Max Havey Hallo und willkommen beim Security Visionaries Podcast, einer Sendung, zu der wir führende Vertreter der Cybersicherheit aus allen Bereichen und Branchen einladen, um mit uns über interessante Themen zu sprechen. Ich bin Ihr Gastgeber, Max Havey, und heute tauchen wir mit unserem Gast Chase Cunningham, besser bekannt als Dr. Zero Trust, in die Welt von Zero Trust und nationaler Sicherheit ein. Ich möchte Chase für alle kurz vorstellen, die ihn noch nicht kennen oder ihn vielleicht nicht als Macho Man Randy Savage verkleidet bei RSA herumstolzieren sahen. Chase begann seine Karriere als Kryptologe bei der Marine und verfügt über 20 Jahre Erfahrung in Cyber-Forensik und analytischen Operationen. Im Laufe der Jahre hatte er Positionen als Technologiemarktanalyst, CISO und strategischer Berater inne. Er hat außerdem zahlreiche Bücher veröffentlicht und betreibt seinen eigenen Podcast, der ebenfalls „Dr. Zero Trust“ heißt. Willkommen, Chase.
Chase Cunningham: Hey, danke, dass ich dabei sein darf. Ich schätze es, dass Sie auch die Sache mit dem Macho Man angesprochen haben. [Gelächter]
Max Havey, auf jeden Fall. Das war definitiv ein Höhepunkt meiner RSA-Erfahrung.
Chase Cunningham Ich versuche, das Trauma zu überwinden, das damit einhergeht, aber hey, wenn man eine Wette verliert, verliert man eine Wette.
Max Havey: Es gibt viel schlimmere Möglichkeiten, das zu tun. Und heute ist auch meine Co-Moderatorin Emily Wearmouth bei uns. Wie ich sehe, fuchtelt sie eifrig mit einer sehr langen Liste von Dingen herum, über die sie mit Chase sprechen möchte.
Emily Wearmouth . Hallo, Max. Schön, Sie hier zu haben, wir lernen Sie kennen. Wer ist hier in wessen Podcast? Ich bin mir nicht ganz sicher. [Gelächter]
Max Havey Also Emily, möchtest du zu Beginn ein paar Fragen an Chase stellen?
Emily Wearmouth Ich würde das sehr gerne tun, wenn ich anfangen kann. Brillant. Nun, Chase, wir hatten John Kindervag vor ein paar Wochen im Podcast, und ich möchte keinen Streit anfangen, aber er trägt gern den Namen „Pate des Zero Trust“. Und offensichtlich sind Sie Dr. Zero Trust. Ich habe mich gefragt, ob Sie uns Ihre Seite der Entstehungsgeschichte von Zero Trust erzählen könnten. Wo waren Sie, als es entstand? Worin bestand Ihre Beteiligung? Und wie war die erste Reaktion der Welt?
Chase Cunningham: Ja. John hat den Titel „Pate“ also definitiv verdient, denn dies war seine konzeptionelle Herangehensweise an die Dinge. Und wenn Sie von einem Sicherheitsvisionär sprechen, dann ist John der Richtige. Ich bin in diesem Zusammenhang wohl eher so etwas wie ein „Stiefkind“. Aber für mich war es so, dass John mich, als ich zu Forrester kam, tatsächlich für Forrester angeworben hat. Als ich dort ankam, sagte John so etwas wie: „Hör zu, du wirst wahrscheinlich die Zero-Trust-Sache übernehmen.“ Und um ganz ehrlich zu sein, hat mich das ziemlich geärgert, weil ich dachte: „Ich möchte meinen eigenen Ansatz für den Markt finden.“ Ich möchte niemandem auf die Nerven gehen." Und je mehr ich es aus der Perspektive betrachtete, „weil ich im nationalen Geheimdienst auf der offensiven Seite des Cyberspace tätig war“, desto mehr betrachtete ich es und sagte: „Wissen Sie was? Das ist tatsächlich verdammt solide. Und es würde einen riesigen Unterschied machen, wenn man bedenkt: ‚Wenn Zero Trust vorhanden wäre, wäre ich weder als Red Team noch als Bösewicht einsatzfähig.‘“ Und da dachte ich: „Okay, cool. Wie können wir dies in einen anderen formalisierten Ansatz umsetzen?" Da mein Doktorat kurz zuvor abgeschlossen war, war ich wirklich daran interessiert, Konzepte aufzugreifen und in einen angewandten Rahmen zu übertragen. Es war also einfach nichts besonders Tolles von meiner Seite. Es war eher so: "Ich war zufällig zur richtigen Zeit am richtigen Ort und habe eine Chance gesehen."
