Cybersicherheit neu denken: Vom Bewusstsein zum Empowerment - Der Segment-Podcast | Illumio (2025)

00:00

Also nochmal, eine weitere Episode von The Segment. Dieses Mal freue ich mich sehr, Kyla Guru begrüßen zu dürfen. Sie hat den unglaublichsten Hintergrund und eine unglaubliche Geschichte. Also, ohne weitere Umschweife, möchte ich direkt darauf eingehen. Kyla, willkommen bei The Segment.

00:19

Ich danke dir. Danke, Raghu. Danke, dass du mich eingeladen hast, Illumio.

00:23

Es ist uns eine Freude, Sie in diesem Podcast zu haben. Und ich meine, normalerweise habe ich ein kleines Intro über unseren Gast, aber ich denke, nur du könntest dem gerecht werden. Also, erzähl uns von deinem Hintergrund. Ich belasse die Frage dabei.

00:42

Ja, ich kann dich dorthin zurückbringen, wo alles begann. Ja, ich bin Kyla und studiere gerade an der Stanford University. Ich habe Informatik und Internationale Beziehungen studiert. Und ich bin jetzt Masterstudent. Aber damals, vor langer Zeit, als ich 14 Jahre alt war, begann meine Reise im Cyberbereich wirklich. Ich ging zur High School, ich glaube, es war der Anfang des ersten Studienjahres. Und ich fing an, mich für Cybersicherheit zu interessieren. Ich habe ein paar Sommercamps im Cyberbereich gemacht. Ich war einfach super interessiert und habe gerade Sommercamps in meiner Nähe im Internet gegoogelt. Und ich habe das nächste gefunden und bin hingegangen. Und von da aus war es wirklich das, was diese größere Reise auslöste. Und dann kam die Reise, als ich vom Sommercamp zurückkam, wurde mir klar, dass dies Lektionen waren, die ich gelernt hatte und die nicht nur isoliert waren oder nicht nur auf eine Woche Lernen in einem Sommercamp beschränkt werden sollten. Ich hatte das Gefühl, dass dies die Art von Allgemeinwissen ist, an das die Leute denken sollten, wenn sie durch das Internet gehen. Und es war wirklich nur dieser eine Gedanke, der mir in den Sinn kam, und von da an begann ich darüber nachzudenken, okay, wie wir Menschen tatsächlich über diese Art von Cyberbedrohungen, diese Cyberrisiken in ihrem eigenen Leben aufklären und ihnen das Gefühl geben können, dass sie, wenn sie im Internet sind, ihre erlernten Fähigkeiten anwenden können. Also habe ich mir die bestehenden Cyber-Bildungsprogramme in meiner Region und die existierenden NGOs (Nichtregierungsorganisationen) angesehen. Und zu der Zeit waren viele Dinge, die ich online sah, sehr reaktiv und nicht proaktiv, um Einzelpersonen aufzuklären, nur um sie aufzuklären. Und als ich mit meinem CIO und CISO vor Ort in meiner Nachbarschaft sprach, erwähnten sie auch, dass viele ihrer Bemühungen reaktiv waren. Und da dachte ich, okay, vielleicht ist es an der Zeit, dass jemand etwas proaktiveres tut. Also fing ich an, darüber nachzudenken, wie ich ein Cyber-Bildungsprogramm auf sehr lokaler Ebene ins Leben rufen könnte. Ich radelte einfach zu meiner örtlichen Grundschule und biete ihnen 5- oder 10-minütige Unterrichtsstunden an, wann immer die Kinder frei waren. Und das hat sich wirklich zu dem entwickelt, was heute als gemeinnützige Organisation BitsnBytes Cybersecurity Education bekannt ist. Ich freue mich, sagen zu können, dass es sich um eine internationale gemeinnützige Organisation handelt, die es sich zur Aufgabe gemacht hat, im Bereich Cyberbildung zu arbeiten und Cyberbildung für alle Bevölkerungsgruppen auf der ganzen Linie zugänglicher zu machen. Um es kurz zu machen, ich leite diese Bildungsbemühungen schon seit geraumer Zeit, fast acht Jahre. Und nebenbei habe ich auch eine Technologiekonferenz für Frauen ins Leben gerufen, die GirlCon Conference heißt. Das lag daran, dass mir irgendwie klar wurde, wann immer ich in diese Räume mit Cyber-Experten ging, gab es ein erschütterndes Ungleichgewicht zwischen den Männern und Frauen im Raum. Und das Geschlechterungleichgewicht war ziemlich ausgeprägt, vor allem in den Räumen, als ich die Stufen eskalierte und auf Ebenen wie Vorstandsebenen oder CEOs zu Gesprächen auf C-Ebene ging. Ich habe genau das als sehr erschütternde Veränderung wahrgenommen. Von da an habe ich eine Technologiekonferenz für Frauen ins Leben gerufen. Also das läuft heute auch. Wir hatten gerade unsere siebte jährliche Veranstaltung, also sind wir in der Community weiter gewachsen, und ich persönlich bin als Führungskraft und Lernender weiter gewachsen. So eine sehr spannende Reise.

04:15

Okay, ich bin nur, ich habe einfach Ehrfurcht vor all dem. Also lass mich einfach einen Moment Zeit nehmen, um das irgendwie auf dich wirken zu lassen. Ich möchte zurückgehen, weil ich vieles von dem, was Sie gerade gesagt haben, etwas genauer untersuchen möchte. Aber gehen wir zurück zu 14 und du sagtest, du interessierst dich für Cyber. Also, ich habe kleine Kinder und mein und unser ältester ist nicht viel jünger als 14. Und er interessiert sich nicht besonders für Cyber. Und was hat dich gefesselt, was hat dich dazu hingezogen?

04:50

Ja, das ist eine gute Frage. Ich denke, es waren ehrlich gesagt diese Gespräche beim Abendessen, die meine Familie führen würde. Und mein Vater war früher Betrugsermittler in Kanada. Er ist kein Cyber-Profi, aber er ist von Beruf und Ausbildung Buchhalter. Und genau aus diesem Grund ist er in Dinge wie Geldbetrug und Finanzkriminalität eingeweiht. Also fing er an, über diese Dinge zu sprechen, und eines Tages nahm er mich mit zu einer seiner beruflichen Veranstaltungen, bei der ein Redner mitgebracht wurde und der Redner war ein ehemaliger Finanzkrimineller, und er diskutierte sozusagen über seine Arbeitsweise und warum er getan hat, was er getan hat. Und er informierte alle unter einem Raum voller Buchhalter darüber, okay, so führt man die Sorgfaltspflicht durch und führt Prüfungen für das nächste Mal durch. Und es waren solche Gespräche, die mich anfangs irgendwie interessiert haben, was ist das für ein Raum? Wer sind die Leute, die versuchen, sich gegen diese Dinge zu verteidigen und diese, diese Individuen verstehen? Und ich denke wirklich, es hätte auch in die andere Richtung gehen können, als ich mich nicht für Cyber interessierte, aber es ging um das erste Camp, das ich bei GenCyber gemacht habe. Und ich glaube, ein Teil davon war, dass sie uns einfach Professoren gezeigt haben, zum Beispiel Professoren, die digitale Forensik gemacht haben, und Professoren, die sich mit der Psychologie hinter Cyberkriminellen befassen, einfach sehr coole Teile und es kam mir einfach sehr interdisziplinär vor. Als ob Sie nicht nur ein Informatiker sein müssten, um dieses Gebiet zu verstehen oder ein Experte auf diesem Gebiet zu sein. Und das war aufregend, dass es so aussah, als ob es ein bisschen von allem war. Und ja, aber ich denke, es ist für jeden unterschiedlich. Ich würde sagen, vielleicht hilft es auch, wenn Kinder mehr Filme schauen, wie die Spionagefilme. Oh, eines der Dinge, die ich gemacht habe, als ich jünger war, war, dass ich die Sendung The Arrow gesehen habe. Und in The Arrow gibt es eine Hackerin, die dem Superhelden hilft. Und sie ist quasi die Retterin im Untergrund, die den Tag rettet, indem sie all die kleinen logistischen Dinge erledigt, also geh her, markiere diesen Mann und solche Dinge. Und so sah ich Felicity Smoke und ich konnte mir wirklich vorstellen, dass das das erste Mal war, dass ich mich in den Medien vertreten sah. Und da dachte ich, okay, vielleicht ist das etwas, was ich tatsächlich tun könnte. Und das wäre wirklich, wirklich cool. Das ist also, das ist auch ein Teil davon, denke ich.

