Den Anfang macht der erste CISO überhaupt: Steve Katz wurde 1995 in die neu geschaffene Rolle berufen, nachdem ein russischer Softwareentwickler in die Systeme der Citibank eingedrungen war und mit Komplizen mehr als zehn Millionen Dollar auf Konten weltweit umgeleitet hatte. Katz verstand die Funktion stets als Steuerung von Geschäftsrisiken: “Cybersicherheit ist ein Werkzeug zum Management von Geschäftsrisiken”, sagte er 2021, “kein Selbstzweck.” Katz starb Ende 2023. Howard Schmidt wiederum baute über vier Jahrzehnte Brücken zwischen Staat und Privatwirtschaft; seine erste Rolle im Weißen Haus übernahm er kurz nach dem 11. September, später wurde er Cybersecurity Coordinator unter Präsident Obama und Chief Security Officer bei Microsoft.
Mehrere der Porträtierten veränderten den Umgang mit Schwachstellen. Katie Moussouris baute Symantec Vulnerability Research, Microsoft Vulnerability Research sowie 2016 das erste Bug-Bounty-Programm der US-Regierung, “Hack the Pentagon”, mit auf. HD Moore veröffentlichte 2003 das Open-Source-Werkzeug Metasploit und zog mit Projekten wie dem “Month of Browser Bugs” 2006 die Aufmerksamkeit der Hersteller auf sich. Dan Kaminsky deckte 2008 die “Great DNS Vulnerability” auf, eine Schwachstelle zur DNS-Cache-Vergiftung, und koordinierte in geheimen Treffen bei Microsoft einen weltweiten Patch; er starb 2021 mit 42 Jahren.
Andere rückten die Sicherheit physischer Geräte ins Bewusstsein. Barnaby Jack zeigte 2010 auf der Black Hat USA, wie zwei Geldautomaten auf Kommando Bargeld ausspuckten, und demonstrierte, dass sich Insulinpumpen aus 90 Metern Entfernung manipulieren lassen; er starb im Juli 2013. Charlie Miller und Chris Valasek übernahmen 2015 die Fernkontrolle über einen fahrenden Jeep Cherokee, was zu einem Rückruf bei Chrysler führte. Window Snyder prägte bei Microsoft den Security Development Lifecycle und widmet sich heute der IoT-Sicherheit.
Kevin Mandia definierte mit seiner 2004 gegründeten Beratungsfirma die moderne Incident Response neu; sein Unternehmen wurde als Mandiant 2022 für rund 5,4 Milliarden Dollar an Google verkauft. Der 2013 veröffentlichte Bericht “APT1” schrieb Cyberangriffe direkt einer Einheit der chinesischen Regierung zu. Troy Hunt betreibt seit 2013 die Datenbank “Have I Been Pwned?”, die laut eigenen Angaben 975 kompromittierte Websites mit 17,5 Milliarden betroffenen Konten umfasst.
Auch Behördenvertreter und Kulturstifter sind dabei: Chris Krebs leitete ab 2018 als erster Direktor die US-Behörde CISA und geriet im Wahlkampf 2020 ins politische Kreuzfeuer, bevor Trump ihn per Tweet entließ. Jeff Moss gründete 1993 DEF CON und 1997 Black Hat. Die Juristin Jennifer Granick verteidigte über Jahre Sicherheitsforscher, Bruce Schneier holte das Thema in die Vorstandsetage, und Dr. Chenxi Wang prägte die Cloud-Sicherheit.
Daneben stehen die umstrittenen Figuren: Albert Gonzalez, 2008 als Kopf einer riesigen Hacking-Operation mit über 160 Millionen erbeuteten Zahlungskartendaten verhaftet; Marcus Hutchins, der 2017 den Notausschalter gegen WannaCry fand und später wegen des Kronos-Trojaners angeklagt wurde; Kevin Mitnick, einst auf der Most-Wanted-Liste des FBI; Edward Snowden, der 2013 die NSA-Überwachung enthüllte; und Joe Sullivan, der frühere CSO von Uber, 2022 wegen Vertuschung eines Datenlecks verurteilt.