Ein CEO namens Alien

Eine Collage mit einem Foto von Sherri Davidoff

Eine Collage mit einem Foto von Sherri Davidoff Emil Haasch





Sherri Davidoff liegt ausgestreckt auf dem Teppich ihres Bürogebäudes in der Innenstadt von Missoula, Montana. Sie trägt einen schwarzen Business-Anzug und Lederstiefel mit fluoreszierenden orangefarbenen und rosafarbenen Schnürsenkeln und schiebt eine drei Fuß lange flexible Stahlschlaufe unter die Lücke unter einer verschlossenen Bürotür. Sie schiebt die Schlaufe auf der anderen Seite der Tür nach oben und versucht, sie am inneren Türknauf einzuhaken.

Das Gerät, das in Einbruchskreisen als Werkzeug unter der Tür bekannt ist, kam kürzlich per Post an, ein Geschenk eines Freundes in der Hacker-Community. Davidoff, die 38-jährige CEO des Cybersicherheits-Beratungsunternehmens LMG Security und Mitbegründerin und CEO des Cybersicherheits-Schulungsunternehmens BrightWise, bricht zum Spaß in ihr eigenes Büro ein, nur um zu sehen, ob sie kann.

Nach mehreren Versuchen bekommt sie das Werkzeug um die Türklinke herum und zieht.



Die Tür springt auf.

So eine musste ich mir unbedingt holen, sagt sie und wischt sich die Hose ab.

Davidoff, die in manchen Kreisen besser unter ihrem Hackernamen Alien bekannt ist, fühlt sich von der Herausforderung angezogen, herkömmliche Barrieren zu umgehen, seit sie vor fast zwei Jahrzehnten als Studentin im ersten Jahr nach Fifth East gezogen ist. Sie studierte Elektrotechnik und Informatik, verbrachte aber einen Großteil ihrer Zeit mit dem sogenannten Kurs 19, dem Lehrplan, in dem Studenten heimlich Campusgebäude, Dampftunnel und – ja – Kuppeln mit Hilfe von Schlössern erkunden Sets und starke Taschenlampen.



Kurs 19 wurde für mein Arbeitsleben relevanter als wahrscheinlich alle Kurse, die ich besucht habe, sagt sie.

LMG , das von Davidoff im Jahr 2009 gegründet wurde, bietet Cybersicherheitsdienste und Schulungen für Finanzinstitute, Gesundheitsorganisationen und Hersteller sowie einige Kunden in Behörden, Einzelhandel und anderen Sektoren an. Das Unternehmen ist auf Penetrationstests spezialisiert, bei denen Black-Hat-Hacker imitiert werden, um Datenschutzlücken aufzudecken. LMG-Mitarbeiter orchestrieren Angriffe und versuchen, sich Zugang zu sensiblen E-Mails und anderen geschützten Daten zu verschaffen. Anschließend schreiben sie Berichte über ihre Erfolge und schlagen Korrekturen vor.

LMG räumt auch nach Informationsverstößen auf. Wenn Computer kompromittiert werden, verfolgen seine Berater, wie sich Hacker Zugriff verschafft haben, und folgen Spuren, um zu erfahren, welche Informationen möglicherweise gestohlen wurden. Sie schulen auch Mitarbeiter und Führungskräfte in Cybersicherheit und führen Compliance-Audits durch, um sicherzustellen, dass Unternehmen die staatlichen und bundesstaatlichen Gesetze befolgen.



Hochkarätige Hacks, einschließlich des Einbruchs in die Server des Democratic National Committee vor den Wahlen 2016, haben Cyberkriminalität und den Datenschutz stärker ins Rampenlicht gerückt. Dies gilt auch für die jüngsten Nachrichten über massive Datenschutzverletzungen bei Verbrauchern, einschließlich des Angriffs auf Marriott im Jahr 2018, bei dem die persönlichen Daten von rund 500 Millionen Menschen offengelegt wurden. Laut Davidoff war all dies ein Segen für die Cybersicherheitsbranche – und dass kleine Korrekturen, wie die Aufklärung der Benutzer über die Taktiken von Phishing-Angriffen, große Verluste verhindern können.