Emily Wearmouth . Perfekt. Wer würde eine solche Gelegenheit nicht ergreifen? Worauf ich heute aber wirklich mit Ihnen eingehen möchte: Wir haben mit John über eine organisatorische Implementierung von Zero Trust gesprochen. Ich würde mit Ihnen gerne etwas mehr über die Einführung von Zero Trust durch die nationale Regierung sprechen. Und wir haben insbesondere in den letzten sechs Monaten oder so gesehen, dass Regierungen auf der ganzen Welt das Konzept wirklich annehmen und Warnhinweise an Organisationen auf ihrem Gebiet herausgeben, aber auch beginnen zu prüfen, wie sie Zero Trust nutzen, um den Aufbau ihrer nationalen Strategien zur Cybersicherheitsverteidigung zu unterstützen. Ich habe mich gefragt, ob Sie bereits erste Gedanken dazu haben, was es bedeutet, wenn Sie Zero Trust auf nationaler Ebene und nicht auf organisatorischer Ebene einsetzen? Gibt es große Unterschiede zwischen diesen beiden Szenarien?
Chase Cunningham : Der größte Vorteil besteht darin, dass wir auf die Stärke einer Bundesregierung zählen können, die hinter etwas stehen und tatsächlich sagen kann: „Das müssen Sie tun.“ Und genau das kann man bei der US-Regierung beobachten, die einige Milliarden Dollar dafür bereitgestellt hat. Es gibt Gesetze, die sich im Entwurfsstadium befinden. Für das US-Verteidigungsministerium ist das eine wirklich große Sache. Schneller Vorlauf: Australien hatte dieses Ding früher ... Nun, sie haben es immer noch. Es hieß „Essential Eight“ und ich und eine wirklich tolle Dame bei Forrester namens Jinan Budge haben einen Artikel über die Anpassung der australischen Essential Eight an ZT geschrieben. Und jetzt haben sie eine regierungsweite Initiative in Richtung Zero Trust vorgeschlagen. Ich denke, dass die britische Regierung dies bis zu einem gewissen Grad auch tut. Aber die Realität ist, wenn man diese riesigen Mega-Unternehmen hat, die mit sehr viel Geld im Rücken stehen und die sagen: „So werden wir es bis ganz nach oben in den USA machen, bis hin zum Präsidenten der Vereinigten Staaten“, dann ist das beträchtlich und es ist... John spricht davon, die Anreizstruktur zu ändern. Das ist genau das, was wir hier sehen. Wir bewegen uns weg von der ständigen Druckausübung hin zu einer Art Zuckerbrot und Peitsche, was besser ist. Und wir werden weiterhin dorthin gelangen.
Chase Cunningham: Und auf nationaler Ebene sollten die Leute meiner Meinung nach bedenken, dass es darum geht, dass das digitale Leben, wenn man so will, für die meisten Menschen auf der Erde zu einer Art Menschenrecht geworden ist und dass man auch das Recht hat, sicher und geschützt zu agieren. Und wie uns das gelingt, hängt von den folgenden strategischen Initiativen ab, die den Unterschied ausmachen werden. Ich denke also, dass es sich insgesamt um eine grundlegende Änderung des Ansatzes handelt. Und es ist wirklich gut zu sehen, dass sich auch einige Regierungen dieser Sache anschließen. Denn Sicherheit ist der einzige Bereich, in dem ich feststellen konnte, dass die Industrie der Regierung folgt. Normalerweise ist es umgekehrt und wir sehen das in Echtzeit.
Emily Wearmouth: Zu der Frage, wer wem folgt und wo man anfängt: Wenn Sie das aus nationaler Perspektive betrachten, wo beginnen Sie mit Zero Trust? Wir haben auf organisatorischer Ebene darüber gesprochen, welche Reihenfolge Sie für die Vorgehensweise wählen könnten. Wie ordnet man die Dinge auf nationaler Ebene? Wo fangen Sie an?
