Im MIDRANGE-Interview sprachen wir mit Chris Wysopal, Chief Security Evangelist von Veracode und ehemaligem Mitglied der Hackergruppe L0pht, über die derzeitige weltweite Cyber-Bedrohungslage, wie Künstliche Intelligenz die Spielregeln verändern wird und was die Zukunft wohl bringen wird.
Herr Wysopal, bei der Recherche zu diesem Interview fiel natürlich Ihre Zeit als L0pht-Mitglied auf. Vielleicht können Sie ein bisschen darüber erzählen. Wie und warum wurden Sie Mitglied? Worum ging es in der Gruppe? Und wann und warum haben Sie beschlossen, das Hackerkollektiv zu verlassen?
Ich habe direkt ab der Gründung der Gruppe mitgewirkt. Ich war, glaube ich, das fünfte oder sechste Mitglied. Das war so ungefähr 1992, kurz bevor das Internet öffentlich zugänglich gemacht wurde. Ich suchte nach Leuten, die daran interessiert waren, die Welt der Computer zu erkunden. Ich habe angefangen, auf Meetups in Boston zu gehen, und dort habe ich Leute mit ähnlichen Interessen getroffen. Am Anfang ging es nur darum, einen Arbeitsplatz für uns zu finden, an dem wir unsere Computer miteinander verbinden konnten. Es ging auch darum, einen Platz zu finden, an dem wir unsere Computer lagern konnten. Die Frau eines Gründers – Brian Oblivion – hatte ihm verboten, noch weitere Computer in der Badewanne zu lagern.
Und so waren wir der erste Hackerspace in den Vereinigten Staaten, deutlich nach dem ersten in Deutschland in den späten 80ern – dem berühmten Chaos Computer Club. Aber immerhin der erste in den USA. Wir waren für circa acht Jahre aktiv. Wir entwickelten uns von “Computer erkunden” zu Themen wie Schwachstellenanalyse und Computersicherheit. Ich habe mich immer auf die Schwachstellenanalyse konzentriert und Schwachstellen in Produkten von Microsoft, IBM und Adobe gefunden.
1998 haben wir vor dem Kongress ausgesagt. Dort haben wir im Grunde wie Ralph Nader in den 60ern agiert. Ihm ging es ja um die Automobilhersteller. Er sagte, dass diese sicherere Autos herstellen könnten, diese aber von Konsumenten aus Unwissenheit nicht nachgefragt wurden. Selbes Thema mit Software. Wir sagten: Geht zu den Softwareherstellern und sagt ihnen, dass es inakzeptabel ist, so unsichere Software zu verkaufen.
Wie hat sich die Welt seither verändert? Können Sie die Cybersicherheitslage damals und heute ein bisschen beschreiben?
Damals hieß es nicht Cybersicherheit, sondern Informationssicherheit. Nur Banken und die Regierung kümmerten sich darum. Nur Organisationen, die versuchten, Geheimnisse zu schützen, kümmerten sich darum. Informationssicherheitsteams waren im Grunde ein paar Buchhalter, die untersuchten, ob Passwörter genutzt wurden. Es ging um Konfigurationsrichtlinien, es hatte nichts damit zu tun, wie Software gebaut wurde. Und das war auch das, was wir kritisierten. Wir kamen mit offensiver Recherche, Red Teaming, Penetrationstests und sagten den Softwareherstellern: Ihr könnt sagen, dass eure Software viele Dinge kann, aber wenn sie Schwachstellen in sich trägt, können wir sie dazu bringen, das zu tun, was wir wollen. Wenn ihr nicht anfangt, Software unter Sicherheitsaspekten zu bauen und Schwachstellen zu vermeiden, bringen euch all eure Passwörter nichts. So entwickelte sich eine ganze Industrie, die sagte: Ihr müsst selbst in eure Produkte einbrechen, um zu prüfen, ob sie sicher sind. Eure Passwörter und Checklisten bringen euch nicht weit genug.
Nach Ihren L0pht-Tagen gründeten Sie Veracode. Was macht das Unternehmen, und wo liegt der Unterschied zu anderen Cybersicherheitsunternehmen?