Sie sehen, wie Cybersicherheit die Welt verändern kann, sagt sie und verweist auf den Phishing-Angriff auf das Gmail-Konto der Wahlkampfvorsitzenden von Hillary Clinton, der zur Veröffentlichung von Wahlkampf-E-Mails durch WikiLeaks führte.

Die steigende Nachfrage nach Cybersicherheitsdiensten hat zu einer raschen Expansion der Branche geführt, wobei Wirtschaftsprüfungsunternehmen und große staatliche Auftragnehmer auf den Markt drängen. Die Schätzungen variieren, aber Global Market Insights beziffert es auf mehr als 120 Milliarden US-Dollar. Und Davidoff geht davon aus, dass das Geschäft weiter wachsen wird.



In den nächsten zehn Jahren wird die Cybersicherheit einfacher, da die Netzwerke standardisierter werden, sagt sie. Aber im Moment muss jedes Unternehmen entscheiden, wie sein Netzwerk aussehen soll.

Hacker-Mutter aus Montana

LMG Security ist in einem Gebäude neben einem Fliegenfischergeschäft am Clark Fork River in der Innenstadt von Missoula untergebracht. Kein Schild kündigt das Unternehmen an. Im Inneren bewacht ein Pappaufsteller eines hemdlosen Dwayne Johnson, besser bekannt als The Rock, die Lobby. Es gibt keinen Hinweis auf die Arbeiten, die im Obergeschoss stattfinden. Die fehlende Beschilderung dient nicht der Geheimhaltung. Davidoff befürchtet, dass die Öffentlichkeit verwirrt sein und nach technischem Support suchen könnte. Wenn die Leute uns finden müssen, wissen sie, wo wir sind, sagt sie.

Missoula mag ein seltsamer Ort für den Standort einer Cybersicherheitsfirma erscheinen, aber Karen Sprenger, Chief Operating Officer von LMG, sagt, dass der abgelegene Standort dem Geschäft nicht geschadet hat. Das Team von rund 30 Mitarbeitern des Unternehmens arbeitet von Laptops aus, egal ob sie im Büro sind oder von dem winzigen Flughafen reisen, auf dem ein Grizzlybär in der Nähe der Gepäckausgabe zu sehen ist, um Kunden auf der ganzen Welt zu besuchen.

Die Pacific Coast Banking School in Seattle stellt Davidoff regelmäßig ein, um zu versuchen, sich in das System zu hacken, in dem die persönlichen Daten der Schüler gespeichert sind. Die Ergebnisse solcher Tests werden normalerweise geheim gehalten, da Unternehmen nur ungern selbst kleine Schwachstellen veröffentlichen. Aber Gretchen Claflin, die Präsidentin und CEO von Pacific Coast, sagt, dass die Penetrationstests von Davidoff die Sicherheitsmaßnahmen der Schule noch schwerer zu knacken gemacht haben.

Die Tipps eines Hackers zum Schutz Ihrer Organisation

  • Als Sicherheitsberaterin hat Sherri Davidoff ’02 viele schädliche Datenschutzverletzungen erlebt. In ihrem demnächst erscheinenden Buch Data Breaches seziert sie einige hochkarätige Beispiele. Viele hätten verhindert werden können, wenn die Mitarbeiter diese drei einfachen Regeln befolgt hätten.

  • Denken Sie nach, bevor Sie klicken.

    E-Mails können Links oder Anhänge enthalten, die Ihren Computer infizieren. Untersuchen Sie sie – ebenso wie Links auf Websites – sorgfältig, bevor Sie darauf klicken. Bewegen Sie die Maus über einen Link, um zu sehen, wohin er führt. Überprüfen Sie die Adresse und Rechtschreibung sorgfältig. Im Zweifelsfall nicht klicken! Sie können jederzeit die Hauptadresse der Zielwebsite eingeben und zu Ihrem Ziel navigieren.