07:22

Ich denke, auf jeden Fall, ich denke, Cyber könnte viel mehr gebrauchen, das Image, cool zu sein. In gewisser Weise hat es die Startup-Kultur gewissermaßen cool gemacht, Entwickler zu werden, oder? Was vor 30 Jahren definitiv kein cooler Beruf war. Aber jetzt ist es so, als ob jeder werden möchte, Entwickler werden will. Das ist, das ist unglaublich. Also, und dann hast du darüber gesprochen, wie du abgestürzt bist, und du hast mit dem CISO oder dem CIO deiner lokalen, deiner lokalen Community gesprochen. Und in ihrer Reaktion ging es vor allem um Cyber-Aufklärung. Wie wir über Cyber sprechen, ist sehr, sehr reaktiv. Es passiert also etwas Schlimmes und dann reagieren wir darauf und sagen: „Oh, lass uns das in Zukunft vermeiden“. Lassen Sie uns Passwörter als Beispiel verwenden. Ja. Verwenden Sie nicht den Namen Ihres Haustiers als Passwort, richtig, ändern Sie ihn und so weiter. Also, was waren die Dinge, mit denen Sie angefangen haben, einzuführen, die zu einem solchen proaktiven Ansatz in der Cyber-Aufklärung geführt haben?

08:28

Ja, und anfangs war es so, es fing super klein an, oder? Die Sache, der die Schule zustimmte, und auf diesem Weg war es natürlich eine Partnerschaft mit dieser ersten Schule, und die Schule musste irgendwie zustimmen, als ich einige Dinge vorschlug. Das Erste war also ein fünfminütiges Informationsvideo, das für die Schüler animiert wurde. Also habe ich dieses Video gemacht, ich glaube, es war an, als ob diese sehr alte Animationssoftware, in die ich gegangen bin, die Schulen haben es präsentiert. Und es war diese Reaktion auf die Präsentation, die, glaube ich, viel mehr Dominosteine ausgelöst hat. Wie bei der ersten Reaktion waren die Schüler einfach sehr engagiert, interagierten und stellten Fragen wie: „Über welche Art von Passwörtern sprechen Sie?“ „Sollte mir mein E-Mail-Passwort wichtig sein? Ich habe ein E-Mail-Konto bei der Schule“, etwa Fragen, die sehr kritisch denken. Man merkte, dass sie anfingen, darüber nachzudenken, wie Sicherheit in ihr Leben passt. Und da dachte ich, okay, weißt du, vielleicht könnte das etwas sein, das für andere Schulen relevant ist, wie nicht nur für diese Schüler in meiner eigenen Gemeinde. Weil meine Community ziemlich vorausschauend war, als ob wir Chromebooks und Geräte hatten, eins zu eins für Schüler. Und ich habe mir einfach all die verschiedenen Communities im Bereich der technischen Barrierefreiheit vorgestellt. Ich dachte mir, wenn wir nicht viel Cyber-Bildung betreiben, dann kann ich mir nicht vorstellen, wissen Sie, im Großen und Ganzen, wie Cyber-Bildung aussieht. Zu der Zeit hatten wir also keinen Standardlehrplan zur K12-Standardisierung für Cybersicherheit. Das war es also, was den Anfang gemacht hat. Und von da an habe ich eine Website gestartet; ich fing an, mehr Ressourcen bereitzustellen. Ich würde sagen, es war wirklich der erste Dominostein.

10:11

Und ich würde sagen, dass die Cyber-Bildung so wichtig ist. Und in der Unternehmenswelt gibt es, wie jede Organisation, ob groß oder klein, irgendeine Form von Schulung zum Sicherheitsbewusstsein, richtig, die Sie jährlich testen. Und es ist großartig. Und ich habe es in den Schulen meiner Kinder gesehen, wo schon in jungen Jahren davon gesprochen wurde, online sicher zu sein, online sicher zu sein. Aber meine Frage ist immer, und Bewusstsein ist so wichtig. Aber wie messen wir die Auswirkungen davon? Also ja, wir alle wissen, dass wir zum Beispiel starke Passwörter haben sollten, oder in diesem Fall haben wir quasi über die Umstellung auf Passphrasen oder sogar Passwortlisten gesprochen, was im Moment eine große Bewegung ist. Aber wie messen wir die Effektivität des Bewusstseins? Und woher wissen wir, dass es tatsächlich Auswirkungen hat und die Cybersicherheit verbessert?

11:09

Die Wirkung ist schwer zu messen. Es ist wahrscheinlich die schwierigste Frage, mit der sich auch NGOs und gemeinnützige Organisationen befassen, ist, woher wissen Sie, dass das, worüber Sie aufklären, wirklich nicht passiert? Denn der ultimative Maßstab für Erfolg ist eine Verringerung der Cyberkriminalität oder eine Verringerung der Cyberbedrohungen. Und das ist selbst für Leute in der Industrie sehr schwer zu messen. Also, ich würde sagen, ein paar Möglichkeiten, das zu mildern, sind, dass wir sofortige Messungen durchführen. Bei kurzfristigen Messungen senden wir zum Beispiel direkt nach unseren Programmen eine Umfrage aus, in der viele der unmittelbaren Fragen erfasst werden, wie zum Beispiel, fühlst du dich nach der Sitzung sicherer? Wir würden gerne mehr von diesem Inhalt sehen, diese Art von sofortiger Reaktion. Und dann stellen wir ihnen auch Fragen, bei denen es darum geht, was haben sie in der Sitzung eigentlich gelernt? Manchmal machen wir Multiple-Choice-Optionen, um einfach zu sehen, ob sie den Inhalt aufgreifen und ob sie sich dessen bewusst sind. Und dann machen wir auch längerfristige Programme, bei denen wir die Schüler mehrmals sehen können, oder wir sehen die Schüler im nächsten Jahr, im darauffolgenden Jahr, und wir sehen auch, okay, wie Längsschnittstudien, bei denen sie das Gefühl haben, dass sie aufgrund dieser Programme eher ins Cyberspace gehen. Und dieser Teil erfolgt quasi durch qualitative und quantitative Maßnahmen. Zum Beispiel mit ihnen zu sprechen und mit ihnen darüber zu chatten, wie ihr Jahr war und wie sich BitsNBytes auf sie ausgewirkt hat. Und dann auch quantitativ durch diese Umfragen. Es ist also ein bisschen von beidem, ich würde sagen, im Allgemeinen hat das einen großen Einfluss auf NGOs im Allgemeinen. Und für BitsnBytes sind es die Erzählungen und Geschichten, die die Schüler teilen. Und viele von ihnen waren wirklich mächtig. Zum Beispiel Studierende, die aufgrund der Konferenzen, die wir im Rahmen der von uns veranstalteten Veranstaltungen veranstalten, Gelegenheit zur Hospitation erhalten haben. Und dann hatten wir auch Schüler, die erzählten, dass ihre Schwester einen ähnlichen Betrug oder eine ähnliche Datenverletzung erlebt hatte, und sie verstanden endlich, was genau während der Sitzung passiert ist. Als würden sie solche ähnlichen Geschichten erzählen, Dinge wie in der Umfrage. Und diese sind wirklich interessant zu lesen, weil sie einem das Gefühl geben, dass sie tatsächlich etwas miteinander verbunden haben. Und ja, ich denke, die eigentliche, ultimative Wirkung oder Vision wäre, dass, wissen Sie, 5-10 Jahre später, wenn diese Leute in die Industrie eintreten, sie hochgradig sicherheitsbewusste Fachkräfte sind.

