintritt, heißt das einfach, hey, einfach Schadensbegrenzung. Schadensbegrenzung und sorge dafür, dass das nicht wieder passiert. Applaus all den Männern und Frauen, die Organisationen mit dieser Art von Beziehung führen, denn dann sind das Sicherheitsteam, die CISOs, nicht so stark mit Burnout konfrontiert, weil sie verstehen, dass der Vorstand versteht, hey, wenn etwas Schlimmes passiert. Ich bin nicht auf der Straße auf diesem harten Arbeitsmarkt.

Weißt du, sie verstehen, hey, wir können Dinge passieren lassen, und wir gehen einfach alle zur Schadensbegrenzung, aber bestimmte Dinge können einfach absolut nicht passieren, wie wenn, wenn der Verstoß passiert ist und es absolute Fahrlässigkeit ist, ja, du wirst dafür zur Rechenschaft gezogen, und das ist fair. Es ist ein faires Argument. der Weg. Der Benutzername war admin, das Passwort war admin, ja, schlecht. Schlechtes Sicherheitsteam. Absolut schlechtes Sicherheitsteam. Oder Sie hatten ungepatchte Software, die vor einem oder drei oder zwei Quartalen hätte gepatcht werden sollen. Das Sicherheitsteam sollte das wahrscheinlich eingestehen, wenn Ihre Prozesse kaputt sind. Aber wenn es zur Software wird oder das auf geschäftliche Anforderungen zurückzuführen ist, haben wir das implementiert, oder wir haben nicht so schnell gepatcht, wie wir wollten, weil wir nicht das Team haben, das wir brauchen. Und wir haben Ihnen gesagt, welches Risiko besteht, und Sie sagten: „Hey, wir könnten mit Patches etwas im Rückstand sein, weil wir mehr Geld dafür investieren müssen“, und etwas Schlimmes passiert. Dann ist es so, nun, wir müssen das noch einmal überdenken. Dieses Risiko ist zu hoch; die Konsequenz ist zu hoch und die Wahrscheinlichkeit ist zu hoch. Und dieses Gespräch, so sollten alle Unternehmen sein, das ist der Traum für Unternehmen.

Raghu Nandakumara 23:43

Das ist eine großartige Zusammenfassung von nur einer Sammlung von Punkten und wirklich darüber, wie das Unternehmen auf der einen Seite und die Sicherheitsorganisation, um etwas auf ihrer Seite zu unterstützen, wirklich zusammenarbeiten sollten, um die besten Ergebnisse für beide Seiten zu erzielen. Also, danke dafür, Dr. Huffman. Ich möchte irgendwie weitermachen. Ihr Fachgebiet, und wir haben das irgendwie umgangen, aber Sie sind wegen Ihrer Arbeit als Cyberpsychologe hier. Geben Sie uns eine wirklich einfache Definition dessen, was Cyberpsychologie ist.

Dr. Erik Huffmann 24:14

Cyberpsychologie ist eine Mischung aus Sicherheit, Cybersicherheit, Psychologie des menschlichen Verhaltens und Soziologie des menschlichen Verhaltens in den Neurowissenschaften. Schlicht und einfach, wenn man diese drei Dinge zusammenfügt, landet man bei Cyberpsychologie. Okay,

Raghu Nandakumara 24:30

Ich verstehe, ich verstehe das, oder? Also, warum ist es heute so wichtig?

Dr. Erik Huffmann 24:36

Denn über 90%, glaube ich, sind zwischen 94 und 97% der Datenschutzverletzungen auf menschliches Verhalten zurückzuführen, betreffen das menschliche, das menschliche Element. Ich weiß also schon zu Beginn dieses Gesprächs, dass wir über wahrscheinlich 2-3% des Problems sprechen — um nicht zu sagen, dass Technologie keine Rolle spielt, Technologie ist sehr wichtig. Wir sprechen von 2 bis 3% der Datenschutzverletzungen. Die anderen 95-97% der Datenschutzverletzungen betreffen menschliches Verhalten, beinhalten menschliches Versagen oder beinhalten aus einer bestimmten Perspektive Social Engineering. Als ich mit meinen Recherchen begann, zog ich eine Gruppe von über 300 Hackern zusammen, die sich selbst identifiziert hatten. Sie haben mir nicht gesagt, ob sie einen weißen Hut, einen schwarzen Hut, einen grauen Hut oder was auch immer haben. Ich glaube, 93% von ihnen gaben an, dass sie mit Menschen beginnen, bevor sie mit Technologie beginnen, weil sie es vorziehen würden, dass du mir deinen Benutzernamen und dein Passwort gibst. Zu diesem Zeitpunkt ist es noch nicht einmal Hacking. Das macht meine Arbeit als Bedrohung, als Bedrohungsakteur viel einfacher.

Raghu Nandakumara 25:40

Ja, absolut. Und ich denke, der letzte Punkt ist wahrscheinlich ein Ausgangspunkt; wollen Angreifer nicht hart arbeiten, oder? Sie wollen den einfachen Weg zum Erfolg, nicht den, nicht den harten Weg zum Erfolg. Nun, meistens geht es jedenfalls um den einfachen Weg zum Umsatz.

Dr. Erik Huffmann 25:57

Ja, oh, auf jeden Fall! Als würde man mit einer Patch-Firewall auf Tuchfühlung gehen, das ist eine verrückte Aufgabe. Nicht viele Menschen auf dem Planeten können das tun. Wenn Sie also davon sprechen, alles klar, Sie haben ein vollständig gepatchtes IDS-System, eine vollständig gepatchte Firewall, vollständig gepatcht, welcher Router, Mann, Leute, die da einbrechen können. Das sind etwa 1% von 1%. Es ist sehr, sehr, sehr schwierig zu tun. Das schränkt also ein, wenn du komplett gepatcht bist, schränkt das wirklich ein, wie viele Leute dich ausnutzen können, aber wenn ich dich dazu bringen kann, zu deiner eigenen Datenschutzverletzung beizutragen, oh Mann, das ist das, das ist Liebe.

Angreifer wollen nicht, sie wollen nicht hart arbeiten, weil sich die Technologien weiterentwickeln und Patches herauskommen. Es gibt Sicherheitslücken, und dann verschwinden sie, aber Sie sind ein Ziel. Und je länger es dauert, desto schwieriger kann es werden. Aber wenn ich dich dazu bringen kann, mit mir zu reden, wenn ich dich dazu bringen kann, zu deinen eigenen Fehlern beizutragen, dann macht das meine Arbeit viel einfacher. Und ich kann viel mehr Daten bekommen, wenn ich ein privilegierter Benutzer werde, wenn ich Sie in Ihrem System werden kann, das erleichtert meine Arbeit erheblich. Und so fangen die meisten Hacker dort an. Sie fangen bei dir an, sie fangen mit mir an, bevor sie am Ende sagen: Hey, lass mich mit Microsoft oder Apple oder mit Cisco oder Palo Alto auf Tuchfühlung gehen, ohne es zu haben, und sie wollen es nicht. Das wollen sie nicht tun. In den meisten Fällen tun dies die meisten Hacker nicht. Die meisten von ihnen wollen die Daten nur so schnell wie möglich, so einfach wie möglich.

