Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux
Pieter Danhieux is the Chief Executive Officer, Chairman, and Co-Founder of Secure Code Warrior.
In 2020, Pieter was recognised as a finalist in the Diversity Champion category for the SC Awards Europe 2020, and was awarded Editor's Choice for Chief Executive Officer of the Year by Cyber Defense Magazine (CDM), the industry’s leading electronic information security magazine. In 2016, he was No. 80 on the list of Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and is member of the Forbes Technology Council.
Pieter is also a Principal instructor for the SANS Institute teaching military, government and private organisations offensive techniques on how to target and assess organisations, systems and individuals for security weaknesses. He also serves as an advisory board member of NVISO, a cyber security consulting company in Europe. Before starting his own company, Pieter worked at Ernst & Young and BAE Systems. He is also one of the Co-Founders of BruCON, one of the most awesome hacking conferences on this planet.
He started his information security career early in life and obtained the Certified Information Systems Security Professional (CISSP) certification as one of the youngest persons ever in Belgium. On his way, he collected a whole range of cyber security certificates (CISA, GCFA, GCIH, GPEN, GWAP) and is currently one of the select few people worldwide to hold the top certification GIAC Security Expert (GSE).
Chief Executive Officer, Chairman, and Co-Founder
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug.
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
Das National Institute of Standards & Technology (NIST) veröffentlichte ein aktualisiertes Whitepaper, in dem mehrere Aktionspläne zur Reduzierung von Softwareschwachstellen und Cyberrisiken detailliert beschrieben werden.
Ich hätte diesen Artikel mit all den Fakten und Zahlen beginnen können, die auf ein florierendes, wachstumsstarkes Startup hinweisen. Sie sind unbestreitbar beeindruckend und unser kontinuierlicher Unternehmenskurs ist stark. Für mich spiegeln diese Zahlen jedoch nicht wider, worauf ich 2019 am meisten stolz bin.
Unsere Geburtstagsmeilensteine sind eine wunderbare Erinnerung daran, über die Früchte unserer Arbeit nachzudenken, das Team zu feiern und das kommende Jahr mit Zuversicht anzugehen. Und jetzt, sieben Jahre seit der Gründung, frage ich mich: Haben wir es geschafft? Ist das schon ein echtes Unternehmen? Natürlich sind wir erwachsen geworden, aber ich hoffe wirklich, dass wir nie das Gefühl von Neugier, Leidenschaft und Geekiness verlieren, das wir von Anfang an hatten.
Diese Woche feiern wir offiziell acht Jahre Secure Code Warrior. Einerseits ist das die 350-fache Länge der Apollo-11-Mission und das Äquivalent von 45.000 Fußballspielen oder 5696 Spielen von Super Mario Odyssey bis zum Ende. Andererseits ist es nur ein Dreißigstel der Lebensdauer einer Riesenschildkröte (250 Jahre, falls Sie sich das fragen). In der Welt eines wachstumsstarken Startups ist es eine Reise mit vielen Wendungen, Lektionen und Errungenschaften, von denen viele unvorstellbar waren, als wir unseren Geschäftsplan zum ersten Mal verfassten.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus.
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der 25 gefährlichsten Softwarefehler von CWE, von denen 2019 die Welt betroffen war. Und das meiste davon war keine Überraschung.
Unsere Vision ist es, Entwickler in die Lage zu versetzen, die erste Verteidigungslinie in ihrem Unternehmen zu sein, indem wir Sicherheit deutlich sichtbar machen und ihnen die Fähigkeiten und Tools an die Hand geben, um sicheren Code von Anfang an zu schreiben.
Der jugendliche Sicherheitsforscher Bill Demirkapi hat sicherlich einige Erinnerungen geweckt, als er große Sicherheitslücken in der von seiner Schule verwendeten Software aufgedeckt hat. Ich erinnere mich, dass ich ein neugieriges Kind war, das die Kapuze über Software herauszog, um einen Blick darunter zu werfen und zu sehen, wie alles funktioniert... und ob ich es kaputt machen könnte.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
In der Cybersicherheit sind wir oft wie Jäger. Unsere Augen sind fest auf den Horizont gerichtet und suchen nach der nächsten Sicherheitslücke. Diese vorausschauende Ausrichtung kann jedoch den überraschenden Effekt haben, dass unser allgemeines Sicherheitsbewusstsein beeinträchtigt wird.
