Ivan Kwiatkowski: „Ich bin durch Zufall in die Cybersicherheitsbranche geraten“

Lernen Sie Ivan Kwiatkowski, Senior Sicherheitsforscher bei Kaspersky’s GReAT-Team (Global Research and Analysis Team), kennen.

Ivan lebt in Clermont-Ferrand, mitten im Herzen Frankreichs. Er schreibt Fantasy-Romane, springt gelegentlich Fallschirm und möchte jeden Tag zu einem unvergesslichen machen. Er ist Mitglied unseres Top-Experten-Teams GReAT (Global Research and Analysis Team), das Carbanak, Cozy Bear, Equation und viele andere weltweit bekannte Bedrohungsakteure und ihre ausgeklügelte Malware aufgedeckt haben.

Ivan, wenn ich deinen Namen lese, muss ich einfach mit dieser Frage zu beginnen: Hast du slawische Wurzeln?

Mehr oder weniger. Meinen Namen habe ich von meinem Großvater väterlicherseits geerbt. Das Patronym „Kwiatkowski“ stammt aus Polen, aber komischerweise war dies gar nicht sein „richtiger“ Name: Denn mein Opa war Adoptivkind und sein „richtiger“ Name ist unbekannt, genauso wie seine Herkunft.

Du untersuchst cyberkriminelle Gruppierungen. Wie bist du in diesen Beruf eingestiegen? Ich bezweifle stark, dass es an der Universität den Studiengang Cybersicherheit gab.

Früher gab es keine Lehrpläne für Cybersicherheit, geschweige denn Kurse über Malware-Analysen und dergleichen. Cybersicherheit ist ein Bereich, in den ich zufällig geraten bin.

 

Um 2008 herum, während meines Informatikstudiums, dachte ich, ich würde im Bereich der künstlichen Intelligenz arbeiten. Ich war kurz davor für ein Praktikum nach Vancouver aufzubrechen und musste meinen Internetanschluss kündigen, weil ich während meiner Zeit im Ausland keine Gebühren für den Internetanschluss zahlen wollte. Ich kontaktierte meinen ISP-Anbieter, schilderte die Situation und wurde darum gebeten, eine E-Mail mit meinem Anliegen zu schicken (das war ungefähr einen Monat vor meiner Abreise).

Ich tat genau das, und nur wenige Tage später hatte ich keinen Internetzugang mehr. Noch nie in der Geschichte der ISPs wurde eine Kundenanfrage so effizient und schnell bearbeitet! Aber für einen Informatikstudenten war es unvorstellbar, einen Monat ohne Internet zu leben. Leider konnte mein ISP den Zugriff nicht wiederherstellen – oder, was meiner Meinung nach wahrscheinlicher ist, er wollte es schlichtweg nicht. Also fing ich an, mich mit der Sicherheit von WLAN-Netzwerken zu befassen, um … ja, Schande über mein Haupt, vorübergehend den Internetzugang eines Nachbarn bis zu meiner Abreise zu hijacken.

Damals war das von allen verwendete Verschlüsselungsprotokoll WEP – mehr als unsicher. Nachdem ich mir also einen ersten Eindruck über das Thema Computersicherheit (oder wohl eher fehlende Computersicherheit) verschaffen konnte, war mir sofort klar, dass ich in den kommenden Jahren weiter auf diesem Gebiet forschen würde. Darüber hinaus fühlte es sich vernünftiger an, diesen Karriereweg einzuschlagen, als in Zukunft wegen unerbetener Recherchen verhaftet zu werden.

Zu diesem Zeitpunkt habe ich die künstliche Intelligenz umgehend an den Nagel gehängt und angefangen, mich neben dem Studium selbstständig mit Cybersicherheit zu beschäftigen. Nach meinem Abschluss konnte ich mich dann auf eine Stelle in diesem Bereich bewerben – und bin seitdem dabei geblieben!

Lustig, dass du das sagst, denn meine nächste Frage wäre gewesen, ob es möglich ist, Sicherheitsforscher zu werden, wenn man kein leidenschaftlicher Hacker ist?

Ich würde schon sagen, dass es ein Job ist, der viel Leidenschaft und Hingabe erfordert, was normalerweise sehr hartnäckige Leute anzieht. Eine Eigenschaft, die übrigens sehr zum Hackergeist gehört.

 

Wie bist du bei Kaspersky gelandet?