Raghu Nandakumara 27:36

Und genau das ist der Grund, warum ein Großteil der Schulungen zum Sicherheitsbewusstsein, die wir alle kennen und lieben, so darauf ausgerichtet ist, der menschlichen Tendenz, neugierig zu sein, fast entgegenzuwirken, oder? Wenn es also um die Ausbildung geht, wie können Sie überprüfen, ob eine Website, auf die Sie gehen, vertrauenswürdig ist, oder? Wie vermeidest du es, in einer E-Mail auf diesen Link zu klicken, wenn sie dir Tickets für den Super Bowl für 5$ in der VIP-Suite anbieten? Trotz alledem klicken wir immer noch nach rechts. Wir gehen immer noch auf die Website, auf die wir nicht gehen sollten, oder? Wir geben unsere Daten immer noch bei einem Telefonanruf an, wenn die Person unser bester Freund ist. Warum also, trotz all dieser Bildung, warum ist es immer noch nicht so? Warum bist du nicht an einem Punkt angelangt, an dem wir uns aufgehalten haben?

Dr. Erik Huffmann 28:30

Ja, ich glaube, meine ehrliche Meinung ist, dass wir so viel Zeit mit der Sensibilisierung für Cybersicherheit verbracht haben, dass wir uns noch nicht einmal mit der Vorbereitung auf Cybersicherheit befasst haben. Wir haben uns so sehr bemüht, die Menschen auf das Problem aufmerksam zu machen, dass wir die Menschen nicht auf die bestehenden Probleme vorbereitet haben. An dieser Stelle werde ich sagen, dass die meisten Menschen sich dessen bewusst sind, also solltest du kein Bewusstsein vermitteln. Wir müssen anfangen, uns auf Vorsorge zu konzentrieren. Beim digitalen Social Engineering und Phishing handelt es sich um nichts anderes als bösartiges Marketing. Und jedes Unternehmen weiß, dass Marketing funktioniert. Deshalb investieren wir Milliarden von Dollar darin. Marketing funktioniert. Also bösartiges Marketing, warum sollte das nicht funktionieren? Weil es Jagd macht, es macht Jagd auf den Menschen. Es macht sich die Prinzipien des Einflusses dieses Menschen zunutze. Und wir alle haben diese Einflussprinzipien, die für uns existieren, und es hängt nur davon ab, wie der Angreifer die Person erreichen will. Ihre Einflussprinzipien unterscheiden sich von meinen Einflussprinzipien. Die Dinge, auf die Sie klicken würden, sind also anders als die Dinge, auf die ich klicken würde. Und wir haben noch nicht einmal damit begonnen, die Leute auf das Gespräch vorzubereiten, dass sie als Person angegriffen werden. Wir haben die Leute auf technische Bedrohungen aufmerksam gemacht. Und obendrein klingen diese technischen Bedrohungen sehr schwierig zu handhaben. Es klingt sehr schwierig für jemanden, der sich nicht für Technologie interessiert; es klingt wie, hey, du musst- nicht einmal die E-Mail-Header überprüfen - das ist einfach, aber wir fangen an, über Hintertüren und solche Dinge zu sprechen. Aber wenn wir das Problem aufschlüsseln und sagen würden, was sie versuchen werden, ist, dich als Person zum Narren zu halten. Und damit Sie uns bei dem Sicherheitsproblem helfen können, müssen Sie sich nicht täuschen lassen. Was sie versuchen werden, ist, mit deinem Haupteinfluss des Likens zu spielen. Spielen Sie nach Ihrem Prinzip des Einflusses, der Gegenseitigkeit, der Neugier. Solche Dinge werden sich dann für eine Person, wie einen durchschnittlichen Mitarbeiter, eine Finanzperson oder eine Marketingperson, so anhören wie: „Oh, das verstehe ich. Ich schaffe das. Ich bin zwar kein, ich bin kein technischer Experte, aber ich kann mich vor solchen Angriffen schützen.“ Dann tendieren wir zur Vorbereitung. Wir fangen an, die Menschen auf das Problem vorzubereiten, weil Bewusstsein, glaube ich, keine Zeitverschwendung ist. Ich denke, wir sollten das immer noch tun, aber dem muss ein Schritt voraus sein. Wir müssen dem einen Schritt voraus sein und damit beginnen, die Menschen auf die Arten von Bedrohungen vorzubereiten, die es gibt, wie sie sie gezielt ansprechen werden und welche Sicherheitslücken sie als Person haben, und uns wirklich darauf konzentrieren. Im Moment ist es sehr schwierig, einen Job zu finden, und die Leute haben Angst, ihren Job zu verlieren, besonders im Technologiebereich. Die Entlassungen in der Tech-Branche werden verrückt. Ich garantiere Ihnen, dass die Leute klicken, wenn Sie im Rahmen einer Phishing-Kampagne eine Nachricht über Entlassungen verschicken. Es liegt nicht daran, dass sie dämlich sind. Es ist so, dass diese Leute Angst um ihren Job haben. Sie machen sich darüber Sorgen. Und das sind die Arten von Bedrohungen, von denen wir allmählich feststellen, dass sie am erfolgreichsten sind. Die Zeiten des nigerianischen Prinzen sind vorbei. Weißt du, die Leute schicken immer noch solche Dinge raus, aber wenn es darum geht, die Person absichtlich ins Visier zu nehmen, haben die Leute Angst und wollen nicht zweimal nachdenken. Sie wollen dem CEO nur helfen, weil sie Angst vor dem CEO haben, weil sie Angst haben, ihren Job zu verlieren; das ist eine menschliche Schwachstelle. Und jeder hat einen. Das ist quasi eine schlechte Person, keine gute Person, die zu diesem Zeitpunkt sehr verwundbar ist. Und um diese Sicherheitslücke zu zitieren, ohne Anführungszeichen, zu beheben, muss möglicherweise eine Nachricht vom CEO sein. Zum Beispiel, wenn, wenn es nur eine Entlassung gegeben hat, die Leute das vom CEO hören müssen, und sie müssen Ehrlichkeit hören. Wenn Sie gerade etwa 20% Ihres Unternehmens entlassen haben, garantiere ich Ihnen, dass die anderen 80% Ihres Unternehmens Angst vor der nächsten Entlassung haben. Und wo ist diese Phishing-Schwachstelle? Worauf bezieht sich diese Sicherheitslücke im Bereich Digital Social Engineering? Wahrscheinlich Ihr Name, Mr., Mrs., Miss CEO. Denn wenn Sie eine Nachricht an jemand anderen senden. Ich garantiere, dass sie leben werden. Sie werden zuhören und dich nicht befragen wollen, weil sie Angst um ihren Job haben, der in der Natur des Menschen liegt.