Diese Veranstaltungen rund um Entwickler gehören zu meinen Favoriten im Kalender. Sie sind eine demütigende Erinnerung an die Community, die unermüdlich daran arbeitet, Softwareingenieure und Spezialisten weiterzubilden und zu befähigen, sich bei ihrer Arbeit für Sicherheit einzusetzen.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Die Betonung auf einen präventiven — im Gegensatz zu einem reaktiven — Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, insbesondere wenn kein großer, schwerwiegender Sicherheitsvorfall stattgefunden hat.
In diesem Jahr veröffentlichte der PCI Security Standards Council im Rahmen seines PCI Software Security Frameworks eine Reihe völlig neuer Softwaresicherheitsrichtlinien. Dieses Update zielt darauf ab, bewährte Verfahren zur Softwaresicherheit mit der modernen Softwareentwicklung in Einklang zu bringen.
The advent of the digital darling of the moment - the metaverse - adds a vast new attack surface for both code-level vulnerabilities and social engineering. And we’re simply not prepared for battle on this new playing field that thrives on smoke and mirrors.
Da CIOs ihre agilen Fähigkeiten im Unternehmen aggressiv ausbauen, werden sichere Programmierkenntnisse eine Innovationswaffe sein, und wenn sie nicht vorhanden sind, wird dies ein Instrument der Zerstörung sein.
In einem kürzlich erschienenen Bericht des britischen Huawei Cyber Security Evaluation Centre wurden wichtige Sicherheitsprobleme in den Softwareentwicklungsprozessen von Huawei identifiziert. Aber es ist ein Problem, das behoben werden kann.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Nur wenige Unternehmen sind bei ihrer DevOps-Implementierung wirklich erfolgreich. Der richtige Support, die richtige Pflege und das richtige Verständnis für das gesamte Unternehmen können Ihren Prozess jedoch verändern.
Der jüngste Angriff auf GitHub-Repositorys verdeutlicht ein bekanntes Problem in der Sicherheitsbranche: Die meisten Entwickler sind einfach nicht ausreichend sicherheitsbewusst, und wertvolle Daten können jederzeit gefährdet sein.
Es gibt viele Lösungen, die Sicherheitslücken im Code finden, aber die Sicherheitsabteilung muss mehr Wert darauf legen, Entwicklern beizubringen, Sicherheitsrichtlinien zu befolgen, die verhindern, dass sie diese Fehler überhaupt machen.
Mit der Einführung der DSGVO und einer überarbeiteten Strategie nach einem mehrstufigen Angriff, bei dem die sensiblen Daten vieler Persönlichkeiten des öffentlichen Lebens — sowie von Servern der deutschen Bundesregierung — aufgedeckt wurden, ist klar, dass das Bewusstsein und die entsprechenden Maßnahmen für Cybersicherheit bei Führungskräften in der DACH-Region an erster Stelle stehen.
Die Vorstellung, was den Akt der sicheren Codierung ausmacht, steht zur Debatte. Jüngsten Untersuchungen in Zusammenarbeit mit Evans Data zufolge wurde dieses Gefühl schwarz auf weiß enthüllt. Die Umfrage State of Developer-Driven Security 2022 befasst sich mit den wichtigsten Erkenntnissen und Erfahrungen von 1200 aktiven Entwicklern und beleuchtet deren Einstellungen und Herausforderungen im Sicherheitsbereich.
Unsere VP of Customer Success, Fatemah Beydoun, hielt kürzlich ihren Vortrag „Mentoring for the future: How we can all do better in fostering female cybersecurity talents“ vor einem sehr aufgeschlossenen Publikum. Sie war maßgeblich an der Förderung positiver Veränderungen in der Cybersicherheitsbranche beteiligt.
