„Jeder sollte Hacken lernen“: Inti De Ceukelaire über die Zukunft der Cybersicherheit

Im Jahr 2026 müssen wir möglicherweise unsere Vorstellungen davon, was Hacking überhaupt ist, überdenken.

Bildquelle: Getty Images / Credits kjekol

Inti De Ceukelaire ist Chief Hacker Officer bei Integrity. Das Cybersicherheits-Startup bietet u. a. Bug-Bounty-Dienstleistungen sowie Pentesting-as-a-Service (PTaaS) und setzt dabei u. a. auf Crowdsourcing. De Ceukelaire argumentiert, dass Hacking kein moralisches Versagen ist, sondern eine unverzichtbare Fähigkeit, die die Gesellschaft dringend demokratisieren muss. Er sieht die einzige Möglichkeit, Cyberkriminelle zu übertrumpfen, darin, mehr Menschen dazu zu befähigen, wie Hacker zu denken. Seine Logik dahinter ist einfach: “Wenn wir Cyberkriminelle bekämpfen wollen, können wir das nur erreichen, indem wir Hacker befähigen und mehr von ihnen ausbilden.”

Das Interview eröffnet er mit einer Erklärung, warum er den Begriff ethischer Hacker ablehnt: „Ich bin ein Hacker”, sagt er. „Man geht auch nicht zu einem ethischen Apotheker, nur weil manche Menschen illegale Drogen verkaufen. Der Standard sollte Hacker sein. Es wird immer kriminelle Hacker geben, Menschen, die ihre Fähigkeiten missbrauchen, aber Hacking an sich ist nur ein Beruf.”

Image
Description
“Die Zukunft der Cybersicherheit wird nicht allein durch immer höhere Mauern und ausgefeiltere Abwehrmaßnahmen gesichert werden. Sie wird von Organisationen gewonnen werden, die Sicherheit als eine grundlegende Kompetenz ihrer gesamten Belegschaft anerkennen.”

„Wenn jeder in der Schule die Grundlagen des Hackens lernen würde, wäre die Welt meiner Meinung nach ein sicherer Ort“, sagt er. „Wenn man die Grundlagen, wie beispielsweise die Denkweise eines Hackers, vermitteln würde, wären alle besser in der Lage, Betrugsversuche zu erkennen. Sie könnten wie ein Hacker denken und Schwachstellen in anderen Anwendungen identifizieren und melden.

Entwickler würden besser wissen, wie man sicheren Code schreibt. Wenn jeder wüsste, wie man hackt, würde die Zahl der Cyberverbrechen drastisch sinken, weil die guten Menschen die böswilligen Menschen zahlenmäßig übertreffen würden.“

Staatlich sanktioniertes Hacken – aber auf positive Weise

De Ceukelaire hat eine Fallstudie aus seiner Heimat Belgien, die seine These untermauert: das Programm „Hack the Government“. Es spiegelt die staatlich sanktionierten Hackeraktivitäten wider, die in weniger freundlich gesinnten Staaten stattfinden, jedoch mit einer weitaus positiveren Ausrichtung.

„Wir organisieren einen Tag mit dem Center for Cybersecurity, an dem wir die wichtigsten Regierungs-Apps und eine Gruppe von Hackern zusammenbringen.

Es ist fast wie eine Networking-Veranstaltung. Jeder kann einen Laptop mitbringen, und wir hacken die Regierungs-Apps. Der belgische Premierminister sah die erste Ausgabe im Jahr 2024 und fand sie so beeindruckend, dass er persönlich die Preise überreichen wollte.

„Vor fünf Jahren wären alle verrückt geworden, aber wir haben so viele Schwachstellen gefunden, und das wurde als etwas Positives angesehen. Und es ist etwas Positives.“

Diejenigen, die sich um die Cyber-Resilienz ihres Landes sorgen, können nur neidisch auf ein öffentliches Programm blicken, das eine klare, langfristige politische Denkweise demonstriert und sich mit der Welt so auseinandersetzt, wie sie ist – und nicht so, wie wir sie uns wünschen. De Ceukelaire liefert überzeugende Argumente für dessen Wirksamkeit.

