In einer Szene, die seiner filmischen Inspiration entrissen zu sein scheint, war van der Gaaß etwa 16 Jahre alt, als er sich in eine indische Atomwaffenanlage hackte und Daten von unterirdischen Atomtests stahl. "Sie benutzten eine alte Version eines Mailservers, den ich dazu brachte, mir ein Administratorkonto zu geben", sagt er. Dies brachte ihn auf den Radar einer Reihe von Geheimdiensten, und schließlich wurde er zu einem der 5 berüchtigtsten Hacker der Welt ernannt.

Van der Gaast war im Herbst 1998 gerade von Europa in die USA gezogen, als eine Gruppe von Männern in Anzügen einer Behörde, die mit dem US-Verteidigungsministerium verbunden ist, an seine Tür klopfte. "Ich dachte, sie kämen tatsächlich von der Einwanderungsbehörde", sagt er, "weil ich mein 90-Tage-Visum überschritten hatte."

Zum Glück für den jugendlichen Hacker wollte die Behörde aufstrebende Stars aus dem virtuellen Untergrund rekrutieren, anstatt sie strafrechtlich zu verfolgen. In diesem Moment wechselte er schnell die Seiten und begann, für die nächsten drei Jahre in einer gemeinsamen Operation mit dem FBI mit dem Verteidigungsministerium zusammenzuarbeiten. Die Arbeit umfasste das Sammeln von Informationen über Hacker und kriminelle Aktivitäten in der Umgebung sowie die Untersuchung von Datenschutzverletzungen von nationalem Interesse.

Diese unorthodoxe Ausbildung diente als Startschuss für eine 25-jährige Karriere als Cybersicherheitsexperte, Keynote-Speaker und Unternehmensberater, die zu seiner aktuellen Rolle als Gründer und Geschäftsführer von Sequioa Consulting führte, wo er Führungskräften und globalen Organisationen hilft, "weniger Cybersicherheit zu betreiben und mehr Geschäfte sicher zu machen".

"Ich begann damit, Lektionen über die Methoden, Taktiken und Fähigkeiten zu lernen, die Hacker verwenden", sagt er. "Aber im Nachhinein? Ich denke, was ich gelernt habe, war eher darüber, wie praktisch alle diese Sicherheitsverletzungen hätten vermeidbar sein können, wenn sich die Unternehmen einfach um die IT-Grundlagen gekümmert und darauf geachtet hätten, ihre Prozesse aktiv weiterzuentwickeln."

Es ist dieser Ansatz, für den sich sein Unternehmen einsetzt. In der Tat wendet das Unternehmen Methoden aus der Unternehmensberatung, dem schlanken Denken und anderen Disziplinen im Kontext der Technologie an, um IT-Prozesse zu verbessern, damit es weniger Fehlerquellen gibt, die von Bedrohungsakteuren ausgenutzt werden können.

Eine einfache Analogie ist eine Autofabrik, in der jedes produzierte Auto Mängel aufweist – das Lenkrad ist nicht zentriert, Schrauben fehlen an den Querlenkern, die Bremsleitungen sind voller Luft und andere Defekte. Es wäre lächerlich, sagt er, mehr Leute einzustellen, um all diese Mängel an den fertigen Autos zu beheben. Stattdessen würden Sie das Problem, wahrscheinlich in Bearbeitung, an der Montagestation angehen, an der diese Fehler auftreten – wodurch die Anzahl der Fehler reduziert und auch die Kosten gesenkt werden.

Und doch, so van der Gaast, ist der Ansatz in der Cybersicherheit weitgehend der erstere, und so ist die Branche weitgehend reaktiv statt proaktiv geblieben, wobei die zugrunde liegenden Ursachen weitgehend unberührt geblieben sind.

"Im Grunde genommen befinden wir uns in einem kleinen Wettrüsten [um Hacker von unseren Schwachstellen fernzuhalten], aber wir müssen uns fragen, warum wir vor so vielen Herausforderungen stehen", sagt er. "Das heißt, warum haben wir diese Schwachstellen überhaupt?"

Der ehemalige Hacker hat in den letzten drei Jahrzehnten so umfassende Fragen gestellt, und es ist eine Fragestellung, die für Unternehmen und die Gesellschaft insgesamt noch nie so relevant war wie heute.

Der einfachste Weg, Sicherheit zu betrachten, besteht darin, dass es darum geht, Schwachstellen auszunutzen, und diese Schwachstellen sind effektiv Qualitätsprobleme, sagt er – Fehler im Code, in der Konfiguration, in der Kontrolle, im Design, in der Planung und sogar in der Kultur.

Durch die Behebung dieser Probleme wird die Anzahl der Schwachstellen reduziert, so dass weniger ausgenutzt werden können, sagt er, anstatt die Abwehrmaßnahmen gegen diese Schwachstellen verstärken zu müssen. Dies führt nicht nur zu geringeren Sicherheitsausgaben, fügt er hinzu, sondern macht auch Geschäfts- und IT-Prozesse effizienter, was auch deren Kosten senkt.