13:53

Ja, absolut. Ja. Richtig. Und ich denke, was Sie zu Beginn dieses speziellen Abschnitts gesagt haben, ist schwierig, die Auswirkungen eines dieser Programme zu messen. Wir können die Teilnehmerzahl messen, wir können die Beteiligung an dem Programm messen, das sind alles wichtige Maßnahmen, aber dann tatsächlich zu messen, ob wir das Ergebnis unseres Cybersicherheitsclusters verbessert haben, ist wirklich schwierig. Und Sie sehen sich die Daten an und sehen sich die Anzahl der erfolgreichen Cyberangriffe an. Und diese Anzahl oder sogar Anzahl der versuchten Cyberangriffe. Diese Zahl steigt und steigt und steigt. Richtig? Es tendiert definitiv nicht nach unten. Und dann schauen Sie sich an, was der ursprüngliche Angriffsvektor war, diese anfängliche Art von Eindringlingen, und es ist so ziemlich immer eine Art von Phishing-Social-Engineering-Angriff, eine Phishing-E-Mail. Und ich erinnere mich an einen Aufkleber auf dem Schreibtisch meines ehemaligen Managers, auf dem stand: „Es gibt kein Mittel gegen menschliche Dummheit.“ Und ich denke irgendwie darüber nach, wenn ich über Cybersicherheit nachdenke, ist, dass wir immer sind, fast das, was wir in vielerlei Hinsicht tun, ist im Wesentlichen Kontrollmechanismen zu entwickeln, die abschwächen, was ein Mensch letztendlich tun wird. Richtig? Nicht weil sie es nicht beabsichtigen, sondern oft aus Unwissenheit. Also, woher ich weiß, dass all das Bewusstsein, das Programme wie Ihres bringen, es irgendwie auf die nächste Ebene bringen, dass ich mit dieser Art von menschlicher Dummheit nur irgendwie scherze. Aber was sind die Auswirkungen, die Sie gesehen haben?

15:41

Ja, gute Frage. Und das heißt, ich habe das Gefühl, dass es in der Sicherheitsbranche eine weit verbreitete Denkweise gibt. Ich glaube, es gab tatsächlich Artikel und Studien darüber, insbesondere im Designbereich, wann geben wir dem Benutzer die Schuld und wann geben wir dem Designer die Schuld. Und ich denke, Unsicherheit, es gibt diese Denkweise, dass wir unser Bestes geben, quasi, alles liegt beim Endbenutzer, weißt du, nachdem wir es entwickelt haben, liegt es nicht mehr in unseren Händen. Und sie, sie sind diejenigen, die auf die Links klicken und all diese Dinge tun. Aber am Ende des Tages sind sogar Entwickler Menschen. Und einige dieser Bedrohungen und Angriffe werden, wenn man sie sich anschaut, so real und sie fühlen sich so emotional an. Und das ist der ganze Sinn von ihnen, oder? Sie versuchen, dich irgendwie emotional zu stimulieren, sodass du etwas tust, was du normalerweise nicht tun würdest. Und als Menschen haben wir alle diese Tendenz. Und ich denke, vor allem mit dieser Generation kennen wir uns schon irgendwie aus, wir sind mit diesen Bedrohungen aufgewachsen, wir kennen uns mit gruseligen Instagram-DMern aus, das ist zu diesem Zeitpunkt quasi unsere Westentasche. Es geht nur darum, diesen Situationen Namen zu geben. Und es so zu lehren, das ist eigentlich eine Frage der nationalen Sicherheit. So wie du, du bist tatsächlich Teil dieses ganzen Sicherheitskreises, den wir haben. Also ich denke, das größte Element ist das Empowerment. Ich glaube, es geht weniger um das Bewusstsein, ich finde, dass es wirklich einfach ist, weil sie sich fast schon bewusst sind. Es geht eher darum, sie zu befähigen, zu wissen, wie man deine Fragen beantwortet. Viele von ihnen haben eine Menge Fragen, die nur beantwortet werden müssen, wie, weißt du, was, bedeutet diese Datenschutzrichtlinie am Ende des Tages wirklich? Oder was macht Snapchat mit meinen Daten? Hostet es es zum Beispiel auf, auf dem Gerät oder auf Servern? Als ob sie komplizierte Fragen haben, die sogar Entwickler, weißt du, denken zweimal nach, um sie zu beantworten. Ich denke, es ist eine lange Art zu sagen, dass Empowerment wirklich wichtig ist, auch wenn es über das Bewusstsein hinausgeht. Und ich finde, ich bin immer wieder erstaunt über Dinge, die Schüler und Kinder wissen. Das macht mir die Arbeit wirklich leicht, wenn ich über Sicherheit spreche, weil sie das Gespräch oft schon durch so viele Fragen beginnen.

18:03

Das ist großartig. Deshalb möchte ich das, das menschliche Element und die Cybersicherheit, etwas genauer untersuchen, denn das ist einer der Trends, die wir im Cyberbereich innerhalb von Organisationen beobachten, in Bezug auf die Strategien, die Unternehmen verfolgen. Ist eins um eins rund um Zero Trust. Und speziell, und mit Zero Trust, meinen wir nicht, dass das Vertrauen vollständig aufgehoben wird, denn wenn das der Fall wäre, könnten Sie genauso gut alles vom Netzwerk trennen und fertig. Richtig. Es geht also darum, implizites, frei verfügbares Vertrauen abzubauen, aber auf der menschlichen Seite hängt vieles von dem, was wir täglich tun, von implizitem Vertrauen ab. Richtig. Und, ich weiß, ich habe Gespräche geführt, und das ist besonders heikel in bestimmten Regionen, in denen allein das Hören des Wortes Zero Trust für Beleidigung sorgt, weil, oh, wie kann das sein? Richtig? Das bedeutet, dass du mir als Nutzer nicht vertraust. Und du vertraust nicht, was ich tue. Wie und vielleicht haben Sie keine Gespräche speziell über Zero Trust geführt, aber wie bringen Sie das unter einen Hut, da die Bildungsprogramme in der Umgebung nicht so implizit dem vertrauen, was Sie online tun? Das heißt aber nicht, dass Sie Ihre Fähigkeit, Einzelpersonen zu vertrauen, aufs Spiel setzen.

