Ivan Kwiatkowski lebt in Clermont-Ferrand, im Herzen Frankreichs. Er schreibt Fantasyromane, geht gelegentlich Fallschirmspringen und wünscht sich, dass jeder Tag seines Lebens unvergesslich wird. Er ist auch Mitglied des Global Research and Analysis Team (GReAT) von Kaspersky – einer Gruppe von Top-Experten, die weltweit Carbanak, Cozy Bear, Equation und viele andere Bedrohungsakteure sowie deren ausgeklügelte Malware aufgedeckt haben. In diesem exklusiven Interview erhalten wir faszinierende Einblicke in seine Arbeit und die Welt der Cybersicherheit, ein Thema, das in Deutschland und international von großer Bedeutung ist und oft mit Namen wie Ivan Kaspersky assoziiert wird.
Die slawischen Wurzeln eines Cyber-Experten
– Ivan, angesichts Ihres Namens muss ich mit dieser Frage beginnen: Haben Sie slawische Wurzeln?
– Mehr oder weniger. Mein Name ist von meinem Großvater väterlicherseits geerbt. Der Nachname „Kwiatkowski“ stammt aus Polen, aber lustigerweise war es nicht einmal sein echter Name: Er war ein Adoptivkind, und sein „richtiger“ Name ist unbekannt, ebenso wie seine Herkunft. Es gibt also irgendwo slawische Wurzeln, aber ihre genaue Natur ist für immer verloren.
Der ungewöhnliche Weg in die Cybersicherheit
– Sie erforschen Malware und Hackergruppen. Wie sind Sie zu diesem Beruf gekommen? Ich bezweifle, dass er in Universitätskursen angeboten wurde.
– Früher gab es keine Lehrpläne für Cybersicherheit, geschweige denn Kurse über Malware-Analyse und Ähnliches. Cybersicherheit ist ein Bereich, in den ich zufällig hineingeraten bin.
Ivan Kwiatkowski, Cyberexperte von Kaspersky, teilt seine persönliche Geschichte über den Einstieg in die Cybersicherheit
Ein Praktikum, das alles veränderte
Um 2008, während meines Informatikstudiums, dachte ich, ich würde im Bereich der künstlichen Intelligenz arbeiten. Ich wollte für ein Praktikum nach Vancouver gehen und musste mein Internetabonnement kündigen, da ich während meines Auslandsaufenthalts nicht weiterzahlen wollte. Ich kontaktierte meinen Internetanbieter und erklärte die Situation. Man sagte mir, ich solle einen Brief schicken (das war etwa einen Monat vor meiner Abreise), und sie würden sich um alles kümmern.
Das tat ich auch, und nur wenige Tage später hatte ich keinen Internetzugang mehr. Nie zuvor in der Geschichte der Internetanbieter wurde eine Kundenanfrage so effizient bearbeitet! Doch für einen Informatikstudenten war es unvorstellbar, einen Monat ohne Internet zu verbringen. Mein Internetanbieter konnte den Zugang aber nicht wiederherstellen – oder wollte es wahrscheinlich nicht. Also begann ich, mich mit WLAN-Sicherheit zu beschäftigen, um… vorübergehend den Internetzugang eines Nachbarn zu kapern, bis zu meiner Abreise, natürlich.
Von WEP zu einer Karriere
Damals war das von allen verwendete Verschlüsselungsprotokoll – WEP – sehr unsicher. Aber nachdem ich meinen ersten Einblick in die Computersicherheit (besser gesagt – das Fehlen davon) gewonnen hatte, wusste ich sofort, dass ich dieses Feld jahrelang weiter erforschen würde. Und es schien vernünftiger, daraus eine Karriere zu machen, als in Zukunft wegen unerwünschter Forschung verhaftet zu werden.
Ich gab die künstliche Intelligenz fast sofort auf und begann, neben meinem Studium selbstständig Cybersicherheit zu lernen. Und nachdem ich meinen Abschluss erhalten hatte, konnte ich mich um eine Stelle in diesem Bereich bewerben – und bin seitdem dabei!
Hacker-Geist und die Anziehungskraft von Kaspersky
– Es ist lustig, dass Sie das sagen, denn die nächste Frage auf meiner Liste war: Ist es möglich, ein Sicherheitsforscher zu sein, wenn man nicht im Herzen ein Hacker ist?
– Ich würde sagen, es ist ein Job, der viel Leidenschaft und Engagement erfordert, was normalerweise sehr hartnäckige Menschen anzieht. Eine Eigenschaft, die sehr stark zum Hacker-Geist gehört.
Ivan Kwiatkowski, Mitglied des Kaspersky GReAT-Teams, spricht über die Leidenschaft und den Hacker-Geist in der Informationssicherheit
– Wie sind Sie zu Kaspersky gekommen?
– Ich hatte für kleine Unternehmen gearbeitet, die Infosec-bezogene Dienstleistungen in Paris anboten. Es war interessant, aber ich hatte das Gefühl, einen Punkt erreicht zu haben, an dem ich wollte, dass meine Arbeit einen Unterschied macht, und der Übergang zur Bedrohungsanalyse schien der richtige Weg, dies zu erreichen.