Raghu Nandakumara 33:09

Ja, ja. Ich glaube nur, in einer Kleinigkeit stimme ich Ihnen nicht zu, dass ich nicht glaube, dass der nigerianische Prinz gegangen ist. Es heißt, dass der Prinz jetzt mit einem großen Sprachmodell ausgestattet ist, das in der Lage ist, E-Mails zu generieren, die so zielgerichtet und personalisiert sind, richtig, dass man es tatsächlich für etwas anderes sieht und denkt, dass es echt ist und nur ein Trick nebenbei. Aber ich möchte über Verwundbarkeit sprechen, über menschliche Verwundbarkeit und Bereitschaft. Du hast also gesagt, dass wir wirklich gut im Bewusstsein sind, oder? Und ich stimme zu, oder? Und Sie können sehen, dass es mehr als nur das Arbeitsumfeld ist, und es ist jetzt so, als würden Kinder, als sie fast im Kindergarten sind, in Sachen Cyberbewusstsein geschult werden, oder? Und es ist wirklich wichtig. Und Sie sagten, wir müssen uns auf die Vorbereitung konzentrieren. Meine Frage an Sie ist also, ist das, wenn alles fair und nett ist, oder? Wir sind in der Lage, relativ rationale und objektive Entscheidungen zu treffen. Aber wie Sie wissen, haben es Angreifer, Hacker und Kriminelle ins Visier genommen. Sie haben ihre Ziele so profiliert, dass sie sie ins Visier nehmen, wenn sie am verwundbarsten sind. Wie können Sie sich also auf Situationen vorbereiten, in denen Sie am verwundbarsten sind, und wie können Sie trotzdem so handeln, dass sichergestellt ist, dass Sie sich angemessen schützen?

Dr. Erik Huffmann 34:38

Ja, das ist eine fantastische Frage, denn das ist der Schritt, den Unternehmen unternehmen müssen. Vieles davon geht um Selbstreflexion, aber vieles davon geht um das Verständnis der Umwelt. Wenn es also darum geht, Umgebungen zu verstehen, zum Beispiel, wenn du in ein Land gehst, in dem du noch nie warst, garantiere ich dir, dass du dir, wenn du einen Rucksack hast, viel bewusster sein wirst, was um diesen Rucksack herum vor sich geht. Wenn Sie eine Frau oder ein Mann sind und eine Tasche oder eine Handtasche tragen, garantiere ich, dass Sie die Handtasche etwas enger zusammenziehen werden. Wenn Sie jedoch online sind, ändert sich die physische Umgebung um Sie herum nicht, aber in Ihrer digitalen Umgebung befinden Sie sich möglicherweise im Niemandsland. Sie befinden sich vielleicht an einem fremden, seltsamen Ort, aber weil sich Ihre physische Umgebung um Sie herum nicht ändert, sieht Ihr Gehirn als Person biologisch gesehen die Bedrohungen nicht. Es sieht die Bedrohungen nicht ganz auf die gleiche Weise. Vor allem einige Organisationen, viele Organisationen, denen ich sehr zustimme, wissen Sie, arbeiten von zu Hause aus. Wenn Sie von zu Hause aus arbeiten, fühlen Sie sich viel wohler. Ihr anfälligster Zustand als Person im Internet unterscheidet sich also von Ihrem physisch am stärksten gefährdeten Zustand als Person. Zum Beispiel, wenn du dich wohl fühlst, bist du hackbarer. Es ist einfach so, wenn Sie sich in Ihrer physischen Umgebung wohl fühlen, ist es wahrscheinlicher, dass Sie sagen, hey, ich nehme meinen Rucksack und lasse meinen Rucksack vielleicht irgendwo liegen. Und geh zurück und sage: Oh Mann, ich habe es total vergessen. Aber wenn Sie in einem fremden Land sind, vergessen Sie diesen Rucksack wahrscheinlich nicht. Aber online, digital, wenn du dich wohl fühlst, sagst du nicht: „Hey, lass mich das überprüfen. Lass mich das noch einmal überprüfen.“ Denn als Mensch, wie in der Standardsprache, wenn es sich um eine geschriebene Sprache handelt, ist die Standardstimme, mit der Sie lesen, Ihre eigene, und weil Sie mit Ihrer eigenen Stimme lesen. Du empfängst all diese Nachrichten, all diese Befehle, mit einer freundlichen, vertrauenswürdigen Stimme, weil die meisten Menschen, sie vertrauen sich selbst, sie mögen sich selbst. Du liest es nicht mit der Stimme der Person, die es gesendet hat, es sei denn, du siehst den Namen eines geliebten Menschen oder einer Person, die du kennst, und dann fängst du an, es in ihrer Stimme zu lesen. Als Angreifer kann ich also jeden dazu bringen, zu sagen, was ich sagen will, denn das nenne ich gerne menschliche Authentifizierung. Sie sehen den Namen, dann sehen Sie die Nachricht, und dann vertrauen Sie der Nachricht. Du weißt, dass du in der Lage sein musst, diese Dinge zu überprüfen. Wenn wir also beginnen, vom Bewusstsein zur Bereitschaft überzugehen, geht es vor allem darum, die Umwelt und das Selbst zu verstehen. Und wenn Sie die Umgebung verstehen, in der Sie sich befinden, sind Sie in einer etwas besseren, besseren Position. Und wenn Sie sich selbst verstehen und verstehen, wie Sie Informationen erhalten und welche Sicherheitslücken Sie als Person haben, dann sind Sie an einem besseren Ort. Vieles davon begann damit, dass ich eine Nachricht von einem Betrüger erhielt, der mich als meine Mutter imponierte. Also, weißt du, ich kenne die Stimme meiner Mutter, schwarze Frau und Mann aus dem Süden, die freundlichste Stimme in meinem Kopf. Und wenn ich sehe, dass ich diese Information erhalte, und ich erhalte diese Information in ihrer Stimme. Und es ist schwer, so etwas wie „Nee“ zu sagen. Weißt du, so ist das halt. Und die KI nimmt das und dreht das gerade wie verrückt um.

Raghu Nandakumara 38:11

Ja, absolut. Für diejenigen unter Ihnen, die Dr. Huffman diese Geschichte noch nicht erzählt haben, ermutige ich Sie wirklich, sich das Video seines TEDx-Vortrags anzusehen, und es ist auf die brillanteste und brillanteste Art erzählt. Wir werden den Link in die Shownotes einfügen. Also, wenn wir darüber nachdenken, vorbereitet zu sein und, glaube ich, in der Lage zu sein, auch in Zeiten von Stress und Verwundbarkeit vorbereitet zu sein, oder? Also all diese Dinge, und diese Dinge sind schwer zu entwickeln, wie bauen wir dann ein robustes Cyber-Vorsorgeprogramm auf?