19:25

Ja, ich finde, Zero Trust ist aus diesem Grund schwierig. Es liegt daran, dass Sie nicht den Eindruck erwecken möchten, dass Sie anderen nicht vollständig vertrauen sollten oder dass Sie nicht, dass Sie sich selbst im Internet nicht vertrauen sollten. Es ist eher eine weniger ermächtigende Note. Ich denke, wie „Vertrauen, aber überprüfen“ ist eine gute Haltung, die ich normalerweise in Bezug auf Desinformation und Informationskrieg vertrete. Es ist, als ob Verifizierung unglaublich wichtig ist. Und dann denke ich auch, dass es unglaublich wichtig ist, einfach die Terminologie zu ändern, um zu sagen, ja, Zero Trust, aber es ist ein Gerüst. In diesen Dingen gibt es, wie bei vielen Dingen, einen Grund, warum wir nicht sofort vertrauen. Und da sind diese, all diese Fallstudien für Zeiten, in denen wir sofort vertraut haben. Und als ob wir es in eine größere Lektion einbauen, um es dann als Zero Trust zu brandmarken. Ich denke, Zero Trust ist ein vielschichtiges Statement. Es ist nicht einfach nichts, überhaupt kein Vertrauen. Es ist Vertrauen, aber Verifizierung ist im Allgemeinen die Idee dahinter, wir sagen einfach Zero Trust, weil man dann das Gefühl hat, okay, ich muss ganz unten anfangen. Aber ich denke, im Hinblick auf den Bildungsaspekt, Schüler dort zu treffen, wo sie sich gerade befinden, und ihnen diese Fallstudien oder solche Beispiele zu bringen, das meinen wir mit Zero Trust. Weil sie zu diesem Zeitpunkt vielleicht noch nicht den realen Anwendungsfall von Zero Trust in Bezug auf Authentifizierung oder die Gewährung von Privilegien an Leute gesehen haben. Geben Sie ihnen also Beispiele, die das Ganze realistischer erscheinen lassen. Das ist definitiv eine der Abhilfemaßnahmen.

21:12

Ja, mir gefällt wirklich, was du da gesagt hast, dass du quasi am Boden anfängst und dann das Gerüst baust, oder? Ja, schon wieder, und wenn du es machst, machst du es sehr real, denn sagen wir einfach, dass du einen Fremden triffst, oder? Du assoziierst nicht, als ob du nicht unbedingt ein hohes Maß an Vertrauen verbindest, bis du bestätigt hast, wer sie sind usw. Und mehrere Faktoren. Wenn ja, wenn du irgendwie durch einen Freund verbunden wurdest, dann gibt es ein gewisses Maß an Okay, es wurde ein gewisses Maß an anfänglicher Überprüfung durchgeführt, um das irgendwie zu verbessern. Im Vergleich zu, sagen wir, jemandem, den Sie vielleicht gerade auf LinkedIn miteinander verbunden haben, aber keine wirklich formelle Empfehlung oder Bestätigung. Es ist irgendwie, es ist irgendwie, okay, vielleicht bin ich ein bisschen niedriger. Und ich denke, das ist die Anwendung desselben Prinzips auf den Umgang mit Technologie und Systemen. Ja, der gleiche gesunde Menschenverstand, denn letztendlich kommen Sie an einen Punkt, an dem Sie sagen, Sie haben genug Bestätigung, dass Sie sagen, okay, ich kann dieser Person oder dieser technischen Technologie bis zu einem gewissen Grad vertrauen. Und ich denke, ja, die Grundlage für diesen gesunden Menschenverstand ist absolut richtig.

22:22

Ja, absolut. Ja, das liebe ich. Ich denke, all die Dinge digital und physisch abzubilden, hilft immer bei der Bildung, weil die Leute im Allgemeinen verstehen, okay, ich muss mein Auto abschließen, bevor ich gehe, oder ich muss die Tür abschließen, bevor ich schlafe. Als ob das sehr wichtige Elemente für uns sind, zum Beispiel Werte, die uns am Herzen liegen. Aber das einfach ins Cyberspace zu übersetzen, ist das zentrale Element der Bildung: „Oh, digital ist das Gleiche.“ Stellen Sie sich vor, jemand hätte Zugriff auf Ihren physischen Standort oder Ihre GPS-Koordinaten, was jedes Mal die Art von Denkweise ist, die Sie haben sollten, wenn es um Ihr Bedrohungsmodell geht.

23:01

Das ist, das ist eine großartige Sache. Kommen wir gleich zur Bedrohungsmodellierung. Aber diese Analogie, denke ich, ist wirklich wichtig, dass Sie bei Ihren eigenen wertvollen Dingen, physischen Objekten, die Sie schützen möchten, sehr, sehr vorsichtig sind, oder? Wenn Sie Ihre Türen verriegeln, werden Sie vielleicht gesteckt, sagen wir, wertvolle Dinge in einem Safe, oder Sie stecken sie in ein Schließfach in einem Tresor oder so, richtig? Also. Aber wenn es darum geht, wie wir online interagieren, ist es fast so, als ob wir einfach zu bedienen und leicht zugänglich sein wollen und in der Lage sein, schnell etwas zu tun, nur weil es online und elektronisch ist. Die Hindernisse, die uns davon abhalten, produktiv zu sein, scheinen plötzlich abgebaut zu werden. Und ich denke, wir müssen wieder dasselbe Maß an Inspektion und Sorgfalt anwenden, das wir bei physischen Objekten anwenden würden.

23:52

Ja. Und ich denke, es ist nicht nur eine Benutzersache. Ich denke, das Internet wurde fast so konzipiert, dass es diesen Kompromiss gibt, oder diesen scheinbaren Kompromiss zwischen Bequemlichkeit und Sicherheit. Ja. Und manchmal ist es nicht einmal nur eine Benutzerentscheidung. Und wir als Designer machen es wirklich schwierig, den Benutzer dazu zu bewegen, sich für Sicherheit zu entscheiden. Ich denke, was ich jetzt sehe, ist, dass mir all diese Bewegungen gefallen, die darauf abzielen, Sicherheit in das Produkt einzubauen oder Sicherheit in das Produkt zu integrieren. Damit der Benutzer entweder gar nicht über Sicherheit nachdenken muss, oder Sicherheit ist etwas, das er quasi ein- und ausschalten kann, wie eine verrückte, wie gesperrte Einstellung, um, oh, einfach standardmäßig sicher zu sein. Ich weiß nicht, ob Sie sich den Lockdown-Modus von Apple angesehen haben, aber das heißt, die Produkte von Apple sind offensichtlich von Natur aus sicher, aber sie haben eine zusätzliche Sicherheitsebene, wenn Sie eine Person mit hohem Risiko sind. Es sind also Designs wie dieses, die wirklich ins Schwarze treffen, weil der Nutzer diese Entscheidung am Ende des Tages nicht einmal treffen muss, was die physische Sicherheit betrifft, wenn wir Türen oder Autos verriegeln. Wenn wir eine solche Kosten-Nutzen-Analyse durchführen, ergibt das Kalkül in unserem Kopf Sinn, als ob wir nichts verlieren, wenn wir zusätzliche Vorsichtsmaßnahmen treffen. Und ich denke, auf diese Weise sollten wir versuchen, Geräte auf dem Internet zu bauen, Produkte, die die Benutzer verwenden, und wir betrachten Sicherheit als etwas, das nichts anderes hinter sich lassen sollte.