Chase Cunningham: Nun, das Erste, was auf nationaler Ebene wirklich nötig ist, ist eine Richtlinie, die von jemandem in der Nahrungskette kommt, der Durchsetzungsvermögen hat, nicht wahr? Das war die Durchführungsverordnung des Präsidenten der Vereinigten Staaten, die besagte: „Du sollst ZT tun.“ Ich glaube, die US-Regierung hat bis zum 30. September dieses Jahres Zeit, um nachzuweisen, dass sie den Prozess tatsächlich formalisiert und umgesetzt hat. Das bedeutet nicht, dass sie mit Zero Trust fertig sind. Es bedeutet lediglich, dass sie 180 Tage Zeit hatten, um zu sagen: „Das ist, was wir machen, wie wir es machen, wir haben einen Plan usw. usw.“ Das ist also das Erste, was passieren muss. Das Zweite, was meiner Meinung nach wirklich passieren muss, ist, dass man über einige dieser taktischen Folgefähigkeiten verfügen muss, um tatsächlich sicherzustellen, dass das, was angeordnet wurde, getan wird.
Chase Cunningham : „Denn das ist das größte Problem, das wir im Cyberbereich auf nationaler Ebene hatten. Wir haben viele Compliance-Initiativen und viele Anforderungen, aber sie werden normalerweise nicht sehr ernst genommen.“ Es ist eine Übung im Bleistiftschlagen. Die Leute finden Wege, es zu umgehen. Selbstzertifizierung ist eines der dümmsten Dinge, von denen ich in der Geschichte der Dummheit je gehört habe. Und, [lacht] wissen Sie, wir treiben es einfach nicht genug voran. Also, da läuft es jetzt hin, es muss so passieren. Sie haben eine Strategie, die von der Führung geleitet und gefordert wird, und dann gibt es die taktische Umsetzung, um sicherzustellen, dass sie auch wirklich umgesetzt wird.
Max Havey: Haben Sie Gedanken zur sich entwickelnden Cyberangriffs- oder nationalen Cyberabwehrlandschaft? Gibt es Bedrohungen, die in diesem Bereich eine Art Vorbote sind?
Chase Cunningham: Also, wir sind ... Als Nation sind die USA ständig... Und das Vereinigte Königreich auch. Wir werden ständig von verschiedensten Organisationen angegriffen. Und ich bin immer der Meinung, dass es sich auch lohnt, wenn die Menschen Verständnis haben. Im Cyberbereich gibt es keine Genfer Konvention. Es besteht keine Vereinbarung über die Bedingungen. Dies ist ein Bereich, in dem buchstäblich jedes Land der Erde darum konkurriert, der Konkurrenz einen Schritt voraus zu sein. Die USA unternehmen also Dinge, die Franzosen unternehmen Dinge, die Israelis unternehmen Dinge. Es ist nicht wirklich wichtig, wer Sie sind. Dies ist ein Bereich, in dem Sie Wettbewerbsvorteile erzielen können. Und der andere interessante Aspekt daran ist, dass der Cyberkrieg zur Brücke zwischen Spionage und kinetischem Konflikt geworden ist. Und genau das sehen Sie: Sie sehen Nationalstaaten, die versuchen, Veränderungen auf nationaler Ebene herbeizuführen. Und sie müssen dies nicht mehr durch den Einsatz von Bodentruppen tun. Sie können dies über soziale Medien tun, Sie können dies über elektronische Systeme tun, Sie können die kritische Infrastruktur lahmlegen. So sieht die Zukunft eines Akteurs im digitalen Raum aus. Und China, Russland und die USA sind die Platzhirsche. Allerdings gibt es in diesem Hof auch jede Menge gefährliche Chihuahuas.
Emily Wearmouth [lacht] Ich frage mich, wie es bestimmte Regierungs- und Staatschefs fänden, wenn man sie als gefährlichen Chihuahua bezeichnet.