Dr. Erik Huffmann 38:49

Ja, mach das, du musst wirklich zwei Dinge tun. Sie müssen eine Bedrohungsanalyse und eine Bewältigungsbewertung durchführen. Und ich ermutige jede Person, dies für sich selbst zu tun, nicht zu sagen, hey, jede Organisation muss das in einer Organisation mit hochwertigen Zielen tun. Du kannst das mit ihnen machen. Sie können eine Bedrohungsanalyse und eine Bewältigungsbewertung durchführen. Was ist eine Bedrohungsbeurteilung, welche Sicherheitslücken oder Bedrohungen gibt es für diese bestimmte Person und welches Risiko besteht für diese bestimmte Person? Und dann geht es bei der Bewertung der Bewältigung darum, welche Fähigkeiten und wie würden sie reagieren, wenn diese Risiken eintreten würden. Und während Sie Ihre Bedrohungsanalyse durchführen, sagen Sie einfach, hey, wie gehe ich mit diesem speziellen Risiko um? Wie gehe ich mit diesem speziellen Fall um? Welche Bedrohungen gibt es realistischerweise nicht nur für den Job, sondern für die Person und sich selbst, die es gibt? Wenn Sie es also persönlich tun, können Sie viel realistischer sein, oder Sie können mit einigen der Bedrohungen, die für Sie da draußen existieren, viel persönlicher umgehen. Und auf dieser Grundlage können Sie dann eine Bewältigungsbeurteilung durchführen. Ja, und dann geht es bei der Bewertung der Bewältigung darum, welche Fähigkeiten hat die Person oder welches Unterstützungssystem benötigt die Person, um sich besser auf die Risiken vorzubereiten, die da draußen bestehen. Wenn Sie diese beiden Bewertungen durchführen, sind Sie den meisten Organisationen Lichtjahre voraus, denn das sind psychologische Dinge, die Menschen tun sollten, z. B. wenn sie ein Trauma erleiden oder in Therapie sind. Die meisten Psychologen werden Ihnen sagen, hey, Sie sollten eine Bedrohungsanalyse durchführen. Machen Sie ein Bewältigungsgespräch, um zu sehen, wo Sie sich befinden, und nur als kurzes, als kurzes Beispiel. Wenn Sie also eine Bedrohungsanalyse durchführen würden, könnten Sie sich die Frage stellen, was Sie tun könnten oder sollten, um dieses spezielle Risiko dieses Problems zu verringern? Fügen Sie dort wie Leerzeichen ein, welches Risiko auch immer besteht. Was ist Ihre Erfahrung mit dieser speziellen Bedrohung oder dieser speziellen Sache, die da draußen existiert? Und dann ist eine weitere Frage, die Sie mir spontan stellen können, wie Sie vermeiden, mit diesem speziellen Risiko umzugehen, das besteht? Von da an erhalten Sie ein umfassendes Verständnis der Person und des Risikos, das besteht, wenn diese Person innerhalb, innerhalb der Organisation arbeitet, wenn Sie tief gehen wollen, wenn Sie eines an sich selbst tun oder wenn Sie jemandem während der Bedrohungsanalyse eine tiefgründige Frage stellen möchten, woher wissen Sie, dass Sie verärgert sind? Und wenn du verärgert bist, versteckst du es vor dir selbst? Und wenn sie realistisch sind, sagen wir, woher weiß ich, dass ich verärgert bin? Weißt du, normalerweise fange ich an, meine Fäuste oder Handflächen zu krallen, schwitze oder so. Für mich persönlich gibt es einige verräterische Anzeichen, wenn ich mich aufrege. Verbirgst du es vor dir selbst und anderen? Also, ja, ja. Normalerweise halte ich das einfach für mich, dann ist es so, also wenn Sie, wenn Sie in einer Zeit mit hohem Stress sind, den Stress höchstwahrscheinlich nicht ganz zeigen und ihn vor sich selbst verstecken. Sie verstehen also dieses Risiko, Sie verstehen die Bedrohung, die für diese Person besteht, und dann könnte es sein, mit derselben Bedrohung umzugehen, und wenn diese Bedrohung eintritt, wie können Sie diese spezielle Situation betrachten? Und dann geht man davon aus, das nennt man Trial Layer Thinking. Es geht von der Frage, was ist die Bedrohung, bis hin zu dem, was Sie gegen die Bedrohung tun könnten? Worauf sind die Möglichkeiten richtig? Wie könnte man diese Bedrohung sonst betrachten? Als ob diese Bedrohung nicht verschwinden kann. Wie sonst könnten Sie diese Bedrohung betrachten? Und dann geben Sie der Person Werkzeuge, mit denen sie die Situationen, mit denen sie möglicherweise bei der Arbeit konfrontiert ist, besser einschätzen und bewältigen kann. Und dann ist es so, wie könnten Sie Ihre Reaktion auf dieses Problem ändern? Ich meine, wenn Sie Ihre Reaktion auf das Problem ändern, geben Sie ihnen tatsächlich Tools, um ihr Verhalten zu ändern. Anstatt Sie also auf die Dinge aufmerksam zu machen, die passieren, wie zum Beispiel Cybersicherheitsbewusstsein, bereite ich Sie vor. Ich zeige Ihnen, was da draußen für Sie existiert, und ich gebe Ihnen die Werkzeuge, mit denen Sie sich darauf vorbereiten können, wenn sie eintreten. Wenn die Bedrohung nicht verschwinden kann, müssen Sie verstehen, wie Sie sie betrachten, und Sie müssen verstehen, wie Sie die Situation dieser Bedrohung ändern können, damit Sie besser darauf vorbereitet sind. Wenn Sie also gezielte E-Mails erhalten oder wenn Sie gezielte Nachrichten oder gezielte Anrufe erhalten oder wenn Sie KI-Deepfakes von bestimmten Personen erhalten, können Sie sich besser darauf vorbereiten, wenn Sie diese Dinge sehen, die existieren, es gibt eine Menge, die Sie tun können. Die Bewältigung von Einschätzungen und Bedrohungsabschätzungen, die dazu kommen werden, wäre für Unternehmen aufgrund der vorhandenen Bedrohungen der absolute Wendepunkt. Wenn Sie nur Bedrohungen auswählen, wählen Sie nicht einfach eine zufällige Bedrohung aus. Wählen Sie Bedrohungen mit Mehrwert aus. Als ob es 1000 Bedrohungen für jede Person gibt. Wir alle wissen, dass, wie alles passieren kann, Bedrohungen mit Wert ausgewählt werden. Nachdem Sie die Bedrohungen mit Mehrwert ausgewählt haben, helfen Sie der Person zu verstehen, welchen Schweregrad sie wahrnimmt, weil sie den Schweregrad möglicherweise nicht sieht oder denkt, dass die Bedrohung viel schwerwiegender ist, als sie tatsächlich ist, und wenn sie der Meinung ist, dass die Bedrohung viel schwerwiegender ist als tatsächlich, ist das die Goldlöckchen-Zone, für jemanden, der auf etwas klickt oder Opfer von Social Engineering wird, ist die Bedrohung nicht einmal so ernst. Wie der CEO werden sie Sie wahrscheinlich nicht entlassen. Sie sollten keine Angst vor Ihrem Job haben, aber die wahrgenommene Bedrohung, der Schweregrad dieser Bedrohung ist ganz oben, dann die wahrgenommene Sicherheitslücke, dass sie Cybersicherheitsexperten haben, dem fallen wir ständig zum Opfer. Ich verstehe Technologie, also werde ich nicht dem digitalen Social Engineering zum Opfer fallen, um zu glauben, dass Verwundbarkeit verrückt ist. Also ja, das wirst du, ich schätze, du, ja, du kannst, weil es kein Technologieproblem ist. Es ist ein menschliches Problem und dann die damit verbundenen Vorteile, die sich daraus ergeben. Davon. Dann ist die Bewältigung alles, was ich erklärt habe. Und dann noch eine Sache, die Sie der Bewältigung hinzufügen müssen, basiert einfach auf Ihrer Einschätzung der Bewältigung. Was Sie aufbauen werden, ist mehr Selbstwirksamkeit, denn was wir gefunden haben, sind Menschen, die Mikromanagement hassen, Menschen, die sich selbst kontrollieren, wie wahrscheinlich Sie und ich Mikromanagement hassen. Ich bin sehr selbstmotiviert. Ich muss nicht wie „angeschaut“ werden. Wir fallen viel mehr Opfer von Social Engineering als Menschen, die sich auf andere Menschen verlassen. Weil ich da draußen bin, ich bin alleine da draußen, lass mich einfach meine Arbeit machen. Mir geht es gut und deswegen verlasse ich mich auf mich selbst. Ich bin isolierter. Und weil ich isolierter bin, muss ich selbst Entscheidungen treffen. Also Social Engineering, du gehst wirklich, du nimmst wirklich und gehst eins zu eins mit dem Social Engineer und dem Bedrohungsakteur. Es ist also wahrscheinlicher, dass Sie Opfer eines Social-Engineering-Versuchs werden, genau wie ich, und mit dieser Einschätzung der Bewältigung. Was Sie danach bekommen würden, ist wahrgenommene Kontrolle. Kannst du die Situation kontrollieren? Und wenn Sie die Kontrolle wahrgenommen haben und wenn Sie all diese Dinge miteinander in Einklang bringen können und Sie der Person die Kontrolle über die Bedrohung geben, schauen sie nicht mehr auf das Sicherheitsteam als, hey, Sie werden mich vor jedem Fehler retten, den ich machen kann. Ich kann dich absolut nicht vor jedem Fehler retten, denn wenn du anfängst, dich dem Bedrohungsakteur anzuschließen und ihm die Schlüssel zum Königreich gibst, kann ich nichts tun, um dich zu retten. Und diese wahrgenommene Kontrolle haben Sie jetzt genau wahrgenommen, wie Sie die Situation unter Kontrolle haben. Denn im Moment, wenn Sie als Benutzer die Kontrolle darüber haben, dass das Sicherheitsteam mich retten wird, werden mich dann die Spamfilter retten? Wir haben all diese Sicherheitstools da draußen, ich muss mir keine Gedanken über Social Engineering machen. Ja, das tust du. Ihre gefühlte Kontrolle über die Situation ist, dass Sie keine Kontrolle haben, und ich verspreche Ihnen, Sie haben die Kontrolle. Entschuldigung, das war eine langatmige Antwort. Ich bin begeistert davon.