25:26

Richtig, und es ist eine Selbstverständlichkeit. Und zurück zu Ihrer Auto-Analogie: Wenn Sie von Ihrem Auto weggehen, sagen Sie nicht: „Eigentlich kann ich mir nicht die Mühe machen, das Auto abzuschließen“, weil das ein weiterer Knopfdruck ist. Richtig? Ja, tu es einfach, du, unbewusst tust du es. Aber ich möchte nur zu Ihnen gehen und angefangen haben, über Secure by Design und die Integration von Sicherheit in den Produktentwicklungszyklus zu sprechen. Richtig. Und ich denke, das ist eine interessante Entwicklung. Denn wenn wir, wenn wir irgendwie historisch über die Sicherheitsfunktion und die Rolle nachdenken, die Sicherheit gespielt hat, und das Ganze wieder einmal deutlich vereinfachen. Schon seit sehr langer Zeit, und das ist größtenteils auch heute noch der Fall, spielt Sicherheit die Rolle einer Genehmigungsfunktion. Es ist also so, Sie kommen und fragen das Sicherheitsteam, kann ich etwas tun? Und sie sagen ja oder nein. Und oft kommst du zu ihnen, wenn du das Ende von allem erreicht hast, was du gerade baust, und dann willst du das „Kannst du es segnen, bitte“. Richtig? Aber ich denke, wenn, und das ist immer die Herausforderung, sagen wir mal, die Security sagt nein, oder? Und dann sagst du, oh, dann gehst du wieder darauf ein, dass das wirklich die Produktivität beeinträchtigt? Oder der Sicherheitsdienst sagt: Nun, nein. Und hier sind all Ihre Risiken. Und du sagst: „Nun, okay, nun, ich akzeptiere einfach das Risiko, oder?“ Weil ich produktiv sein muss und du etwas rausbringst, das ist unsicher. Aber ich denke, was Sie sagen, was Sie über die Integration von Sicherheit in den Prozess zu einem sehr frühen Zeitpunkt, ich würde sagen, fast am Anfang, gesagt haben, sorgt dafür, dass Sicherheit und Versicherung funktionieren. Das bedeutet, dass Sie, weil Sie Sicherheit bereits in den gesamten Entwurfs- und Bauprozess integriert haben, wissen Sie, dass etwas sicher ist, wenn Sie etwas bereitstellen. Also das und es ist fast so, als ob ich es wieder nach dem gleichen Muster implementiere, ich weiß, dass es sicher sein wird. Weil nur ich nur Dinge tun kann, die sicher sind. Ich denke, das ist der größere kulturelle Wandel, den wir irgendwie vorantreiben müssen.

27:26

Ja, nein, ich liebe das. Ich glaube, ich hatte einmal einen Professor, der sagte, dieses eine Zitat, an das ich mich in diesem Zusammenhang immer erinnert habe, es ist, dass er sagte: „Sicherheit wird immer als Teil der Installation betrachtet, aber Sicherheit muss wirklich als Teil des Problems betrachtet werden, und als Teil der ursprünglichen Problemstellung.“ Es geht also nicht nur darum, wie wir das tun können, sondern auch, wie können wir das sicher tun? Und wie können wir die Sicherheit unserer Benutzer gewährleisten. Ich denke also, wenn ich auf gute Designpraktiken und gute Designwerte achte, werden die Kunden die Unternehmen meiner Meinung nach dafür zur Rechenschaft ziehen. Und ich denke, das sieht man in Apple-Produkten in dem, was sie tun, leben und atmen, aber auch in den vielen verschiedenen Designlösungen, die es heute gibt. Vor allem Apps mit zwei Faktoren, die es dir ganz einfach machen, zwei Faktoren zu nutzen, ohne auch nur daran zu denken, du öffnest einfach die App und schon verifiziert sie dich. Und das ist die Art von Designänderungen, von denen ich denke, dass sie sowohl sicher als auch sicher sind. Aber sie sind auch gut gestaltet, sehr praktisch, einfach zu bedienen und sehen wunderschön aus. Ich denke, das ist die nächste Generation von Design und Sicherheit. Und ich wünsche mir wirklich, dass mehr Schulen, die Design unterrichten, eine Art Kurs für Design für Sicherheit und Schutz anbieten. Ich sage nämlich, selbst in einem CS-Programm an meiner Schule muss man quasi seinen eigenen Weg gehen und herausfinden, wie genau ich das im Klassenzimmer lernen werde, damit ich die erforderlichen Fähigkeiten habe. Es gibt alle möglichen anderen Klassen, wie zum Beispiel Design für Barrierefreiheit und Designen für Spieledesign, aber ich denke, Design für Sicherheit ist wirklich die nächste Generation.

29:14

Absolut. Es ist auch gut zu wissen, dass in 25 Jahren Informatikkurse zwar weiterhin Sicherheit unterrichten, aber Sicherheit noch nicht vollständig in alle Aspekte des Kurses integriert haben. Und es ist quasi eine eigenständige, eigenständige Disziplin.

29:33

Ja, ich könnte ewig darüber reden. Und das bringt mich immer dazu, ein politischer Entscheidungsträger zu werden, um diese Tatsache zu ändern. Aber es gibt einige verrückte Statistiken, die besagen, dass von den 14 besten Informatikprogrammen des Landes nur eines dieser Programme von Entwicklern die Teilnahme an einem Sicherheitskurs verlangt. An den anderen Schulen, einschließlich meiner, ist Sicherheit kein Pflichtkurs. Sie können ihn belegen, wenn Sie mehr darüber erfahren möchten. Aber oft kann man seinen Abschluss machen, ohne überhaupt einen besucht zu haben.

30:09

Ja, und das unter jemandem, der seit fast 20 Jahren im Cyberbereich arbeitet. Und wenn ich nur an die Zahl der Hochschulabsolventen denke, die demnächst in der Technologiebranche, in welcher Branche auch immer, einsteigen wollen, aber im Wesentlichen im Bereich Technologie, um unglaubliche Produkte zu entwickeln. Die Tatsache, dass sie nicht unbedingt über einen soliden Hintergrund im Cyberbereich verfügen, ich meine nicht, dass sie Experten sind, aber Bewusstsein und so, das klingt nach Schlüsselqualifikationen, was für ihre Rolle wichtig sein wird. Das ist ziemlich beängstigend, denn es geht wieder darum, was sind die Dinge, die wir sind, die wir entwickeln und nutzen, und irgendwie, wie viele Sicherheitsgrundlagen nicht sind. Und ich weiß, Unternehmen geben sich viel Mühe, das irgendwie auszugleichen. Aber es ist, es fühlt sich an, als ob Sie die Herausforderung der Cyber-Bildung in einem so jungen Alter, quasi in der Schule, im Schulalter, angehen, dass dies etwas ist, das in der Hochschulbildung ziemlich einfach angegangen werden könnte und ziemlich wichtig ist. Wenn wir sagen, dass jeder in der Lage sein muss, Programmieren zu lernen, weil es für jeden Job, den er machen wird, unerlässlich ist. Nun, lassen Sie uns sicherstellen, dass sie sicher programmieren können