"Wenn man anfängt, sich mehr auf die Sicherheit als Funktion von Prozess und Qualität zu konzentrieren, wenn man anfängt, die Dinge richtig zu machen, behebt man nicht nur die zugrunde liegenden Probleme, sondern kann einem Unternehmen auch helfen, positive Veränderungen zu bewirken und Geld zu sparen."

Van der Gaast beginnt bei der Absicherung von Unternehmen immer damit, ihre Probleme an der Wurzel zu packen und viel tiefer zu graben als technologieorientierte Sicherheitsberater. "Die meisten Unternehmen neigen dazu, einen Cybersicherheitsansatz zu verfolgen, bei dem sie ständig daran arbeiten, Brände zu löschen", sagt er. "Stattdessen versuche ich mir anzusehen, was die IT-Probleme verursacht.

"Kommen Herausforderungen aus dem Design von Anwendungen? Verwenden verschiedene Geschäftsabteilungen unterschiedliche IT-Prozesse und Anbieter?", fügt er hinzu. "Sobald Sie die Ursache von Bedenken verstanden haben, können Sie damit beginnen, sie systematisch zu optimieren und zu beseitigen."

Van der Gaast ist der Meinung, dass wir unseren Fokus auf die Art und Weise, wie wir das Problem der Cyberkriminalität angehen, ändern müssen. Anstatt auf die Kriminellen zu schauen, müssen wir uns darauf konzentrieren, warum das Verbrechen so einfach ist.

Er erwähnt, dass praktisch alle Sicherheitsverletzungen bekannte Schwachstellen mit verfügbaren Fixes betreffen und dass diese Fixes in den meisten Fällen seit weit über einem Jahr verfügbar waren.

"Wenn ich einen Sack Getreide in Ihren Garten stelle, wären Sie nicht überrascht, wenn Sie eine Woche später Tausende von Mäusen haben. Die ideale Lösung besteht nicht darin, Tausende von Mäusefallen aufzustellen und zu verwalten, sondern darin, das Getreide besser zu lagern oder den Prozess zu ändern, warum man es braucht."

Das Fazit: Sie können das beste Cybersicherheitssystem der Welt installieren, aber wenn Sie nicht über geeignete Tools für das Identitätsmanagement verfügen, Ihre Mitarbeiter unzureichend geschult sind und Sie Ihre Systeme, Geräte oder Anwendungen nicht gepatcht und aktualisiert haben, können Hacker Ihre Abwehrmaßnahmen, ob digital oder nicht, einfach umgehen, sagt er. 

In einem Zeitalter wachsender KI-gestützter Bedrohungen wie automatisierter Angriffe und Deepfake-Videos, sagt van der Gaast, dass der erfolgreiche Schutz eines modernen Unternehmens vor Cyberkriminellen Schulungen, Schulungen und einen proaktiven – nicht reaktiven – Ansatz umfassen muss.

Wenn diese Bedrohungen einmal verstanden werden, können sie oft durch die Implementierung einer soliden Grundlage neutralisiert werden – es spielt keine Rolle, wie schnell ein Angriff ist, wenn Sie nicht anfällig dafür sind – und Prozesse, wie z. B. Geldüberweisungen, die immer über einen definierten Prozess erfolgen, der nicht anfällig für Deepfakes ist.

In seinen Augen ist das Beste, was Sie tun können, um Ihrem Unternehmen zu helfen, die Probleme zu ermitteln, die Ihre Schwachstellen verursachen, und sie so weit wie möglich im Vorfeld anzugehen, auch indem Sie organisatorische und kulturelle Probleme berücksichtigen. Lassen Sie dann die Sicherheitsteams mit allen Teilen des Unternehmens zusammenarbeiten, um alle Geschäfts- und IT-Prozesse zu verstehen und sie bei Bedarf neu zu definieren, um mögliche Risiken zu reduzieren und sich der verbleibenden Risiken bewusst zu sein.

Erst wenn Unternehmen dies getan haben und ihre zugrunde liegenden Probleme verstehen, können sie eine Strategie und einen Fahrplan zu einem besseren Ort formulieren.

So wie er vor Jahrzehnten Computerbücher durchwühlte, geht es van der Gaast auch heute noch darum, Unmengen an Informationen aufzunehmen. Der ehemalige Cyberkriminelle, zu dessen Hobbys es heute gehört, Autos zu reparieren und alles zu lesen, was er über Best Practices in die Finger bekommt, sagt, dass es beim Erfolg im Bereich Cybersicherheit um viel mehr geht als um Software: "Viele Herausforderungen hängen meiner Meinung nach eher von der Kultur als von High-Tech-Lösungen ab."