„Stellen Sie sich vor, Sie sind 18 Jahre alt, finden einen Fehler in einem Regierungssystem und der Premierminister Ihres Landes überreicht Ihnen eine Auszeichnung. Es geht um dieses Gefühl von Macht, aber auch um das Gefühl der Anerkennung.“

Die Entkopplung der Hacking-Fähigkeiten von Teenagern von positiver Anerkennung durch offizielle Kanäle führt dazu, dass diese begehrte Anerkennung aus viel dunkleren Ecken des Internets kommt, oft in Form von Anwerbung durch Cyberkriminelle. Es ist eine hochbrisante Mischung, zu der generative KI noch erheblich beiträgt.

Neues Jahr, neue Bedrohungen

Die erste Sorge, die De Ceukelaire äußert, ist, dass traditionelles Hacking Programmierkenntnisse erfordert – eine bewusste Handlung mit einer technischen Einstiegsbarriere. KI kann diese Barrieren praktisch überflüssig machen, was bedeutet, dass IT-Führungskräfte, politische Entscheidungsträger, Pädagogen und Strafverfolgungsbehörden möglicherweise ihr Verständnis davon, was Hacking bedeutet, überdenken müssen.

„Ich muss nicht wissen, wie man Code schreibt, um eine KI zu manipulieren, und ich kann eine KI dazu bri^Ob wir das 2026 oder 2027 erleben werden, hängt davon ab, wie schnell alle es integrieren, aber was wäre, wenn normale Nutzer einfach mit einer KI sprechen und sie dazu bringen könnten, Dinge wie die Rückerstattung eines Flugtickets oder die Ausgabe von Geschenkkarten zu tun? Wenn normale Endnutzer plötzlich mit diesen Systemen in natürlicher Sprache statt mit Code interagieren können, ist das dann immer noch Hacking?“

Die fragliche Technik wird jedem bekannt vorkommen, der schon einmal mit einem entschlossenen Kleinkind zu tun hatte. Eine direkte Anweisung führt oft zu einer Ablehnung, während die Wahl zwischen zwei Optionen in der Regel zu besseren Ergebnissen führt. De Ceukelaire sagt, er habe diese Technik an zahlreichen LLMs und Large Action Modes (LAMs) getestet und sie funktioniere häufig. Agentische KI hat die Spielregeln verändert.

„Viele LLMs und agentische Kundendienstsysteme sind mit Datensätzen und LAMs verknüpft, sodass Ihre Anfrage in eine Aktion umgewandelt wird. Durch das Senden einer Anfrage an einen Posteingang können Sie nun Ihr Profil oder möglicherweise das Profil einer anderen Person löschen. Sie können auf bestimmte Daten zugreifen, weil Unternehmen so viel wie möglich an KI auslagern möchten.“

Sollten KI-Entwickler nicht inwzischen Modelle entworfen, die gegen solche grundlegenden Manipulationen resistent sind: „Ich habe es ausprobiert, und es hat sich herausgestellt, dass sie immer noch sehr anfällig für Manipulationstechniken sind.“

De Ceukelaire glaubt auch, dass KI für kriminelle Datenscraping-Operationen genutzt werden wird: „Ich denke, dass Scraping ein größeres Problem sein wird, als wir uns vorstellen, und in Form von indirekten Angriffen auftreten wird. Nehmen wir zum Beispiel Standortdaten – es wird KI-Systeme geben, die sehr gut in der Mustererkennung sind und Nutzer anhand anonymer Datenpunkte entlarven können. Dann entstehen Datenschutzprobleme, weil die Nutzer nicht mehr anonym sind und diese Datensätze auf andere Weise angereichert werden.“

Er beschreibt auch das von ihm als Abuseware bezeichnete Phänomen, bei dem eine legitime Funktionalität von Anwendungen für böswillige Zwecke ausgenutzt wird.

„Ein Beispiel ist Google Forms. Man kann jemanden einladen, ein Formular auszufüllen oder ein Dokument zu bearbeiten, und dabei wird eine E-Mail von @google.com versendet. Viele Betrüger nutzen diese Funktion, anstatt Ihnen direkt eine E-Mail zu senden, sodass der E-Mail-Server dies nicht mehr effizient erkennen kann.“

„Ich gehe auch davon aus, dass es mehr Identitätsprüfungen geben wird. Dies ist bereits bei Meta und insbesondere in Großbritannien zu beobachten, wo Nutzer auf allen Websites für Erwachsene ihr Alter bestätigen müssen. Ich denke, dass wir wahrscheinlich die erste Verletzung eines dieser Identitätsdatensätze erleben werden, aber auch vermehrt Erpressungen. Eine ältere Form des Angriffs wäre eine E-Mail gewesen, in der behauptet wird, dass ein Video von Ihnen existiert. Wenn Kriminelle an tatsächliche Website-Daten gelangen, können sie Menschen effektiver erpressen.“

Was wir tun können

De Ceukelaire ist der Ansicht, dass wir diese Herausforderungen benennen und anerkennen sollten, während wir uns gleichzeitig vor der nihilistischen Einstellung hüten müssen, dass kontinuierliche Verstöße gegen die Datensicherheit unvermeidlich sind.