Raghu Nandakumara 47:09

Nein, ich liebe es. Ich denke, das ist eine großartige Antwort. Und ich denke, es ist wirklich wichtig, weil ich es noch einmal zusammenfassen möchte, oder? Es ist dieser Wandel vom Bewusstsein zur Bereitschaft, richtig? Bewusstsein ist großartig, aber es ist im Grunde nutzlos, wenn Sie nicht bereit sind, nach diesem Bewusstsein zu handeln. Und ich denke, Sie sind nett von Ihnen, nachdem Sie das zusammengefasst haben, also die Wege, die uns zu einer besseren Vorbereitung führen.

Dr. Erik Huffmann 47:35

Ja, genau weil, bewusst zu sein heißt, wenn man in einem Auto fährt, passieren Autounfälle, vorbereitet zu sein bedeutet, den Sicherheitsgurt anzulegen, ja, und wenn man fährt, denke ich, dass die meisten Menschen, jeder auf einen Unfall vorbereitet sein sollten. Weißt du, offensichtlich willst du, du willst deinen Sicherheitsgurt angelegt haben, nur für den Fall, dass etwas passiert. Und außerdem ist die Autoindustrie darauf vorbereitet, hey, wir haben Airbags und all diese Dinge. Das Auto ist so konzipiert, dass es sicherer ist, falls etwas passieren sollte, und wenn Sie Ihren Sicherheitsgurt anlegen, sind Sie darauf vorbereitet, wenn etwas passiert. Wir hoffen, dass es funktioniert, aber Sie sind darauf vorbereitet. Und im Moment haben wir keinen Sicherheitsgurt. Wir haben keinen Sicherheitsgurt für Cybersicherheit. Wir haben einfach eine ganze Reihe von Videos und eine ganze Menge Bewusstsein dafür, was passieren kann, und was wir in letzter Zeit von Natur aus gemacht haben, ist psychologisch gesehen, wir haben jeden erschreckt, den wir hätten vorbereiten sollen. Ja, jeder hat Angst vor dieser bestehenden Bedrohung, aber wir müssen sie darauf vorbereiten, weil das Geschäftstempo nicht nachlassen wird. Wir können nicht sagen, dass das Internet verschwindet. Es ist zu gefährlich, nicht zu passieren. Das ist nicht realistisch. Wir müssen Sie also auf die Umgebung vorbereiten, in der Sie zweifellos leben und die Sie wie bei Autos bedienen müssen. Sie könnten andere Mittel ausprobieren, um zur Arbeit zu kommen, sicherere Mittel, aber wenn Sie Ihren Job behalten wollen, wenn Sie nicht um, Sie wissen schon, um Mitternacht mit dem Fahrrad in die Pedale treten wollen, um zu einer anständigen Zeit zur Arbeit zu kommen, müssen Sie sich auf einen möglichen, potenziellen Autounfall vorbereiten. Hoffe es passiert nicht. Aber wenn Sie dieser Art von Bedrohung ausgesetzt sind, legen Sie Ihren Sicherheitsgurt an, damit es Ihnen gut geht. Und wenn Sie nun mit einem sehr gut ausgestatteten Bedrohungsakteur konfrontiert werden, besonders jetzt, wo KI und Deepfakes für jeden herauskommen, können wir darauf eingehen und sagen, dass Sie sich besser auf die Arten von Bedrohungen vorbereiten müssen, denen Sie als Person ausgesetzt sein werden. Und es beinhaltet nicht, dass Sie wie beim Programmieren von Code zu Code mit einem Bedrohungsakteur zusammenarbeiten, als ob Sie ihn verlieren würden. Aber wenn du dich vorbereiten kannst, wenn du dich psychologisch vorbereiten kannst, kannst du verhindern, dass sie so weit kommen. Du kannst verhindern, dass sie dich als Person ausbeuten. Denn im Moment sind 90% des Problems nicht einfach so. Der Mensch ist das schwächste Glied. Das stimmt nicht. Ich glaube, dass wir Menschen einfach die meisten Schwachstellen haben. Wir haben einfach die meisten Sicherheitslücken. Wir sind nicht das schwächste Glied. Wir blockieren viele Bedrohungen selbst, aber wir haben eine enorme Menge einzigartiger Sicherheitslücken, vor denen uns die Technologie nicht schützen kann. Das ist

Raghu Nandakumara 50:17

faszinierend. Ich liebe die Analogie zum Sicherheitsgurt. Und wenn es Ihnen nichts ausmacht, werde ich sehen, was für ein Grund dafür ist, wie Sie sagten, der Grund, warum Sie einen Sicherheitsgurt anlegen, der Grund, warum das Auto all die verschiedenen Sicherheitsfunktionen hat, die es hat, weil es besagt, dass wir möchten, dass Sie im Falle eines Unfalls so sicher wie möglich sind, oder? Denken Sie also, dass eine Zero-Trust-Strategie, ein Zero-Trust-Ansatz, und wir haben darüber gesprochen, wie ein Angriff, unvermeidlich ist, oder? Der Angreifer wird einen Weg finden, erfolgreich zu sein, nur so, dass wir in diesem Szenario niemals alle Verkehrsunfälle auslöschen können. Denken Sie, dass die Einführung einer Zero-Trust-Strategie so ist, als ob Sie diese Sicherheitsfunktionen an einem Auto hätten? Es bereitet ein Unternehmen am besten auf diesen unvermeidlichen Cyberangriff vor.