Chase Cunningham: Hey, ich meine, ein Chihuahua könnte immer eine Arterie in Ihrem Knöchel oder so treffen, wissen Sie? [Gelächter]
Max Havey Ist eine Genfer Konvention für Cybersicherheit eine realistische Aussicht? Ich habe die Leute im Laufe der Jahre immer wieder darüber reden hören, als wäre es etwas Theoretisches. Aber ist es realistisch, so darüber nachzudenken, wenn man es als etwas betrachtet, das existieren könnte?
Chase Cunningham Sie könnten alle Ihre G7- und NATO-Staaten ein Stück Papier unterschreiben lassen, auf dem steht: "Wir werden im Cyberspace nicht X und Y und Z tun." Ehrlich gesagt sollte es auf Toilettenpapier geschrieben werden, denn besser geht es nicht. Es liegt keine Zuordnung vor. Es gibt keine Rechenschaftspflicht. Dies ist ein perfekter Ort, um mit Dingen davonzukommen, ohne erwischt zu werden. Das ist das wirkliche Problem, vor dem wir stehen. Wäre es also großartig und würde es bei allen ein warmes, wohliges Gefühl hervorrufen? Sicher. Ist es tatsächlich etwas, das umgesetzt werden kann und einen Unterschied macht? Nein.
Max Havey Es geschieht mit den besten Absichten, aber letztlich ist es irgendwie inhaltslos.
Chase Cunningham: Nun, Sie wissen, was man über den Weg zur Hölle sagt: Er ist mit guten Vorsätzen gepflastert. [Gelächter]
Emily Wearmouth In diesem Sinne: Setzen sich demokratische Nationen, also solche, die wir als in hohem Maße rechenschaftspflichtig und ethisch korrekt betrachten, größeren Herausforderungen aus und sind im Kampf gegen den Gegner im Nachteil, wenn sie sich selbst vielleicht auf eine Weise an ethische Standards und eine Rechenschaftspflicht halten, die ihre Gegner vielleicht nicht tun, und wir kein gegenseitiges Verständnis einer Genfer Konvention für Cybersicherheit haben?
Chase Cunningham: Ja, das ist ein Teil des Problems. Und Sie haben hinsichtlich der ethischen Seite dieser Angelegenheit einen wirklich guten Punkt angesprochen, denn die USA und die Five-Eyes-Staaten halten sich tatsächlich an die Regeln. Und ich habe auf dem Stuhl gesessen; ich war buchstäblich im Raum und habe solche Dinge getan. Und Sie halten sich an die Regeln. Bei unseren Gegnern hingegen, beispielsweise Nordkorea und einigen anderen, gibt es weder Regeln noch Gesetze. Sie tun alles, um sich im Wettbewerb einen Vorteil zu verschaffen. Und das bringt uns in eine unglückliche Lage. Ohne dass ich mich hiermit in Schwierigkeiten bringen möchte: Wir gehen in manchen Punkten etwas über das hinaus, was man normalerweise als rechtlich vertretbar erachten würde. Aber es liegt einfach in der Natur der Dinge, die dort passieren. Und das ist das andere Problem, das meiner Meinung nach viele ganz normale Leute, die nicht im Cyberspace tätig sind, nicht verstehen: Niemand hält sich an die Regeln, außer den Leuten, die sich an die Regeln halten. Und das ist kein guter Ort, wenn man sich in einem digitalen Konflikt oder einem Kampfszenario befindet.
Emily Wearmouth: Sie haben einen militärischen Hintergrund und ich frage mich, inwieweit dies Ihre Denkweise über Cybersicherheit beeinflusst und ob diese sich grundsätzlich von der Denkweise einer Person unterscheidet, die vielleicht aus der Privatwirtschaft kommt und über Cybersicherheit und einige dieser nationalstaatlichen Herausforderungen denkt. Glauben Sie, dass es Ihre Sicht auf die Herausforderungen verändert?