Ich habe Veracode im Jahr 2006 mit Christien Rioux gegründet. Er kam ebenfalls von L0pht. Er war unser Chefwissenschaftler, ich war CTO. Wir sind Techies, keine Business-Leute, und die Idee war es, es den Menschen, die Software bauen, einfach zu machen, diese sicher zu bauen. Es war immer noch selten, dass Unternehmen das taten. Microsoft tat es, Google bemerkte auch zu der Zeit, dass sie Software sicher bauen mussten. Wir machten die Tests, die ein Hacker ausführen würde, um herauszufinden, wie er an sensible Daten kommen könnte. Und wir testeten all die Schwachstellen, bevor die Software auf den Markt kam.
Das tun wir bis heute durch verschiedene Maßnahmen, mit statischer Analyse, also einem automatischen Code-Review, und dynamischem Testen, also dem tatsächlichen Attackieren von Software. Veracode wurde auf dem Grundsatz aufgebaut: “Versuche nicht, schwache Software zu schützen, sondern baue eine sichere Software und veröffentliche sie erst dann.”
Heute spricht jeder in verschiedenen Kontexten über Künstliche Intelligenz. Wie kann diese uns bei der Cybersicherheit helfen?
Künstliche Intelligenz verändert unsere Jobs. Und einer der ersten Jobs, bei denen das passiert, ist die Softwareentwicklung. Denn Entwickler adaptieren neue Technologien, die ihre Arbeit automatisieren, sehr schnell. Einer der großen Use-Cases ist die Code-Generierung. Man kann also natürliche Sprache verwenden, um Software in verschiedenen Sprachen entwickeln zu lassen. Das steigert natürlich die Produktivität enorm. Ich habe teilweise Produktivitätssteigerungen von bis zu 50 % gesehen. Aber wir müssen uns auch um die Risiken kümmern, und das ist mein Job als Cybersicherheitsexperte. Denn da wir nun viel schneller entwickeln, ist die Frage, ob wir auch schnell genug testen und in dieser neuen Geschwindigkeit alle Schwachstellen finden. Und noch viel wichtiger: Bin ich in der Lage, die Dinge zu reparieren, die ich finde?
Also lasst uns ein LLM (Large Language Model) bauen, das Code fixen kann. Und das machen wir gerade – egal wie viele Schwachstellen gefunden werden und egal, wie diese Schwachstellen zustande kamen.
So benutzen die Guten also Künstliche Intelligenz. Die Angreifer nutzen sie aber bestimmt auch. Was können wir tun, um das Katz-und-Maus-Spiel zu beenden?
Die Technologie ist neutral. Der Job der Guten ist aber sicherlich schwieriger. Sie müssen schneller sein, sie müssen die Risiken verstehen und die Lösungen dafür entwickeln, noch bevor die Angreifer begonnen haben, diese auszunutzen. Und hierbei helfen wir mit AI Code Fixing.
Denn schon allein die zunehmende Quantität an Angriffen und deren Geschwindigkeit, die Künstliche Intelligenz generieren wird, wird das Thema in Zukunft deutlich stärker in den Fokus rücken.
Gibt es Unterschiede zwischen den USA und Europa in Sachen Cybersicherheit?
Mir scheint, dass die Europäische Union weiter ist beim Thema Regulierung. Das zeigt der Cyber Resilience Act zum Beispiel. In den USA ist es weniger regulatorisch. Man versucht, es den Markt regeln zu lassen.
Lassen Sie uns zum Schluss in die Zukunft blicken. Werden wir irgendwann Cyberkriminalität stoppen können, oder wird es immer Cyberkriminalität geben?
Ich denke, eine Form davon wird es immer geben. Dass ein Unternehmen aufgrund einer Ransomware-Attacke eine Woche lang nicht arbeiten kann, ist inakzeptabel. Solche Dinge werden oder dürfen in Zukunft so nicht mehr passieren. Dass irgendjemand durch eine Art von Phishing-Attacke persönlich reingelegt wird? Es ist wirklich hart für jedes Individuum, sicherzustellen, dass sie die richtigen Sicherheitsstandards einhalten. Ich applaudiere Unternehmen wie Apple, die das auch für Individuen lösen wollen. Aber es ist sehr schwer.
Wir können aber sicherlich deutlich besser werden bei Themen wie Ransomware und dem Schutz kritischer Infrastrukturen. Wir wissen, was wir zu tun haben. Es geht nur darum, die richtigen Ressourcen zu allokieren. Wir blicken ständig auf die Balance zwischen Kostenreduzierung bzw. Profitabilität und Cybersicherheit. Ich bin vielleicht voreingenommen, aber ich denke, man sollte mehr Zeit und Ressourcen darauf verwenden, es richtig und sicher zu machen.