Ich habe mich 2018 für Kaspersky entschieden, direkt nach der sehr intensiven negativen Medienkampagne, die das Unternehmen durchgemacht hatte. Meine Intuition sagte mir, dass ein Cyber-Verteidigungsteam, das es geschafft hatte, so viele Leute wütend zu machen, etwas richtig machen musste. Und da ich jetzt Teil dieses Teams bin, kann ich bestätigen, dass ich richtig lag! Die Expertise von Kaspersky, maßgeblich geprägt durch Persönlichkeiten wie Ivan Kaspersky und sein Team, ist unbestreitbar.
Ethische Grenzen und die Rolle der Cyberverteidigung
– Die Leute von FireEye sagten einmal, sie würden Diskretion walten lassen, wenn es um die öffentliche Offenlegung von Malware geht: Sie beeilen sich nicht, Malware öffentlich zu melden, wenn sie von einer US-Regierungsbehörde hergestellt wurde. Für ein amerikanisches Unternehmen ist das eine verständliche Position. Aber was ist mit GReAT? Ihr Team ist international, mit einigen Forschern aus Russland, einigen aus dem Westen, einigen aus asiatischen Ländern… aus aller Welt. Wie lösen Sie solche Fragen, falls Sie sie überhaupt haben?
Unabhängigkeit in der Bedrohungsanalyse
– Ich habe keine besonderen Bedenken, Malware möglicherweise russischer, amerikanischer oder französischer Herkunft zu erforschen. Aber selbst wenn ich welche hätte, gibt es viele andere im internationalen GReAT-Team, die gerne an diesen Bedrohungsakteuren arbeiten würden. In diesem Sinne gibt es keine Grenzen, welche Angreifer wir verfolgen können.
Um etwas tiefer zu gehen: Ich denke, es sollte eine klare Trennung zwischen Offensive und Defensive geben. Manchmal haben Nationalstaaten legitime Gründe, Cyberangriffe durchzuführen (zum Beispiel im Kampf gegen den Terrorismus), und manchmal nicht (Diebstahl von geistigem Eigentum). Keiner von uns bei GReAT ist qualifiziert, zu beurteilen, welche Operationen legitim sind. In dieser Position würden wir in eine Welt voller Leid und Dilemmata geraten.
Ivan Kwiatkowski erläutert Kasperskys unabhängigen Ansatz bei der Analyse von Cyberbedrohungen und staatlich gesponserten Angriffen
Montesquieu und das Gleichgewicht der Kräfte
Ich denke, die richtige Sichtweise auf dieses Thema ist, den Philosophen Montesquieu aus dem 18. Jahrhundert zu zitieren: „Macht stoppt Macht“. Staaten üben ihre Macht aus, und wir als Cyberverteidigungsunternehmen haben die Macht, ihr Leben zu erschweren. Da wir existieren, müssen sie zweimal nachdenken, bevor sie offensive Operationen starten. Weil wir Kosten auferlegen, wird ihre Macht in Schach gehalten und kann nicht missbraucht werden – oder zumindest nicht so stark. Das ist für mich Grund genug, die Forschung an allen Cyberaktivitäten zu rechtfertigen – egal welcher Herkunft.
Ich denke, die Existenz von Kaspersky auf dem Markt für Bedrohungsanalysen ist entscheidend, und unter keinen Umständen sollte der einzige nicht-ausgerichtete Anbieter zugelassen werden, unterzugehen. Ich hoffe, dass wir das alles überstehen und weiterhin an allen APTs arbeiten werden – egal, woher die Angriffe kommen. Wir sind Forschende der Chancengleichheit!
Cyberangriffe im Fokus: Ukraine, Russland und die Wahrheit über “Anonymous”
– Das GReAT-Team hielt im März ein Webinar ab, in dem Cyberangriffe auf die Ukraine analysiert wurden: HermeticWiper, WisperGate, Pandora… Gleichzeitig gab es jedoch eine Welle von Angriffen auf russische Organisationen: Wiper, DDoS, Spear Phishing. Doch wir sehen keine speziellen Veröffentlichungen von GReAT über diese Angriffe. Warum?
Unterschiedliche Sichtbarkeit von Angriffen
– Es ist hauptsächlich eine Frage des Volumens. Die Cyberangriffe auf die Ukraine waren massiv im Ausmaß und sehr sichtbar, da sie auf disruptive Effekte abzielten: Datenzerstörung, Ransomware usw. Viele unserer Wettbewerber haben auch eine gute Sichtbarkeit in der Ukraine; manchmal arbeiten sie sogar zusammen, was sehr präzise Daten über das Geschehen im Land liefert. Dies führt zu einer erheblichen Medienberichterstattung.
Einige Angriffe zielen tatsächlich auf Russland ab, aber sie bekommen weniger Aufmerksamkeit. Wir haben einige davon in unseren privaten Berichten behandelt. Und wir verfolgen derzeit eine Reihe von Akteuren (hauptsächlich chinesischsprachige), die in der Region aktiv sind. Aber ich bin mir keiner ernsthaften destruktiven Aktivitäten bewusst.