  • Sichern Sie regelmäßig.

    Sichern Sie Ihre Daten. Testen Sie Ihre Backups. Bewahren Sie wann immer möglich eine Kopie sicher außerhalb des Standorts auf. Wiederholen.

  • Verwenden Sie die Zwei-Faktor- oder Multi-Faktor-Authentifizierung.

    Wenn Sie sich anmelden, bestätigen Sie Ihre Identität mit zwei oder mehr Methoden, z. B. einem Passwort und einer App auf Ihrem Telefon. Die Zwei-Faktor-Authentifizierung ist bei vielen Anbietern wie Google und Office 365 einfach einzurichten.

Beim letzten Mal waren wir froh, dass sie ziemlich schnell aus unserem System ausgeschlossen wurden, sagt Claflin. Ich ruhe nachts leichter.

Vor der Gründung von LMG hatte Davidoff eine Reihe von Stellen im Bereich Informationssicherheit inne. Während ihres letzten Jahres am MIT arbeitete sie mit der Abteilung für Informationssysteme der Schule zusammen, wo sie ein Tool zur Analyse des Verkehrsflusses durch das gesamte Netzwerk des Instituts entwickelte. Nachdem sie Gammastrahlenausbrüche am RAPTOR-Teleskop im Los Alamos National Lab untersucht hatte, kehrte sie mit einer Mitarbeiterposition in einem Krankenhaus und Mitarbeiter- und Vertragsarbeit bei einigen der modernsten Cybersicherheitsfirmen zur Netzwerksicherheit zurück.

Unterwegs stützte sich Davidoff auf die Fähigkeiten von Kurs 19 und unternahm mehrere physische Penetrationsaufgaben, darunter das Einschleichen in Vorstandsbüros in der Finanzbranche; Sie ging einmal mit einem ungesicherten Laptop. Bei einem weiteren Sicherheitstest gab sie sich als Inspektorin aus und redete sich in den Tresorraum einer Filiale einer Großbank ein.

Vertrauen ist der Schlüssel, sagt Davidoff. Bevor sie sich auf die Bank begab, überprüfte sie das Gebäude und notierte, wann das Management in die Pausen ging und zu welchen Zeiten so viel los war, dass die Mitarbeiter unter Druck standen und weniger in der Lage waren, gute Entscheidungen zu treffen. Sie kam in einem eleganten Anzug mit einem bei Kinko angefertigten Namensschild an und schlug schnell zu. Ich habe deutlich gemacht, dass ich Teil der Organisation bin, und ich habe mich leicht einschüchternd verhalten, sagt sie. Du gibst ihnen keine Zeit zum Nachdenken.

2008 war sie bereit für eine Veränderung und zog nach Missoula. Sie brachte ein paar private Beratungsverträge mit, und daraus wurde schließlich LMG.

Ihr eigener Chef zu sein, würde sich als kritisch erweisen, sobald sie eine Familie gründete. Ich war an einem Punkt angelangt, an dem ich entweder aufhören oder mich klonen musste, sagt sie über die Zeit kurz nach der Geburt ihres ersten Kindes. Mir wurde klar, dass ich nicht als Reiseberater unterwegs sein kann. Aber ich kann Menschen zu Reiseberatern ausbilden. Jetzt, da sie ihre beiden Kinder (fünf und sieben Jahre alt) großzieht und ein Unternehmen führt, ist es weniger wahrscheinlich, dass Davidoff die Beratungsarbeit in den Schützengräben durchführt, die sie früher geleistet hat, es sei denn, dies geschieht zwischen 22 Uhr und 24 Uhr. und 2 Uhr morgens, ihre bevorzugten Arbeitszeiten.