Dr. Erik Huffmann 51:10

Das glaube ich auf jeden Fall. Wenn Ihre Organisation also, weil wir, worüber wir gesprochen haben, versucht, Menschen beim Lesen von Dingen oder bei der Interaktion mit Personen oder anderen Entitäten im Internet ein Zero-Trust-Verhalten zu vermitteln, wenn sie als Organisation eine Zero-Trust-Infrastruktur aufbauen, ist das das beste Szenario für Unternehmen. Es geht nicht einmal um Vertrauen, sondern um Überprüfung. Es heißt verifizieren. Weißt du, weil wir angefangen haben zu sagen, hey, vertraue, aber verifiziere. Sie können dem vertrauen, aber überprüfen Sie, ob es wahr ist. Also nein, vertraue überhaupt nicht. Weißt du, verifiziere einfach, verifiziere alles. Weil Zero Trust von dem, was es ist. Es ist kein Produkt. Es ist eine Mentalität oder ein Konzept, dem eine ganze Organisation folgen muss. Man kann einfach nicht etwas kaufen und sagen: Hey, wir sind jetzt Zero Trust. Sie müssen eine ganze Reihe verschiedener Verhaltensweisen implementieren. Deshalb würde ich einigen gegenüber argumentieren, dass Sie nicht vollständig Zero Trust sind, obwohl Sie es aus technischer Sicht getan haben, wenn Sie die Menschen nicht angeschaut und ihnen die Macht gegeben haben, Zero Trust zu sein. Wenn Sie also in Ihrem Verhalten als Organisation so maßgebend sind, dass sie Sie nicht befragen können, sagen Sie ihnen, dass sie von Natur aus allem vertrauen sollen, was von Ihnen kommt. Das ist kein Zero Trust. Deshalb denke ich, dass das eine mit dem anderen einhergehen muss, also müssen Sie als Organisation in Ihrem Verhalten Zero Trust sein, und Sie müssen als Organisation aus technischer Sicht Zero Trust sein.

Raghu Nandakumara 52:43

Ja, absolut. Ich denke, das ist genau richtig. Also, von dort aus weitermachen. Und wir haben hier und da unsere Zehen in KI getaucht, genau das während des Gesprächs. Also, ich meine, ich kehre sozusagen zu den Wurzeln in der Cyberpsychologie zurück, wegen allem, worüber wir gesprochen haben. Wenn wir dann noch darauf eingehen, dass KI Realität ist, oder? Wir verwenden es täglich, in unseren Jobs, oder? In unserem Leben. Aber wenn wir das aus psychologischer Sicht betrachten, macht das wirklich einen riesigen Strich durch die Rechnung, denn jetzt, wie unsere Fähigkeit, Realität von Fiktion zu unterscheiden, ist es superschwer, oder? Ja, es ist nur so, dass der Schwierigkeitsgrad stark gestiegen ist. Also, wie spielt sich das in deinem Bereich ab?

Dr. Erik Huffmann 53:37

Oh, es hat viele Dinge gebraucht, an denen ich jahrelang gearbeitet habe, und es hat es zerstört. Nein, Spaß beiseite. Es fügt so viel Komplexität hinzu. Denn wenn ich von einem Menschen sage, dass du deine eigene Stimme liest, passiert genau das. Also, wenn du jemals einen Film gesehen hast, ein Buch liest, ein wirklich gutes Buch, und dann siehst du den Film und du bist einfach immer enttäuscht, weil jeder falsch aussieht, jeder klingt falsch, und die Person, die diesen Film kreiert hat, war eine der Leute, die das Buch geschrieben haben, und du sagst ihnen, dass sie falsch liegen, denn wenn du baust, wenn du liest, baust du diese Figur in deinem Kopf auf und dann einfach du fängst an, in ihrer Stimme zu lesen, und du akzeptierst das als Norm. Wenn es um KI geht, kann ich jetzt all die mentale Arbeit, die Sie leisten, wegwerfen. Ich kann dir zeigen, was ich will, dass du siehst, und ich kann dich hören lassen, was ich will, dass du es hörst, so wie ich möchte, dass du es hörst. Aus diesem Grund wurden Memes bisher nie als Bedrohungsangriffe gesendet. Weißt du, sie schicken quasi keine Memes, weil du es siehst, und dann werden all deine biologischen Abwehrkräfte aktiviert und dann sagst du einfach, Nee, das ist nicht real. Aber als KI kann ich jetzt auf Liken, das Prinzip des Liken, übergehen. Ich kann Ihnen einen attraktiven Mann, eine attraktive Frau oder wen auch immer zeigen, und dann ist es wahrscheinlicher, dass Sie einige dieser Informationen erhalten. Ich kann ein Video von Ihrem CEO haben, in dem er Ihnen mit seiner Stimme sagt, dass Sie tun sollen, was sie tun und was ich von Ihnen möchte, und es ist wahrscheinlicher, dass Sie es erhalten. Ich kann eine tiefe falsche Pose wie du haben und sie an jemand anderen schicken, und es ist wahrscheinlicher, dass sie das empfängt. Es nimmt die biologischen Abwehrmechanismen, die Fremde bedrohen, wenn man jemanden ansieht und es löst diese Dinge langsam auf, und während wir uns weiterentwickeln, denn das Ziel von KI ist es, nicht vom Menschen nachweisbar zu sein, dass es sich um KI handelt. Und was das ist, aus Sicherheitsgründen, ist einfach so, ich brauche es so falsch, dass ich es erkennen kann. Und im Moment wird es ein bisschen zu gut und es ist schwer zu sagen, zum Beispiel haben wir CFOs dazu gebracht, Geld per Deep Fake an andere CFOs zu schicken, weil sie es am Telefon sagen hörten. Das ist schon passiert. Und KI ist im Moment nicht einmal so toll. Es ist immer noch in seiner Botschaft. Aber wenn es richtig, richtig gut wird, werden diese biologischen Abwehrmechanismen, die wir haben, wenn wir das Lied sehen, zerbrechen, weil du jetzt nicht mehr trauen kannst, was du liest, nicht anfassen kannst, nicht vertrauen kannst, was du siehst, du kannst nicht vertrauen, was du hörst. Zu diesem Zeitpunkt sollten wir besser Zero Trust sein, denn da draußen wird es sehr beängstigend werden.