Chase Cunningham: Absolut. Ich hatte das Privileg, in den dunklen, fensterlosen Räumen mit dem schlechten Kaffee zu sein, in denen die Leute ihre Operationen im wahrsten Sinne des Wortes in gegnerischen Nationen oder sonst wo durchführen. Und so erfahren Sie wirklich, was dort vor sich geht. Und dann gibt es noch ein weiteres Problem: Ich hatte vor längerer Zeit das Glück, beim FBI Cyber zu arbeiten und dort zu sehen, wie es innerhalb unserer eigenen nationalen Infrastruktur zu einer Trennung zwischen den Behörden kommt. Man sitzt da und denkt sich: „Wow, das ist ein Problem, es ist alles sehr isoliert und wir haben all diese Anforderungen, die wir nicht erfüllen können.“ Aber die Bösen halten sich nicht an diese Regeln. Somit liegt der Vorteil auf dem Schachbrett leider bei ihnen und nicht bei uns. Und was mich betrifft, ich bin kein Spinner mit Aluhut, aber ich bin mir, schätze ich, eher, so realistisch bewusst, was tatsächlich vor sich geht.
Emily Wearmouth, ich werde Ihnen jetzt eine Frage stellen, die ich meiner Meinung nach gleich zu Beginn stellen sollte. Verstoßen Sie nicht gegen Gesetze zum Schutz von Amtsgeheimnissen, die Sie möglicherweise unterzeichnet haben. Aber ich möchte wissen, welcher der coolste SOC-Raum war, in dem Sie je waren? Welches hat die besten Blinklichter? Erzählen Sie uns von den SOCs. [lacht]
Chase Cunningham Also, ich würde sagen, dass die SOCs im Militär und in der nationalen Sicherheitsinfrastruktur eigentlich ziemlich langweilig sind. Die coolen sind zum Beispiel: Wenn Sie schon einmal im IBM SOC oben in Massachusetts oder im Dell SOC unten in Texas waren, die sind wirklich cool. Sie haben viele Monitore und schöne blinkende Lichter und all das andere Zeug. Das sind die, die aussehen, als wären sie aus einem Film. Wenn Sie sich die Berichte für das Militär, die NSA oder andere anschauen würden, würden Sie sagen: „Wow, das ist wirklich enttäuschend.“
Emily Wearmouth [lacht] Okay. Chase, als wir vor dieser Aufnahme kurz miteinander sprachen, erwähnten Sie das Konzept des umstrittenen Raums. Und ich habe mich gefragt, ob Sie uns erklären könnten, was das ist und was Sicherheitsexperten bei der Entwicklung für Zero Trust berücksichtigen sollten.
Chase Cunningham Sicher. Der Begriff „umkämpfter Raum“ wird typischerweise in Kriegsszenarien verwendet, in denen man darüber nachdenkt, in welchen Bereichen man nie die endgültige Kontrolle haben wird, nicht wahr? Wenn Sie an die Dinge denken, die wir im Irak oder anderswo getan haben, dann hatten Sie nie wirklich die Kontrolle über bestimmte Gebiete außerhalb von Bagdad. Oder wenn man sich den Zweiten Weltkrieg ansieht, die Gebiete um Stalingrad und andere Orte, die sie nicht vollständig unter Kontrolle bringen konnten: Dort gibt es immer Konflikte. Und im Cyberspace ist alles, was nicht direkt unter Ihrer Kontrolle steht und was Sie tatsächlich reparieren können, ein umkämpfter Raum. Und ein Teil des Problems, das wir mit den Leuten in diesem Bereich haben, ist meiner Meinung nach, dass sie denken, es gäbe ein perfektes Modell, richtig?
Chase Cunningham: Selbst wenn Sie über eine Zero-Trust-Instanziierung auf Steroiden verfügen, bedeutet das nicht, dass es nie zu einem Verstoß kommt und es bedeutet nicht, dass Sie keinen umkämpften Speicherplatz haben. Und das ist tatsächlich wertvoll, denn Sie verschwenden nicht viel Zeit und Ressourcen damit, Dinge zu reparieren, die nicht repariert werden können. Sie kontrollieren es, Sie verstehen es, Sie beobachten es, aber Sie sitzen nicht da und versuchen zu fragen: „Wie fülle ich immer wieder Wasser in den Eimer, wenn der Boden Löcher hat?“ Und das ist es, was die Leute im Cyberspace falsch machen. Und genau darin liegen auch viele Cyber-Laien begründet: Sie glauben, es gäbe einen Weg, dies zu tun, ohne dass es zu Risiken, Problemen oder Perfektion kommt. Das gibt es einfach nicht. Es liegt in der Natur der Technologie, dass eine Person sie bauen und jemand anderes sie zurückentwickeln kann.