Zu Beginn habe ich in Paris für einige kleine Unternehmen gearbeitet, die Infosec-Dienstleistungen anbieten. Die Arbeit war zwar interessant, aber irgendwann überkam mich das Gefühl, dass ich einen Punkt erreicht hatte, an dem ich wollte, dass meine Arbeit etwas bewirkt – wirklich etwas bewirkt. Der Wechsel in die Threat Intelligence schien mir der richtige Weg, um genau das zu erreichen.

Ich habe mich 2018 für Kaspersky entschieden, unmittelbar nachdem eine sehr intensive negative Medienkampagne auf das Unternehmen eingeprasselt war. Meine Intuition sagte mir, dass ein Cyber-Defense-Team, das es geschafft hatte, so viele Leute in den Wahnsinn zu treiben, etwas richtig gemacht haben muss. Und nun, als Teil dieses Teams, kann ich sagen: Ich hatte Recht!

Das Team von FireEye hat einmal gesagt, dass es bei der öffentlichen Offenlegung von Malware Diskretion walten lässt: Stammt Malware beispielsweise von einer US-amerikanischen Regierungsbehörde, lassen sie sich bei der öffentlichen Bekanntgabe Zeit. Für ein amerikanisches Unternehmen ist das eine verständliche Position. Aber was ist mit GReAT? Euer Team ist international, mit Forschern aus aller Welt. Wie löst ihr derartige Angelegenheiten?

Ich habe keine besonderen Bedenken, über Malware möglicherweise russischen, amerikanischen oder französischen Ursprungs zu recherchieren. Aber selbst, wenn ich welche hätte, gäbe es viele andere Teamkollegen, die gerne an diesen Bedrohungsakteuren arbeiten würden. In diesem Sinne gibt es keine Grenzen dafür, welche Angreifer wir verfolgen können.

Ich denke, es sollte eine klare Trennung zwischen Angriff und Verteidigung geben. Manchmal haben Nationalstaaten legitime Gründe, Cyberangriffe durchzuführen (z. B. im Rahmen der Terrorismusbekämpfung), und manchmal eben nicht (beispielsweise beim Diebstahl geistigen Eigentums). Keiner von uns bei GReAT ist qualifiziert, der Schiedsrichter darüber zu sein, welche Aktionen legitim sind und welche nicht.

Interview mit Ivan Kwiatkowski

Wie der Philosoph Montesquieu im 18. Jahrhundert bereits sagte: „Macht stoppt Macht“. Staaten üben ihre Macht aus, und wir als Cyberverteidigungsunternehmen haben die Macht, ihnen das Leben schwerer zu machen. Seit es uns gibt, müssen sie es sich zweimal überlegen, bevor sie in die Offensive gehen. Durch uns wird ihre Macht im Zaum gehalten und nicht mehr exzessiv missbraucht. Das ist für mich Grund genug, die Recherche aller Cyber-Aktivitäten zu rechtfertigen – unabhängig von ihrer Herkunft.

Kasperskys Existenz auf dem Markt der Threat-Intelligence-Markt ist unerlässlich, und unter keinen Umständen sollte zugelassen werden, dass der einzige blockfreie Anbieter abdanken muss. Ich hoffe, dass wir all das überstehen und auch in Zukunft an allen APTs weiterarbeiten können – egal, woher ein Angriff stammt!

Im März hat das GReAT-Team ein Webinar mit einer Analyse von Cyberangriffen auf die Ukraine abgehalten: HermeticWiper, WisperGate, Pandora… Gleichzeitig gab es jedoch eine Welle von Angriffen auf russische Organisationen: Wiper, DDoS, Spear-Phishing. Es gibt jedoch keine speziellen Veröffentlichungen von GReAT über diese Angriffe. Wieso?

Es ist vor allem eine Frage des Ausmaßes. Die Cyberangriffe auf die Ukraine waren massiv und sehr prominent, da sie zerstörerische Hintergründe hatten: Datenzerstörung, Ransomware usw. Viele unserer Konkurrenten sind auch in der Ukraine sehr präsent; manchmal arbeiten sie sogar zusammen, was es ermöglicht, sehr genaue Daten darüber zu erhalten, was im Land selbst vor sich geht. Dies führt zu einer erheblichen Berichterstattung in den Medien.