31:29

Ja, ich denke, das wird eine massive Veränderung im Bildungssystem sein. Und ich hoffe wirklich, dass es passiert. Und das war's, ich denke, wir haben die richtigen Tools. Ich denke, es gibt eine ganze Reihe von Startups und aufstrebenden Unternehmen, die daran arbeiten, wie wir den Entwicklern Tools zur Verfügung stellen, sodass die Sicherheit wirklich leicht verständlich ist, vor allem in der Dokumentation, die Sie nicht so gut kennen. Ich denke also, mit den richtigen Tools und der richtigen Ausbildung und dem bloßen Interesse und dem Wunsch, etwas darüber zu erfahren, geht es meiner Meinung nach auf das zurück, was Sie ursprünglich über Entwickler gesagt haben, die nicht das Klischee oder diese Perspektive haben, dass Sicherheitsleute immer reinkommen und sagen: „Das können Sie nicht tun, es tut mir leid.“ Als ob du nicht könntest, du kannst dich nicht entwickeln, du kannst nicht. Das ist im Allgemeinen das Gefühl, das die Leute haben, besonders bei dieser ganzen KI-Revolution, dass, oh, wenn ich Sicherheitspersonal hinzuziehe oder wenn ich sicherheitsbewusst werde, werde ich mich vielleicht nicht so schnell entwickeln, ich werde nicht so schnell innovieren. Aber ich denke, das Klischee abzubauen, dass man sich genauso schnell entwickeln kann, aber auch unter Berücksichtigung der Sicherheit. Und dafür gibt es so viele Beispiele. Das ist wirklich das Schlüsselstück.

32:50

Ja, absolut. Und ich denke, ein Teil davon verändert das offensichtlich, diese Denkweise und, und das ist der älteste, der sich stark mit der Cybersicherheitsbranche befasst, ist, dass Sie sich zu Partnern machen. Richtig? Macht euch selbst, habt nicht das Gefühl, dass ihr diese Ja/Nein-Polizei sein müsst. Aber viel mehr über einen Partner, denn das ist es, was zu mehr Engagement und mehr Akzeptanz führen wird. Aber ich denke, die Verantwortung liegt auch bei Sicherheitsanbietern, denen, die Sicherheitsprodukte und Sicherheitstechnologien entwickeln, damit sie von denjenigen, die Anwendungen durch den Endbenutzer erstellen, so einfach wie möglich genutzt werden können. Damit die Einführung von Sicherheitslösungen zu einer Freude wird. Ich meine, ich verstehe deinen Standpunkt, oder? Wir sind so besessen von der Benutzererfahrung. Es ist so wichtig, wenn Sie ein Konsumprodukt entwerfen und die Benutzererfahrung schlecht ist, oder? Dieses Produkt wird nicht weit kommen. Richtig, es wird es bekommen, es wird geschlachtet werden. Also sollten wir den gleichen Ansatz für Sicherheitsprodukte verfolgen. Okay, vielleicht Unternehmensprodukte, vielleicht Endbenutzerprodukte, aber lassen Sie uns Sicherheit zu einer Freude machen.

34:10

Ja, und auch einfacher zu adoptieren. Ich glaube, eines der Dinge, mit denen ich manchmal Probleme habe, ist die Beratung, wenn kleine und mittlere Unternehmen kommen und sagen: „Oh, wir suchen nach einem Sicherheitsprodukt“, als ob sie sicher sein oder etwas einführen wollen. Es gibt einfach so viele Tools da draußen. Dass es jetzt schwer zu analysieren ist, also okay, was genau, was machst du eigentlich? Ich denke, es geht einfach darum, ein allgemeines Verständnis dafür zu bekommen, wie Ihr Produkt kommuniziert wird, je nachdem, was es tut, und dann, wen Sie bedienen möchten. Das ist auch eine große Sache, weil es momentan so viele Produkte auf dem Markt gibt.

34:56

Also, ich möchte gleich mit Ihnen über KI sprechen, aber ich meine, Sie sind nicht nur ein Cyber-Pädagoge, oder? Sie sind nicht nur jemand, der sich auf die Sensibilisierung konzentriert; Sie sind auch ein Bedrohungsjäger, Sie stecken tief im Unkraut der Technologie. Lassen Sie uns also ein bisschen darüber sprechen. Also, was ist das, was ist dieser Aspekt Ihres täglichen Lebens?

35:28

Ja, ich würde sagen, es ist wirklich aus meinem Interesse an dieser Bildungskomponente entstanden. Also, ich habe während der gesamten High School Bildung gemacht, Bildung gemacht und mich für Cyberkriminalität eingesetzt. Und dann, als ich aufs College kam, fing ich an, mich mehr dafür zu interessieren, okay, wer diese tatsächlichen Bedrohungsakteure sind und warum tun sie, was sie tun? Und wie machen sie das, was sie tun? Was sind zum Beispiel ihre Taktiken und Techniken? Und da fing ich an, mich mit Bedrohungsinformationen zu beschäftigen. Und Threat Intelligence, ich habe ein Jahr lang bei MS-ISAC gearbeitet. Und dann bin ich zu Apple gewechselt, um dort Sicherheitsoperationen durchzuführen und Betrugserkennung mithilfe von KI und ML durchzuführen. Und dann wechselte ich in die Regierung und arbeitete bei CISA, wo es ausschließlich um den Aufbau internationaler Cyber-Kapazitäten ging und um die Unterstützung unserer Partner und unserer Lieferkettenpartner bei ihrer Sicherheit. Und dann ging ich zurück zu Apple und kümmerte mich mit Partnern aus der Zivilgesellschaft um Produktsicherheit, um Journalisten, Dissidenten und Menschenrechtsverteidiger zu schützen. Und ich fing an, mich wirklich dafür zu interessieren, dass die Regierung wieder Steuern zahlt. Und genau das mache ich diesen Sommer auch bei SpaceX. Ich arbeite an staatlichen Angriffen und Angriffen der Regierung auf unsere Produkte. Und darüber forsche ich auch. Es ist also einfach eine Menge Leidenschaft, die sich gerade wegen der Bildungsarbeit entwickelt hat, die tatsächlichen Opfer zu sehen, Menschen zu sehen, die solche Dinge durchgemacht haben, wir haben auch viele Sitzungen mit Opfern von Online-Ausbeutung abgehalten. Ich glaube, der Kontakt mit den Leuten auf der anderen Seite der Angriffe hat in mir ganz allgemein das Interesse geweckt, dieses Gebiet so gut kennenzulernen. Und ich glaube, es hat mich immer tiefer in diese Cyber-Kabinchenlöcher gebracht, aber ich würde es nicht anders haben wollen. Es ist, es macht viel Spaß, gemeinsam zu forschen und die Bildungskomponente zu machen.

37:36

Ich meine, das ist so ziemlich ein Who-is-Who von Organisationen des öffentlichen und privaten Sektors, dass Sie Cybersicherheitsarbeit geleistet haben. Und kann ich nur sagen, dass die meisten Leute, die dort arbeiten und eine Karriere im Cyberbereich machen, bis sie über 30 Jahre alt sind, nichts mit Cybersicherheit zu tun haben. Also, du hast ungefähr 15 Jahre Vorsprung gegenüber dem Rest von uns. Das ist nicht fair. Aber es ist interessant, du schaust es dir an, als ob es sich um nationalstaatliche Akteure handelt. Wenn wir also etwas miteinander verknüpfen, worüber wir zuvor gesprochen haben, über die Zunahme von Cyberangriffen. Richtig. Betrachtet man also auf der einen Seite den Aufstieg der Nation, staatlicher Akteure und einfach das allgemeine Narrativ, so sieht man, dass die Angreifer immer raffinierter werden.