Emily Wearmouth: Als Sie es mir zum ersten Mal erwähnten, dachte ich automatisch an Cloud-Anwendungen, die vielleicht ein gutes Beispiel dafür sind. Ist das ein gutes Beispiel? Gibt es andere Beispiele, bei denen Sie ganz klar erkennen, dass es sich um einen umkämpften Raum handelt, bei denen Sie aber vielleicht Sicherheitsexperten sehen, die denken, sie seien sicherer als sie sind?
Chase Cunningham: Ja, ich finde, Cloud ist großartig. Ich denke, all die Dinge, die wir jetzt mit einer Art Burst-fähiger Infrastruktur, Kubernetes und dergleichen machen, sind auch Teil dieser Gleichung. Und ich würde behaupten, dass das Internet im Großen und Ganzen ein umkämpfter Raum ist und die Menschen darüber nachdenken sollten, wie sie den ganzen Tag, jeden Tag in dieser bedrohlichen Umgebung agieren. Auch das ist ein Teil des Problems: Wir sehen viele Leute, die versuchen, sehr menschliche Konzepte auf ein sehr technisches Problem anzuwenden. Und das ist keine intelligente Nutzung von Ressourcen.
Max Havey Wenn Sie über die allgemeinen Erkenntnisse nachdenken, die Sie während Ihrer Zeit beim Militär und Ihrer Arbeit mit Cybersicherheit im Zusammenhang mit der Landesverteidigung gewonnen haben, gibt es Erkenntnisse, die Ihnen dort besonders nützlich waren, als Sie mit Organisationen über Konzepte wie Zero Trust gesprochen haben?
Chase Cunningham Ja, das wichtigste, was meiner Erfahrung nach auf gewisse Akzeptanz gestoßen ist, ist, die Leute einfach zu fragen: „Denken Sie, dass Sie besser sind als die Hunderten anderer Organisationen, die Milliarden von Dollar ausgegeben haben und in die gehackt wurde?“ Und die Antwort – sofern sie intelligent sind – lautet: Nein. Und dann stellt sich die Frage: „Okay, ist es nicht logisch zu fragen: ‚Was haben diese Organisationen getan?‘“ Wo waren ihre Lücken? Und können wir etwas anderes machen?‘“ Das heißt nicht, dass Sie ihnen die Schuld geben, weil sie versagt haben. Das liegt einfach nicht in der Natur dieses Raums. Es ist eher so: „Wenn jedem da draußen genau das passiert wäre, wären Sie nicht anders.“ Lassen Sie uns herausfinden, wie wir bei diesem speziellen Problem mehr Sicherheit erreichen können, und dann werden wir besser.“ Und dann gibt es noch das andere Konzept, dass im Cyberspace, ähnlich wie in der Kriegsführung oder bei regulären Operationen und der militärischen und nationalen Infrastruktur, eine steigende Flut leider nicht alle Schiffe hebt. Es geht um Überlebensfähigkeit. Und wenn meine Organisation besser abschneidet als Ihre und es zu einem Datendiebstahl bei Ihnen kommt und bei mir nicht, dann ist das zwar schade für Sie, aber Chase geht es gut.
Emily Wearmouth [lacht] Chase geht es gut. [Gelächter]
Chase Cunningham Ich meine, es ist einfach die Realität, wissen Sie? Aus diesem Grund geben die Leute ... Ich sage das in Workshops häufig, etwa so: „Glauben Sie, dass jeder in den USA, der diese ADT-Schilder vor seinem Haus hat, tatsächlich ADT hat?“ Nein. Sie kaufen ein Schild und stellen es vor das Haus. Warum? Denn das lässt Kriminelle zweimal nachdenken und sie werden zu dem Haus gehen, ohne ein ADT-Schild.
Emily Wearmouth : Ja.
Max Havey: Ich glaube, die Leute nennen das „Sicherheitstheater“. Ich habe das schon einmal als die Idee beschrieben gehört, den Anschein zu erwecken, dass Sicherheit vorhanden ist, ohne dass dies notwendigerweise der Fall ist.