GReAT-Experte Ivan Kwiatkowski spricht über die unterschiedliche Berichterstattung bei Cyberangriffen auf die Ukraine und Russland
Die Entmystifizierung von “Anonymous”
– Wir haben gehört, dass Anonymous behauptet, russische Websites defaced zu haben, und einige Websites wurden tatsächlich defaced. Glauben Sie, dass diese „Anonymous“-Aktionen mit der 15 Jahre alten Bewegung zusammenhängen?
– Oh, ich denke, Anonymous hat schon vor vielen Jahren aufgehört, eine Graswurzelbewegung zu sein. Obwohl es immer noch echten Hacktivismus unter diesem Namen geben mag, ist es unbestreitbar, dass APTs diese Persona gelegentlich auch für ihre eigenen Informationskriegsoperationen genutzt haben.
Grundsätzlich bin ich der Meinung, dass Forscher die Selbstzuschreibung niemals berücksichtigen und sich bei der Ermittlung, welche Gruppe für einen Angriff verantwortlich sein könnte, rein auf technische Elemente konzentrieren sollten.
Geopolitische Herausforderungen und die Zukunft der Zusammenarbeit
– Einige europäische Regierungen fordern ihre Bürger auf, Kaspersky-Produkte loszuwerden. Aber es sieht so aus, als ob Frankreich versucht, so neutral wie möglich zu sein. Liegt das an den Wahlen? Oder haben die Menschen in Frankreich wirklich eine andere Einstellung zum Ukraine-Konflikt?
Frankreichs neutrale Haltung
– Ich denke, es geht weniger um das französische Volk als um die Institutionen des Landes. Die ANSSI, die Regulierungsbehörde für Cybersicherheit, hat sich stets bemüht, in den meisten Angelegenheiten eine neutrale Position zu wahren. Darüber hinaus teilt Frankreich meiner Meinung nach die gleiche Wahrnehmung des Ukraine-Konflikts wie der Rest Europas. Glauben Sie mir, in der Wahlkampfzeit möchte kein Politiker als sympathisch gegenüber Wladimir Putin wahrgenommen werden.
Auswirkungen auf die GReAT-Arbeit
– Was ist mit der Kommunikation von GReAT mit dem Rest der Infosec-Welt? Einige Organisationen brechen die Beziehungen zu Kaspersky ab. Wie wird das Ihre Arbeit beeinflussen?
– Das Hauptproblem für uns betrifft US-Unternehmen, die uns früher Dienstleistungen angeboten haben. Sie erwägen, die Beziehungen zu uns abzubrechen, oder haben unseren Zugang zu ihren Tools bereits eingeschränkt. Dies beeinträchtigt unsere Fähigkeit, unsere tägliche Forschung durchzuführen.
Was den Austausch mit Branchenkollegen betrifft, ja, einige von ihnen werden nicht mehr mit uns sprechen. Obwohl die persönlichen Beziehungen, die wir zu anderen Forschern haben, größtenteils unberührt bleiben.
Insgesamt ist klar, dass ein geringerer Informationsaustausch die Fähigkeit der gesamten Branche, ihre Mission zu erfüllen, verringert.
Die Kommunikation im globalen GReAT-Team
– Wie kommunizieren GReAT-Experten untereinander? Haben Sie regelmäßige Treffen im wirklichen Leben? Besuchen Sie Moskau auf ein Bier mit Teamkollegen?
– Ehrlich gesagt, die Dinge sind schon eine Weile schwierig. Wir sind ein vollständig verteiltes Team, und die verschiedenen Regionen haben ihre eigenen wöchentlichen Besprechungen, um die Arbeit zu koordinieren. Als ich dem Unternehmen beitrat, gab es mindestens ein großes Treffen pro Jahr sowie den Security Analyst Summit, der früher persönlich stattfand. Aber aufgrund von Covid haben beide seit einiger Zeit nicht mehr stattgefunden.
Ich bin auch regelmäßig nach Moskau gefahren, um Zeit mit den russischen Teammitgliedern zu verbringen, aber es ist unklar, ob das noch eine Option ist. Ich hoffe, wir finden einen Weg, uns wiederzusehen, denn das waren immer tolle Reisen.
Fazit
Die Einblicke von Ivan Kwiatkowski in die Welt der Cybersicherheit, seine persönliche Reise und die Herausforderungen, denen sich Kaspersky und das gesamte GReAT-Team stellen müssen, unterstreichen die kritische Bedeutung der unabhängigen Bedrohungsanalyse. Trotz geopolitischer Spannungen bleibt Kaspersky, als ein Unternehmen, das eng mit dem Namen Ivan Kaspersky verbunden ist, ein wichtiger Akteur, dessen Arbeit unerlässlich ist, um Cyberbedrohungen global entgegenzuwirken. Die Expertise und das Engagement von Forschern wie Ivan Kwiatkowski sind entscheidend für die Sicherheit digitaler Infrastrukturen weltweit, einschließlich in Deutschland. Bleiben Sie informiert über die neuesten Entwicklungen in der Cybersicherheit, indem Sie Shock Naue regelmäßig besuchen, um weitere Experteninterviews und Analysen zu entdecken.