Einige Angriffe zielen tatsächlich auf Russland ab, erhalten aber weniger Aufmerksamkeit. Wir haben einige davon in unserer privaten Berichterstattung behandelt. Und wir verfolgen derzeit eine Reihe von (hauptsächlich chinesischsprachigen) Akteuren, die in der Region aktiv sind. Aber mir sind keine ernsthaft destruktiven Aktivitäten bekannt.

Interview mit Ivan Kwiatkowski

Die Gruppe Anonymous behauptet, russische Websites unkenntlich gemacht zu haben. Glaubst du, dass diese „Anonymous“-Aktionen mit dem bereits seit 15 Jahren aktivem Kollektiv zusammenhängen?

Ich glaube, Anonymous ist bereits seit vielen Jahren keine Graswurzelbewegung mehr. Obwohl es vermutlich noch immer einen gewissen echten Hacktivismus unter Verwendung dieser Bewegung geben mag, ist es unbestreitbar, dass APTs diese Persona gelegentlich missbraucht haben, um ihren eigenen Informationskrieg zu führen.

Grundsätzlich sollten Forscher niemals die Selbstzuschreibung berücksichtigen und sich ausschließlich auf technische Elemente konzentrieren, wenn sie versuchen herauszufinden, welche Gruppe für einen Angriff verantwortlich sein könnte.

Einige europäische Regierungen raten ihren Bürgern, Kaspersky-Produkte nicht mehr zu verwenden. Frankreich scheint jedoch so neutral wie möglich zu sein. Liegt das an den aktuellen Wahlen? Oder haben die Menschen in Frankreich wirklich eine andere Einstellung zum Ukraine-Konflikt?

Ich denke, es liegt weniger an den Franzosen selbst, sondern viel mehr an den Institutionen des Landes. ANSSI, die Regulierungsbehörde für Cybersicherheit, hat sich immer bemüht, eine neutrale Position einzunehmen. Davon abgesehen denke ich, dass Frankreich in Bezug auf den Ukraine-Konflikt die gleiche Wahrnehmung wie der Rest Europas teilt. Vor allem in der Wahlsaison möchte kein Politiker mit Wladimir Putin in Verbindung gebracht werden.

Wie sieht es mit der Kommunikation von GReAT mit dem Rest der Infosec-Welt aus? Einige Organisationen brechen die Verbindungen zu Kaspersky ab. Wie wird das deine Arbeit beeinflussen?

Das Hauptproblem für uns stellen US-Unternehmen dar, von denen wir bis vor Kurzem noch einige Dienstleistungen in Anspruch genommen haben. Sie erwägen, die Verbindung zu uns abzubrechen, oder haben unseren Zugriff auf ihre Tools bereits eingeschränkt. Selbstverständlich werden dadurch die Fähigkeiten in Bezug auf unsere tägliche Forschung beeinträchtigt.

Was den Austausch mit Branchenkollegen betrifft, werden einige auf professioneller Ebene nicht mehr mit uns sprechen. Obwohl die persönlichen Beziehungen, die wir zu anderen Forschern haben, größtenteils unberührt bleiben.

Dabei sollte allen klar sein, dass weniger Informationsaustausch auch die Fähigkeit der gesamten Branche reduziert, unsere gemeinsame Mission angemessen zu verfolgen.

 

Wie kommuniziert ihr als GReAT-Team miteinander? Habt ihr regelmäßige präsenzielle Meetings? Reist du beispielsweise mit deinen Teamkollegen auf ein Bier nach Moskau?

Ehrlich gesagt ist die Situation seit geraumer Zeit nicht ganz einfach. Unser gesamtes Team arbeitet aus der Ferne, und je nach Region halten wir wöchentliche Meetings ab, um unsere Arbeit bestmöglich zu koordinieren. Als ich bei Kaspersky anfing, gab es mindestens ein großes Treffen pro Jahr sowie den Security Analyst Summit, der früher präsenziell stattfand. Aufgrund der Corona-Krise haben beide Events seit einiger Zeit nicht mehr stattgefunden.

Früher bin ich zudem regelmäßig nach Moskau gereist, um Zeit mit den russischen Teammitgliedern zu verbringen, aber ob das in Zukunft noch möglich ist, ist bislang unklar. Ich hoffe, wir finden einen Weg, uns zu sehen, denn ich erinnere mich wirklich gerne an diese Zeiten zurück.

Tipps