38:21

Ja, das ist eine gute Frage. Ich glaube, ich war auch auf der Pentesting-Seite. Das ist interessant, weil ich das Gefühl habe, jedes Mal, wenn ich eine dieser Lernerfahrungen gemacht habe, war ich bei einem Pentest-Assessment, oder ich habe es quasi von Anfang bis Ende gesehen. Ich ging immer wieder zum Thema Bildung zurück, und ich glaube, das lag zum Teil daran, dass jedes Mal, wenn mir klar wurde, dass der ursprüngliche Vektor, der verwendet wurde, in etwa 80% der Fälle von Menschen stammt. Und das unabhängig davon, ob es sich um einen Angreifer handelt, der Zugriff auf KI hat, denn dann erleichtert es ihnen nur die Arbeit, irgendeine Art von E-Mail über KI zu generieren oder eine von KI generierte Voicemail oder eine von KI generierte Stimme zu generieren und diesen ersten Angriffsvektor auszuführen. Ich glaube, jedes Mal kehrte ich zur Bildung zurück, was meiner Meinung nach ein wichtiger Grund dafür ist, dass ich nicht aufgehört habe, damit aufzuhören, seit ich mit 14 Jahren angefangen habe. Ich würde also sagen, Sie haben Recht, selbst mit künstlicher Intelligenz sollten wir einfach darüber nachdenken, wie sich unsere Verteidigung, unsere Sicherheitslage nicht unbedingt so sehr verändert hat. Es hat sich geändert, was Verbesserungen angeht, aber es ist ein Katz-und-Maus-Spiel, und auch die Bedrohungsakteure verbessern sich. Also müssen wir uns anpassen. Es ist nicht nur eins und fertig. Ich habe meine Sicherheitsvorkehrungen getroffen. Ich habe damit fertig. Ich werde nicht darüber nachdenken. Es ist eher okay, können wir das jetzt, wo sich die Bedrohungsakteure weiterentwickeln, überarbeiten? Was können wir tun, um der Konkurrenz immer einen Schritt voraus zu sein. Und ich denke, als Designer ist das eine wichtige Sache, über die man nachdenken sollte, wenn man über das Design eines Produkts nachdenkt, okay, wenn ich das baue, wenn ich das so entwerfe, wie würden Angreifer versuchen, es zu umgehen? Und was ist ihr nächster Schritt?

40:13

Das ist, das ist brillant, oder? Das ist nämlich quasi ein bedrohungsorientierter Ansatz bei der Entwicklung eines Produkts oder wie wir bei Zero Trust darüber gesprochen haben, wir sprechen sozusagen von einer Annahme, einem Eindringen, gehen davon aus, dass der Angreifer drinnen ist, wie würden Sie dann Ihre Kontrollen aufbauen? Bauen Sie Ihre Sicherheitsvorkehrungen so aus, dass sie nicht weiter kommen? Richtig. Und ich denke, das ist absolut der Fall. Denn wenn ich darüber nachdenke, dass das ein Zusammenhang war, sagen wir mal zu KI-gestützten Angreifern, dann geht es letztlich darum, wofür der Treibstoff für das KI-Modell ist. Es sind Daten, es sind Informationen darüber, worum es Ihnen geht, an Ihrem Unternehmen, über die Infrastruktur, die Sie haben. Also, desto weniger davon machen Sie frei verfügbar, oder? Je mehr, desto weniger muss der Angreifer verarbeiten. Also, es ist irgendwie am Verhungern, wie wir darüber gesprochen haben, wir haben quasi über die Reduzierung der Angriffsfläche gesprochen, oder über die Verwaltung unserer Angriffsfläche, aber es ist auch wie mit der Verwaltung der Lernoberfläche, also was ist das für eine Oberfläche, auf der der Angreifer lernen kann?

41:24

Ja, ja, ich stimme vollkommen zu. Und ich habe das letzte Jahr damit verbracht, die Verwendung großer Sprachmodelle zur Cyberabwehr und zur Extraktion oder Identifizierung von Taktiken und Techniken nach einem Angriff zu untersuchen. Und die Dinge, die Sie in Bezug auf den Einsatz künstlicher Intelligenz und ihre Feinabstimmung zu einem produktiven Tool gelernt haben, ist einfach, dass unsere KI definitiv weiterentwickelt ist, aber sie hat definitiv ihre Nuancen, richtig. Wenn man zum Beispiel mit einem LM interagiert, merkt man definitiv, dass es ziemlich halluziniert, und solche Dinge. Also ich denke, jeder ist da, es gibt gleiche Wettbewerbsbedingungen in dem Sinne, dass sie quasi mit den gleichen Tools arbeiten wie wir, lasst uns einfach versuchen, schneller zu bauen. Lassen Sie uns Verteidigungsinstrumente schneller bauen. Lassen Sie uns diesen potenziellen Risiken schneller ausweichen als sie es tun.

42:24

Wie sehen Sie also die Transformation der Cybersicherheitslandschaft durch KI? Was ist Ihrer Meinung nach das Wichtigste, mit dem sie angegangen werden kann?

42:38

Ich glaube, es gibt so viele kleine Unteraufgaben. Aber ich denke, die Art und Weise, wie KI-Ingenieure und Cyber-Experten das betrachten, ist wieder diese Idee, wie können wir uns dort treffen, wo wir gerade sind? Richtig? Es ist nicht so, dass KI eingesetzt wird, um Cyber-Experten zu ersetzen. Es geht vielmehr darum, wie wir kleine Unteraufgaben finden, bei denen ein Analyst, wenn ein menschlicher Analyst nicht so viel Zeit damit verbringt, seine Bemühungen als menschlicher Analyst tatsächlich in eine schwierigere Aufgabe oder in schwierigere, von Menschen benötigte Unteraufgaben stecken könnte? Ich denke, das war mein Hauptaugenmerk darauf, wie ich diese kleineren Unteraufgaben finde, für die wir tatsächlich Benchmarks erstellen könnten? Und die zweite Sache ist, wie testet man das eigentlich wissenschaftlich und rigoros, damit wir wissen, dass ein LM-Modell für eine Aufgabe nützlich wäre? Oder wäre es gut für eine Aufgabe? Und das ist die große Frage, ich denke, die akademische Forschungsfrage ist derzeit, ja, es kommen so, als ob all diese Tools auf den Markt kommen, jeder Cyber-Anbieter behauptet, ein KI-gestütztes Produkt zu haben. Aber gleichzeitig gibt es, wenn man sich die Forschung anschaut, nicht viele LLM-Benchmarks für Dinge wie, Okay, so schneiden Menschen bei dieser Aufgabe ab. So schneidet das LLM ab; lassen Sie uns tatsächlich einen direkten Vergleich durchführen. Und lassen Sie uns das hunderte Male in großem Maßstab tun, um zu sehen, ob dies tatsächlich ein potenzielles Tool ist? Ich denke, die nächste Phase der akademischen Forschung lautet: Können wir Benchmarks erstellen, die wissenschaftlich fundierte Beweise liefern? Denn auch hier handelt es sich um die Cyberbranche, von der wir sprechen. Wir brauchen Beweise für so etwas wie Entscheidungen, bei denen viel auf dem Spiel steht, oder?