Chase Cunningham: Es ist Abschreckung, das ist es. Sie wissen, was ich meine? Möglicherweise ist dort keine tatsächliche Fähigkeit vorhanden, aber die Leute, die es auf Sie abgesehen haben, werden zumindest sagen: „Für mich besteht möglicherweise ein erhöhtes Risiko.“ Ich sollte mir ein leichteres Ziel suchen."
Emily Wearmouth: Sie kommen aus dem öffentlichen Sektor und haben inzwischen mit vielen privaten Organisationen zusammengearbeitet, sind aber weiterhin im öffentlichen Sektor tätig. Sie haben also beides erlebt. Und ich habe mich gefragt, ob Sie sich Gedanken über die Übertragung von Fähigkeiten, Personen und Karrieren von einem zum anderen gemacht haben. Ist es einfacher, von einer Seite auf die andere zu wechseln? Suchen Organisationen im öffentlichen und privaten Sektor nach sehr unterschiedlichen Kompetenzprofilen? Was ist Ihre Meinung dazu, wenn wir Zuhörer aus beiden Bereichen haben, also öffentliche oder private Zuhörer, die über diesen Schritt nachdenken, welche Dinge sollten sie im Hinterkopf behalten?
Chase Cunningham: Ich denke, jeder... Ehrlich gesagt glaube ich nicht, dass es uns im Cyberspace an menschlichem Talent mangelt. Ich denke, das ist eine vom Markt geschaffene Initiative. In Wirklichkeit suchen die Leute immer nach Einhörnern, die etwas bewirken können: nach Ex-Geheimdienstmitarbeitern, Ex-Militärs, Ex-verrückten Cyberhackern oder was auch immer. Und sie sagen: „Oh, das sind die Leute, die wir für den Job brauchen.“ Sie sind bereits eingestellt, und ihre Zahl ist sehr gering. Wir müssen Leute einstellen, ausbilden und weiterbilden, die, so könnte man es nennen, einfach das nötige Kleingeld haben, um die Arbeit zu erledigen. Ich habe Leute eingestellt, die ursprünglich in der Gastronomie gearbeitet haben. Ich habe Leute eingestellt, die aus dem Bankwesen und dem Vertrieb kamen. Für mich ging es immer darum, dass sie die Arbeit machen wollten, Probleme lösen und Dinge herausfinden konnten. Das ist es, was wir eigentlich suchen. Beim Übergang zwischen dem Militär bzw. dem privaten und dem öffentlichen Dienst usw. wird der größte Kulturschock auftreten. Wenn Sie zu den anderen gehören, wird sich für Sie beim Wechsel ein völlig anderes Szenario ergeben. Und der Übergang aus dem Militär war für mich nicht einfach. Es war sehr unangenehm für mich und es dauerte Jahre, bis ich an einen Punkt kam, an dem ich mich tatsächlich als wertvoller ziviler Mitarbeiter fühlte. Ich denke, das ist etwas, worüber sich die Leute auch im Klaren sein sollten.
Emily Wearmouth Haben Sie aus diesem unangenehmen Übergang etwas Besonderes gelernt, einen Rat, den Sie jemandem geben würden, der sich derzeit möglicherweise in einer ähnlichen Situation befindet?
Chase Cunningham Wenn man aus dem Militär kommt und in den zivilen Bereich wechselt, ist meiner Meinung nach Geduld das Wichtigste. Das Operationstempo entspricht nicht den Erwartungen, die man beim Militär hat. Für mich war das Wichtigste immer, dass man eine Aufgabe hatte und es war wie beim Militär: Wenn es eine Aufgabe ist, sind wir dran, wir ziehen sie durch und wir sind so schnell fertig wie irgend möglich. „Katy, verriegel die Tür“, mach einfach deine Sache. In der zivilen Welt ist es eher so: „Ja, wir wissen, dass wir da hin müssen“, und es ist Teil des Plans, und man sitzt da und denkt: „Also, wann?“ „Also, wir werden eine Besprechung darüber abhalten.“ Ich denke, das Wichtigste ist, zu verstehen, dass viel mehr Geduld und eine viel stärkere Zusammenarbeit bei der Umsetzung erforderlich sind. Ich würde dennoch argumentieren, dass ich im zivilen Bereich zu oft sehe, dass die Leute immer nach einem totalen Konsens suchen, während das eigentlich kein guter Weg ist, diesen umzusetzen. Mit den Gruppen, mit denen ich arbeite, möchte ich gerne ... Ich bekomme, was ich „heftige Zustimmung“ nenne. Wenn wir uns in diesem Bereich so einig sind, dass wir nicht bereit sind, uns gegenseitig ins Gesicht zu schlagen, dann okay, dann los.