„Sobald wir in diesen Kreislauf geraten, in dem die Menschen glauben, dass Regierungen und Institutionen nicht in der Lage sind, dieses Problem zu lösen, wird es zu einer sich selbst erfüllenden Prophezeiung. Ich versuche, optimistisch zu sein“, sagt er.

„Sich auf die Regierung zu verlassen, ist nicht meine bevorzugte Methode, um Resilienz aufzubauen, aber sie kann neue Vorschriften einführen. Eine Sache, die immer gegeben sein sollte, ist vollständige Transparenz. Nach einer Verletzung sollte jeder Nutzer das Recht auf einen vollständigen technischen Bericht darüber haben, wie es dazu gekommen ist. Nicht mit Schuldzuweisungen oder Namen, aber die Menschen können nur lernen, wenn wir anfangen, Informationen auszutauschen.

Unternehmen sollten verpflichtet werden, zurückzublicken und zu analysieren, was sie falsch gemacht haben, denn die typische Haltung gegenüber Cybersicherheit lautet: „Wir zahlen die Strafe und machen weiter.“ Durch die Weitergabe dieser Nachbetrachtung könnte der Reputationsschaden jedoch noch größer werden. Das könnte dazu führen, dass die Menschen in Zukunft vorsichtiger sind.“

Der Vorteil der KI: Kontextbewusstes Hacking

De Ceukelaire sieht auch erhebliche Vorteile in der KI, insbesondere bei der Automatisierung von Routinetests, damit sich Hacker auf tiefgreifendere Forschungen konzentrieren können, die größtenteils eindeutig nichttechnischer Natur sind.

„Die Menschen werden mehr Zeit für eingehende Forschungen haben und Techniken testen können, die es vielleicht schon seit den 90er Jahren gibt, die aber niemand wirklich beachtet hat, weil es so viele leicht zu erreichende Ziele gibt. Die OWASP Top 10 sind seit Ewigkeiten unverändert“, stellt er fest. „Vielleicht wird KI indirekt diese Dinge auf den Kopf stellen und die Menschen werden gezwungen sein, neue Schwachstellen zu finden, die wahrscheinlich einen Kontext erfordern. Ich denke, dass Fehler in der Geschäftslogik eine große Rolle spielen werden, aber um diese zu identifizieren, muss man viel Zeit investieren, um das Geschäft zu verstehen.“

Er beschreibt diese tiefergehende Arbeit als kontextbewusstes Hacking. „Wenn ich ein Unternehmen hacke, lese ich alle Dokumentationen wieder und wieder durch, einschließlich der API-Dokumentation. Dann entdecke ich möglicherweise ein Muster, das ich schon einmal gesehen habe. Sobald man dieses mentale Modell eines Unternehmens hat, kann man beginnen, einige Fehler vorherzusagen, die das Unternehmen möglicherweise gemacht hat, die aber für den typischen Hacker nicht sichtbar sind.“

Die Zukunft der Cybersicherheit wird nicht allein durch immer höhere Mauern und ausgefeiltere Abwehrmaßnahmen gesichert werden. Sie wird von Organisationen gewonnen werden, die Sicherheit als eine grundlegende Kompetenz ihrer gesamten Belegschaft anerkennen, die Transparenz gegenüber Geheimhaltung bevorzugen und die die menschlichen Motivationen verstehen, die sowohl Angreifer als auch Verteidiger antreiben. Wie De Ceukelaires Arbeit in Belgien zeigt, besteht die effektivste Sicherheitsstrategie manchmal darin, mehr Menschen zu befähigen, wie Hacker zu denken – bevor jemand anderes sie rekrutiert, um selbst zu Hackern zu werden.

Image
Description
Sieger bei den 2025 UK IT Industry Awards von Computing: Integriti gewann in der Kategorie “Security Innovation of the Year”.

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.