Raghu Nandakumara 56:32

Und ich denke, bis zu diesem Punkt, die ganzen Vorbereitungs-Sachen, plötzlich sind wir wieder am Anfang, ja, richtig, wir müssen komplett neu starten und von vorne beginnen.

Dr. Erik Huffmann 56:44

Auf jeden Fall, weil Bedrohungsakteure, weil alles, was wir zuvor gebaut haben, Bedrohungsakteure einen brillanten Weg gefunden haben, es gegen uns einzusetzen. Also, Verschlüsselung wurde als Sicherheitstool entwickelt, und es ist ein Sicherheitstool, weil es entwickelt wurde, um unsere Informationen vertraulich zu behandeln. Was Bedrohungsakteure getan haben, sie haben das genommen und Ransomware entwickelt und gesagt: Hey, wir werden Verschlüsselung verwenden und wir werden Ihre eigenen Daten verschlüsseln und wir werden Sie dazu bringen, Ihre eigenen Daten zurückzukaufen. Wenn es also um KI geht, sind wir immer noch, wir haben gesehen, dass einige KI-Angriffe beginnen. Aber sobald die Bedrohungsakteure beginnen, KI zu verstehen und zu verstehen, wie sie gegen menschliches Verhalten eingesetzt werden kann, wird das enorm sein, wenn es um digitales Social Engineering geht. Also, hey, jetzt kann ich diese Person dazu bringen, das zu sehen, was sie sehen soll, und zu hören, was ich will, dass sie hört wie, wie kann ich? Wie kann ich das zu meinem persönlichen Vorteil nutzen? Weil Unternehmen bereits versuchen, dies durch verschiedene Anzeigen und Marketingkampagnen, die es gibt, zu ihrem eigenen Vorteil zu nutzen. Der Bedrohungsakteur wird anfangen, das gegen uns auszunutzen, da ich diese Prinzipien des Einflusses von Menschen ausnutzen kann, und Sie können an einem Zoom-Call teilnehmen oder Sie können mit jemandem an einem Videoanruf jeglicher Art teilnehmen und mit einer Deepfake-Version von wem auch immer sprechen. Und du fühlst, dass es echt ist und du bist begeistert davon, aber in Wirklichkeit ist es das nicht. Es ist wie, hey, es könnte sein, was auch immer es sein kann, eine falsche Marke, ein falsches Verkaufsgespräch, könnte ein Fake sein, was auch immer die Leute brauchen, um bereit zu sein, sich solchen Dingen zu stellen, sogar Deepfakes in der Stimme jetzt über Telefonanrufe, kannst du einfach mit jemandem sprechen, dem du vertraust, bevor es so ist, hey, die Antwort war, ich würde zum Telefon gehen und diese Person anrufen. Ist das die Antwort? Ich nehme den Hörer und rufe die Person an. Hey, weißt du, Susan, ist das? Du magst, ja, bist du sicher? Ich glaube, ja, du rufst mich an. Dann sagst du, oh ja, ich habe dich angerufen. Also, wenn es rausgeht, ist es wirklich, es wird das Spiel im digitalen Social Engineering wirklich verändern. Und wir sehen schon, dass es sich in den nächsten fünf Jahren, glaube ich, in die Stratosphäre katapultieren wird.

Raghu Nandakumara 59:06

Ich denke, es ist fast so weit, dass selbst diese Art von nichtphysischen Interaktionen, bei denen, sagen wir, es geschieht am Telefon, fast einen Weg finden müssen, um unsere Identität auf verschiedene Arten zu überprüfen, oder? Wir werden dasselbe Recht haben müssen, um zu sagen: „Hey, ich bin ein Dr. Huffman. Kannst du validieren? Können Sie sich anhand Ihres Gesichts, Ausweises usw. „identifizieren“, damit ich bestätigen kann, dass ich mit Ihnen spreche, bevor wir den Rest des Gesprächs führen? Ich denke, das ist der Punkt, an dem sich die gesamte Art und Weise, wie wir Vorsorge und sogar Bewusstseinsbildung angehen, in den nächsten Jahren einfach so stark verändern wird. Und ich denke, ich meine, Sie sind auf dem neuesten Stand, dass wir noch in den Kinderschuhen stecken müssen, wo wir festlegen können, wie diese Bereitschaft aussehen wird.

Dr. Erik Huffmann 59:58

Oh ja, auf jeden Fall. Ich glaube nicht, dass wir uns das genau genug angesehen haben. Wir haben so viel Zeit mit Bewusstsein verbracht. Ich glaube nicht einmal, dass die meisten, die meisten Menschen überhaupt mit Vorsorge angefangen haben, wenn wir anfangen, über psychologische Bedrohungen zu sprechen. Ich habe mit einigen Organisationen zusammengearbeitet und sie haben dasselbe gefragt: „Hey, könntest du dich verifizieren, bevor du anrufst? Also, was sollen wir tun?“ Ich dachte, wenn Sie das haben, das ist eine Regierungsbehörde, also, wenn Sie etwas supergeheimes, superwichtiges haben, können Sie so etwas wie eine Codephrase haben, wie, wenn die Kuh über den Mond springt, mein Magen tut weh, wissen Sie, etwas in der Art, etwas, an das Deepfakes noch nicht einmal herangegangen ist, als ob man nicht vortäuschen kann, wenn es so vertraulich ist, wenn es so geheim ist, müssen Sie vielleicht gehen soweit, denn wenn Sie sich Sorgen machen, dass, Hey, jemand oder etwas oder eine Organisation Sie wirklich, wirklich, wirklich auf diese Weise ins Visier nimmt und Sie es nicht schaffen weg. Möglicherweise müssen Sie so weit gehen, weil die Stimme tief fälscht, jetzt sind es nur noch weniger als 20 Sekunden. 20 Sekunden Stimmdaten trainieren einen Deepfake so, dass er okay klingt. Weißt du, weil wir die ganze Zeit Musik hören. Es ist, als ob Musiker nicht mehr sterben. Als ob du eine neue Elvis-Platte bekommen könntest. Du kannst dir einen neuen Michael Jackson holen, France Tupac, weißt du, und das klingt gut. Und die Leute veröffentlichen jetzt Musik und die Leute, andere Leute sagen, das klingt nach KI, aber es sind eigentlich nur die Künstler in ihrem neuen Song. Sind Menschen, ein Künstler kommt mit einem Song heraus und es ist wie, das bin nicht ich, das ist KI. Und wenn es so gut wird und es anfängt, sich auf andere Menschen auszubilden, auf Persönlichkeiten des öffentlichen Lebens oder auf Personen, mit denen Sie nicht einmal vertraut sind, wird es schwierig sein, selbst den Stimmdaten zu vertrauen, und bald wird es schwierig sein, dem zu vertrauen, was Sie überhaupt online sehen, sodass diese Zero-Trust-Haltung auch aus psychologischer Sicht für die Menschen geschehen muss. Wenn nicht, dass 90% 90% bleiben und es wird weiter gehen, wird es einfach stagnieren, oder, wenn nicht aufsteigen, werden sich die Bedrohungsakteure für das Verwundbarste entscheiden, zum Beispiel, ob ich Sie dazu bringen kann, mir Ihre Referenzen zu geben, spielt es keine Rolle, was Sie tun können. Es spielt überhaupt keine Rolle, was Sie tun können. Absolut.