Emily Wearmouth [lacht] „Angenehm anderer Meinung sein“, ich glaube, das wird in einem anderen Podcast genannt. [Gelächter]
Chase Cunningham Ja.
Max Havey: Nun, ich sehe, unser Produzent winkt mir zu, dass wir uns hier dem Ende unserer Aufnahme nähern. Aber Chase, bevor Sie sich abmelden und gehen, ich weiß, dass Sie viel für wohltätige Zwecke tun. Und obwohl ich unsere Gäste normalerweise bitte, zumindest Werbung zu machen, wollte ich Ihnen die Gelegenheit geben, über die Wohltätigkeitsorganisationen zu sprechen, die Sie unterstützen, und den Leuten mitzuteilen, wie sie diese ebenfalls unterstützen können.
Chase Cunningham: Ja, die größte ist eine Gruppe namens „Veterans Exploring Treatment Solutions“, VETS. Es ist in den USA. Sie helfen Menschen mit posttraumatischen Belastungsstörungen und anderen Problemen, Angstzuständen. Sie machen alternative Behandlungen. Sie werden vom Bund finanziert. Und viele meiner Freunde sind Leute, die sich mit diesem Problem befasst haben. Und es war für sie sehr vorteilhaft. Ich habe gesehen, wie sie Leben verändert haben. Ich habe gesehen, wie sie Leben gerettet haben. Mein eigener leiblicher Bruder, mein Bruder aus Fleisch und Blut, hat eine ähnliche Behandlung durchgemacht, wie sie hier angeboten wird, und es hat sein Leben verändert. Das ist also der Punkt, den ich am direktesten zu unterstützen versuche. Und das liegt ehrlich gesagt daran, dass ich den Mann kenne, der die Organisation leitet, und ich kann ihm eine SMS schicken und so sicherstellen, dass das Geld dort ankommt, wo es hingehen soll.
Emily Wearmouth Das ist Verantwortlichkeit. [Gelächter]
Max Havey, auf jeden Fall. Nun, wir werden auf jeden Fall hier in den Shownotes zu dieser Folge einen Link dazu haben. Aber insgesamt, Chase, vielen Dank, dass Sie sich heute die Zeit genommen haben, hier mit uns zu plaudern. Dies war ein faszinierendes Gespräch zum Thema Zero Trust und nationale Sicherheit. Wir schätzen es sehr, dass Sie sich die Zeit genommen haben.
Chase Cunningham Hey, vielen Dank. Es ist toll, mit Ihnen allen zu sprechen.
Max Havey: Absolut. Und Emily, danke, dass auch du dabei bist. Es ist immer toll, Sie als Co-Moderatorin bei Episoden wie dieser dabei zu haben.
Emily Wearmouth Es ist mir immer ein Vergnügen. [Gelächter] Danke, Max.
Max Havey Sie haben den Security Visionaries Podcast gehört und ich war Ihr Gastgeber, Max Havey. Bitte abonnieren Sie den Podcast, falls Sie dies noch nicht getan haben. Und wenn Ihnen diese Folge gefallen hat, teilen Sie sie unbedingt mit einem Freund oder einer anderen Person, von der Sie glauben, dass sie die Sendung genießen würde. Meine Co-Moderatorin, die großartige Emily Wearmouth, und ich senden alle zwei Wochen neue Folgen zu vielen interessanten Themen, sodass es in unserem Backkatalog definitiv noch viel mehr gibt, in dem Sie wühlen möchten. Wenn Ihnen diese Folge gefällt, empfehle ich Ihnen insbesondere, noch einmal vorbeizuschauen und sich die Folge „Zero Trust and Identity“ mit Neil Thacker und John Kindervag anzuhören. Und damit sehen wir uns beim nächsten Mal.
Warum Netskope? 
){kind=icon}