44:25

Absolut. Ich habe gestern Abend mit einem ehemaligen Kollegen gesprochen. Wir haben darüber gesprochen, weil er gerade dabei ist, ein Startup aufzubauen, das KI für die Technologie, die wir entwickeln, stark nutzt. Und wir haben darüber gesprochen, okay, nun, wie ist KI? Überzeugen Sie mich, dass KI wirklich nützlich ist, richtig. Und dann, glaube ich, haben wir das, was Sie gesagt haben, auf den Punkt gebracht, was sind die täglichen Aufgaben, die ich hasse, aber erledigen muss? Und wenn ich KI verwenden kann, wenn KI versteht, was diese Aufgaben sind, und sie für mich erledigen kann, ist das wirklich nützlich. Denn dann kann ich mich, was Sie sagen, auf Dinge konzentrieren, die ich wirklich tun möchte. Das kann ich nicht, weil ich so viel Zeit mit Dingen verbringe, die ich tun muss, aber ich hasse es, sie zu tun.

45:24

Absolut, ja, ich denke, das ist eine großartige Art, es auszudrücken. Und ich denke, wenn ich mit Leuten im öffentlichen Sektor darüber spreche, welche Adoptionen die Regierung in Bezug auf KI erhofft? Es ist irgendwie dasselbe. Es sind all diese kleinen, es sind nicht die sexy Probleme, mit denen sie es zu tun haben. Es ist alles, wissen Sie, von der Einstellung einer Personalabteilung bis hin zur Entscheidung, wie man jemanden einstellt, der einen neuen Mitarbeiter mag, wie man ihn einstellt, ohne, Sie wissen schon, zu viele Ressourcen und menschlichen Aufwand aufzuwenden. Zum Beispiel, wie können wir diese Tools nutzen, um das, was wir tun, tatsächlich zu verbessern und das, was wir tun, zu erweitern? Und ja, ich denke, einer meiner Professoren hat es sehr interessant ausgedrückt, es geht um Intelligenzsteigerung statt um Automatisierung.

46:13

Ja, absolut. Stimmt. Und wenn du zu einem gehst, sind es nicht die sexy Probleme, die du lösen willst. Es sind die beschissenen Probleme, die sie zu lösen versuchen. Richtig? Und die, außer denen, die Sie täglich unbedingt lösen müssen? Ja, ich stimme voll und ganz zu. Und ich denke, das ist der Grund, warum das KI-Zeitalter, die Revolution so viele Parallelen zu den anderen technologischen Sprüngen hat, die wir in den letzten 100 Jahren erlebt haben, oder? Es ist, es ist nicht, es ermöglicht im Wesentlichen einige dieser sehr manuellen Dinge oder macht sie zunichte. Das ist großartig. Denken wir also darüber nach, wann Sie in Ihre Kristallkugel schauen, über Cybersicherheit, über Politik, über das menschliche Element in Bezug auf KI. Wie sehen Sie die Zukunft?

47:09

Die Millionen-Dollar-Frage.

47:12

Milliarden-Dollar-Frage! Du verstehst die Idee, oder?

47:17

Verdammt, ich muss mein Startup aufbauen! Aber ich denke, es sind eine Reihe von Dingen in der Cyberbranche. Da. Ich habe das Gefühl, dass gerade so viel passiert, dass es schwer ist, eine Sache festzuhalten, aber ich denke, wenn ich es zusammenfassen könnte, wird es, wie Sie sagten, diese feine Balance sein, wo ziehen wir die Grenze zwischen menschlicher Analyse und Intelligenzsteigerung? Und wenn das jemand versteht, richtig, ich denke, das wird das Milliarden-Dollar-Tool sein, können Sie etwas bauen, das die Intelligenz erweitert, das uns zu intelligenteren Verteidigern macht, aber auch das nutzt, was Menschen am besten können, nämlich Anomalieerkennung, oder herauszufinden, dass etwas nur ein bisschen falsch oder seltsam ist, das eine Maschine vielleicht nicht erkennen kann. Und es ist die Feinabstimmung dieser Problemstellung, die meiner Meinung nach die Nadel weit bringen wird.

48:16

Also, wann kommt dein Startup heraus?

48:22

Dies ist ein Soft-Launch dafür. Es ist ein Soft-Launch. Und ich probiere auch für eine Rolle darin vor.

48:32

Fantastisch. So wie das. Lassen Sie uns zum Abschluss noch einmal auf Bildung und Sensibilisierung zurückkommen. Und es wird wohl so viele Sicherheitsexperten geben, die sich diesen Podcast anhören werden, richtig. Was ist die Botschaft, die Sie haben, zum Beispiel Ihre Verbindung zu Leuten, die noch ihre Highschool-Ausbildung, das College abschließen. Aber Sie hatten auch all diese Erfahrungen im öffentlichen und privaten High-End-Sektor? Was ist Ihre Botschaft an die Cybersicherheitsexperten von heute, die sie über die Cybersicherheitsexperten von morgen wissen sollten?

49:20

Ja, ich denke ein paar Dinge. Ja, zum einen fängt alles an, es ist sehr bodenständig. Wenn es eine Botschaft gibt, die ich an Cyber-Experten in der Arbeitsbranche senden könnte, dass alles auf Ihre Community zurückgeht, auf Ihren Einfluss auf die Botschaft, die Sie senden. Deshalb empfehle ich immer, in die örtlichen Schulen zu gehen, darüber zu sprechen, was Sie tun, und das Bild mitzubringen, über das wir am Anfang gesprochen haben, richtig, dass es bei Cyberkriminalität nicht nur um diese eine Art von Person oder diesen einen Hintergrund geht, der erforderlich ist. Es ist überall und es ist alles. Gestern habe ich mit einem Freund gesprochen und gesagt, du wählst nicht Cyber, Cyber wählt dich. Das ist die Sache ist, geh raus in die Community, teile mit, was du tust, präsentiere diese Tatsache, du weißt schon, präsentiert eine Gruppe von Leuten von Illumio oder wo auch immer du arbeitest, von Leuten mit unterschiedlichem Hintergrund, die dieses Problem aus verschiedenen Blickwinkeln betrachten. Also, das ist die eine Sache, in die Community zu kommen. Und die zweite ist zu wissen, dass diese Generation diesen Problemen nicht nur apathisch gegenübersteht, wir sind uns dessen sehr bewusst, versiert, wir wollen die Antwort wissen. Wir werden die schwierigen Fragen stellen. Seien Sie also bereit und freuen Sie sich darauf und verstehen Sie, dass wir uns dort treffen müssen, wo wir in Bezug auf Cyber-Bildung stehen.

50:49

Unglaublich. Kyla, es war so ein Vergnügen, mit dir zu sprechen, richtig. Ich wünschte, wir hätten länger Zeit, aber ich weiß, dass deine Zeit kostbar ist. Also nochmal, vielen Dank für deine Zeit. Ich weiß es wirklich zu schätzen. Es war fantastisch.

51:02

Danke, Raghu. Das hat so viel Spaß gemacht. Danke.

Cybersicherheit neu denken: Vom Bewusstsein zum Empowerment - Der Segment-Podcast | Illumio (2025)
Top Articles
Latest Posts
Recommended Articles
Article information

Author: Fr. Dewey Fisher

Last Updated:

Views: 5669

Rating: 4.1 / 5 (62 voted)

Reviews: 93% of readers found this page helpful

Author information

Name: Fr. Dewey Fisher

Birthday: 1993-03-26

Address: 917 Hyun Views, Rogahnmouth, KY 91013-8827

Phone: +5938540192553

Job: Administration Developer

Hobby: Embroidery, Horseback riding, Juggling, Urban exploration, Skiing, Cycling, Handball

Introduction: My name is Fr. Dewey Fisher, I am a powerful, open, faithful, combative, spotless, faithful, fair person who loves writing and wants to share my knowledge and understanding with you.