Raghu Nandakumara 1:02:24

Ich meine, wenn wir über Künstler sprechen, ich würde sagen, seit der Einführung von Autotune wissen wir nicht, ob wir den echten Künstler hören oder nicht, aber du sagtest, dass wir dem, was wir sehen, nicht trauen können.

Dr. Huffman ZEITSTEMPEL

Wenn KI und Deep-Fakes auf dem Vormarsch sind, entscheiden sich Bedrohungsakteure dafür, einige dieser Dinge gegen uns einzusetzen. Es ist klar, du kannst es nicht sagen, aber es wurde noch schlimmer, als wir anfangen, Fotofilter zu verwenden, ja, du fängst an, Filter hinzuzufügen. Es ist wie, hey, unsere KI ist echt, aber wir haben alle gefiltert. Ja, es ist noch mehr kaputt, weil die Leute es einfach nicht sagen können. Und das steckt noch in den Kinderschuhen. Es gibt eine schlechte KI da draußen, weißt du, viele Leute, sie schauen wie die Finger an, weißt du, es gibt ungefähr sieben acht Finger an einer Hand, um es zu verraten. Aber die guten, die es da draußen gibt, und die modernen, werden langsam besser, zum Beispiel die Hände fangen an, nur noch fünf Finger zu haben, anstatt dass zusätzliche Gliedmaßen nach draußen gehen oder so. Das führt uns nur zu der Frage, wie wir als Öffentlichkeit, einschließlich Sicherheitsexperten, den Unterschied erkennen können? Und weil wir jetzt den Unterschied nicht erkennen können, wie es jetzt ist, was und Bedrohungsakteure. Wir wissen, dass dies eine Sicherheitslücke ist, bei der selbst wenn Sie hinschauen, Sie nur einen kurzen Blick darauf werfen, Sie können nicht erkennen, dass Stimmdaten, wir haben jetzt Videos, es ist die neueste Studie über KI-Videos, die es gibt, die derzeit etwa 30% bis 35% sind, wir sind noch nicht annähernd an der Datenüberflutung, also, es ist immer noch weniger als ein Münzwurf, der mir immer noch sagt, dass wir den Unterschied nicht erkennen können. Wenn wir als Publikum den Unterschied erkennen können, liegt die Zahl, nach der ich gesucht habe, bei über 70%, weil das bedeutet, dass es mehr ist als ein Münzwurf. Ist viel mehr als eine Münze, können wir tatsächlich erkennen, dass der Unterschied geringer ist als ein Münzwurf, und es ist viel weniger als ein Münzwurf, dass wir den Unterschied zwischen dem, was real ist, und dem, was von Computern manipuliert wurde, nicht erkennen können.

Raghu Nandakumara ZEITSTEMPEL

Ich meine, Dr. Huffman, ich weiß, dass wir hier schon lange aufgenommen haben. Ich habe viel Zeit in Anspruch genommen, aber Sie geben mir nicht viel Hoffnung mit dem Punkt, den Sie bereits heute angesprochen haben, dass die Wahrscheinlichkeit, dass wir ein Bild betrachten, einen Ton ansehen, hören und genau feststellen können, ob es falsch oder echt ist, deutlich geringer ist als ein Münzwurf. Und dann, wenn wir diese KI-Modelle mit mehr Daten füttern, oder? Sie werden nur besser werden. Wir müssen also, wenn wir Ihre Botschaft einfach ansprechen, möglicherweise überdenken, wie wir Bewusstsein vermitteln. Wir müssen unbedingt überdenken, wie wir uns selbst machen. Wir sind besser darauf vorbereitet, wie wir darauf reagieren, ob Einzelpersonen oder Organisationen Opfer von Cyberangriffen werden. Aber ich denke, der entscheidende Punkt, den Sie hier ansprechen, ist, dass wir wirklich denken müssen, aber wir können dabei nicht unbedingt menschliche Emotionen weglassen, oder? Es ist so grundlegend dafür, wie wir uns gegenseitig vorbereiten, wie wir in solchen Situationen reagieren, und nur so können wir gemeinsam besser im Umgang mit Cybervorfällen werden.

Dr. Erik Huffmann ZEITSTEMPEL

Definitiv, und ich würde sagen, nicht alle Hoffnung ist verloren. Ich denke, aus diesem Grund müssen noch viele Fortschritte erzielt werden. Eine Sache, auf die ich bei meinen Recherchen stolz bin, ist, dass wir nichts verkaufen. Und da gibt es eine Lösung dafür. Es gibt psychologische Möglichkeiten, wie wir das angehen könnten, bei denen wir nicht zu den 90% gehören müssen. Wenn wir die 90 bis 70% kürzen, haben wir Cyberkriminellen Hunderte von Milliarden Dollar weggenommen. Zu verstehen, dass das Problem nicht die Technologie ist, heißt nicht, hey, wir müssen etwas Neues entwickeln. Es ist nur so, dass wir ändern müssen, wie wir trainieren. Wir müssen unsere Denkweise ändern. Wir müssen die Umgebung ein bisschen besser verstehen und wissen, dass Sie online psychisch anfälliger sind als von Angesicht zu Angesicht. Zum Beispiel hat niemand seine Kreditkarteninformationen von Angesicht zu Angesicht weitergegeben, niemand hat seine Bankkontoinformationen weitergegeben. Es passiert einfach nicht. Wir machen das online und es ist wie, naja, das würde ich niemals tun. Also, ja, das machen wir, es ist wie im Verkehr, jeder ist schlecht im Fahren, aber niemand ist ein schlechter Fahrer. Wenn du sie fragst, ja, ich denke, ja, wirst du denken, dass es einen Weg gibt, an alle heranzukommen. Also absolut können wir das beheben und wir können das angehen, und das ist absolut kostenlos, absolut kostenlos.

Raghu Nandakumara ZEITSTEMPEL

Absolut. Ich denke, das ist das Schöne daran. Also, Dr. Huffman, es war mir eine große Freude und eine solche Ausbildung, Sie im Podcast zu haben. Ich weiß, wenn ich mich vorbereite. Ich weiß, dass du ein großer Fan von Will Smith bist, und du und ich sind beide große Fans von Fresh Prince of Bel Air. Wir hatten geplant, eine Art Cyber-Lektionen von Fresh Prince einzubauen, aber das müssen wir für das nächste Mal in unserem Podcast belassen. Aber vielen Dank. Dr. Huffmann.

Dr. Erik Huffmann ZEITSTEMPEL

Gar kein Problem. Gar kein Problem. Ich danke dir vielmals. Liebe. Ich weiß es zu schätzen. Es ist fantastisch.

Raghu Nandakumara ZEITSTEMPEL

Vielen Dank, dass Sie sich die dieswöchige Folge von The Segment angesehen haben. Noch mehr Informationen und Zero-Trust-Ressourcen finden Sie auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter unter Illumio mit uns in Verbindung setzen. Wenn Ihnen das heutige Gespräch gefällt, finden Sie unsere anderen Folgen überall dort, wo Sie Ihre Podcasts abrufen. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.

‍