Collage

Risiko berechnen

Davidoffs Cybersicherheitskarriere und MIT-Hacking-Exploits haben begonnen, außerhalb der Hacker-Community Beachtung zu finden. Aufbruch und Einzug , ein Buch von Jeremy N. Smith, verfolgt ihre Karriere und den Aufstieg der Cybersicherheit in den 1990er Jahren. Seit der Veröffentlichung des Buches im Januar ist Davidoff mehrfach in den Medien aufgetreten. Auf NBCs Heute Show führten sie und LMG-Mitarbeiter einen On-Air-Phishing-Angriff auf eine Versicherungsgesellschaft in Missoula durch.

In der landläufigen Vorstellung sind Hacker Männer in Kapuzenpullis, die im Keller ihrer Eltern leben und sich abmühen, abseits einer Tastatur zu kommunizieren. Davidoff widersetzt sich diesem Stereotyp, und Kollegen sagen, dass ihre sozialen Fähigkeiten ebenso wie ihre technischen Fähigkeiten für ihren Erfolg verantwortlich sind.

Viele Menschen möchten in dieser Branche arbeiten, weil sie lukrativ sein kann, sagt Deviant Ollam, ein in Seattle ansässiger Experte für Schlossknacken und Sicherheitsberater, der seit mehr als einem Jahrzehnt mit Davidoff befreundet ist. Aber soziale Fähigkeiten und Soft Skills sind nicht etwas, das man als Hacker-Skills bezeichnet. Das ist ein wichtiger Treiber für diejenigen, die Arbeit finden. Es ist der Unterschied zwischen einer Person mit einem Projekt und einer Person mit einem Unternehmen.

Ollam traf Davidoff zum ersten Mal 2007 auf einer Hacker-Konferenz, wo er eine Kabelmann-Verkleidung vorführte, die er bei Sicherheitsaufgaben verwendete. Sherri sagte: „Ich muss mir ein paar davon besorgen.“ Es war kein Spaß, erinnert er sich. Es war für eine tatsächliche berufliche Verpflichtung.

Davidoff ist genauso überrascht wie jeder andere, dass das Hacken, das als College-Abenteuer begann, sich zu einem Beruf entwickelt hat. Aber sie ist enttäuscht, dass der Begriff in der Populärkultur eine unheimlichere Bedeutung angenommen hat. Es macht mich traurig, wenn ich höre, dass das Wort „Hacker“ mit einer negativen Konnotation verwendet wird, sagt sie. Am MIT zu hacken bedeutete, Low-Tech-Streiche zu spielen, sagt sie und zitiert den berühmten Fall des Polizeikreuzers auf dem Great Dome aus dem Jahr 1994. Es bedeutete nie zu stehlen oder wirklichen Schaden anzurichten.

Eine weitere Änderung ist positiver. Laut Davidoff ist die Hackerkultur seit Ende der 1990er Jahre inklusiver geworden, als die Leute auf Konferenzen und in Beraterjobs annahmen, Sie seien die Freundin oder Assistentin von jemandem. Auch am MIT sei sie meist eine der wenigen Frauen gewesen, die an Hacking-Exkursionen teilgenommen hätten. Das brachte sie dazu, sich hart anzustrengen und vielleicht Risiken einzugehen, die im Nachhinein gefährlich waren, bei ihrer Suche nach Zugang zu Orten, an denen noch nie ein anderer Hacker gewesen war.

Das MIT war Ende der 90er Jahre ein ausgezeichneter Ort, um Risiken einzugehen und von ihnen zu lernen, sagt sie: Was das MIT so besonders machte, war eine Kultur, in der man wie ein Erwachsener behandelt wurde, die Studenten respektierten und einen ermutigten, etwas zu entdecken.

Es gab Risiken, sagt sie, aber sie glaubt, dass das Lernen, Risiken zu berechnen und zu verstehen, mit welcher Gefahr man bereit ist zu leben, der Schlüssel zum Leben ist. Das Gleiche gilt für die Erstellung eines starken Informationssicherheitsplans. Sie können Ihr Netzwerk nicht vollständig sichern, sagt sie. Aber als Organisation müssen Sie sagen können: „Wir sind mit den Risiken, die wir eingehen, zufrieden und werden uns deswegen keinen Stress machen.“

verbergen