Während sicheres Programmieren im Tertiärbereich zu einem obligatorischen Bestandteil der Softwaretechnik werden muss, sind einige Universitäten führend, wenn es darum geht, erstklassige Schulungen anzubieten und Sicherheit von Anfang an als Teil des Entwicklungsprozesses priorisiert.p
Kreative, inspirierende CISOs und CIOs haben die Macht, unsere digitale Welt zu innovieren und zu gestalten, aber sie können auch maßgeblich zur Transformation der Sicherheitskultur eines Unternehmens beitragen.
VxWorks ist dem Durchschnittsverbraucher zwar kein Begriff, aber dieses Softwareprodukt kommt vielen Menschen wie Ihnen und mir jeden Tag zugute. Und jetzt stehen wir vor der Möglichkeit, dass Hunderte Millionen von Geräten, die mit VxWorks betrieben werden, gefährdet sind.
Wir müssen daran arbeiten, das Gespräch zu ändern und Sicherheit zu einem integralen Bestandteil des Arbeitslebens jedes Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, besteht darin, Entwickler in Bezug auf Sicherheit zu stärken und mit ihnen in Kontakt zu treten, beispielsweise durch Gamification.
Es ist diese besondere Zeit des Jahres (jedenfalls für uns), in der ich über unsere letzte Runde um die Sonne nachdenke und darüber, was in den letzten 365 Tagen getan wurde, um uns für ein neues Jahr voller Wachstum, Lektionen und unvermeidlicher Unvorhersehbarkeit zu rüsten.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Es spielt keine Rolle, ob Sie die C-Suite in Cybersicherheit ausbilden oder Entwicklern dabei helfen, sichere JAVA- oder C#-Programmierkenntnisse zu erlernen, hier ist Platz für Kreativität, Gamification und Spaß.
Der 23. Juni ist ein besonderer Eintrag im Geek-Kalender, der den Internationalen Tag der Frauen in der Ingenieurskunst markiert. Dies ist unsere Chance, den Beitrag von Frauen zur Softwareentwicklung zu beleuchten.
Die Softwaresicherheitsbranche ist nicht gerade für ihre warmen und verschwommenen Gefühle, skurrilen Beobachtungen und Lebenskommentare bekannt, aber vielleicht denke ich mit zunehmendem Alter darüber nach, welchen Einfluss wir alle auf die Welt haben können.
Angesichts der zunehmenden Cyberangriffe, die alle Arten von Unternehmen in allen Branchen betreffen, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die wichtigsten Probleme für das Jahr vorherzusagen. Angesichts der Tatsache, dass 2019 mehr als fünf Milliarden vertrauliche Datensätze gestohlen wurden, dachten wir, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit im Bereich Cybersicherheit nicht passieren wird.
Indem wir helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software auch trotz der Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Der Open Source Software Security Mobilization Plan ist ein positiver Schritt für entwicklerorientierte Sicherheit. Wir müssen jedoch alle Bilanz ziehen und ehrlich beurteilen, ob wir in unserer Organisation ausgereift genug sind — und ob unsere Entwicklungsteams über das richtige Maß an Sicherheitsbewusstsein und Fähigkeiten verfügen —, um die neuesten und besten Abwehrstrategien umzusetzen.
Das Panel Leaders in AppSec befasste sich mit wichtigen Themen wie der optimalen Nutzung des AppSec-Budgets eines Unternehmens sowie mit mehreren lockigen Fragen des Publikums und bot eine echte Morgenmagie, die Sicherheitsspezialisten bei der Entwicklung tragfähiger Programme in ihren Organisationen unterstützen wird.
Je älter meine Tochter und das Unternehmen werden, desto mehr wird mir klar, dass es so viele Ähnlichkeiten zwischen einer Startup-Reise und der ersten Elternreise gibt. Ich bin jetzt beide in meinem vierten Jahr.pi
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Die nationale Cybersicherheitsstrategie von CISA ist die beste Chance, die wir haben, um die Softwarestandards allgemein zu erhöhen und endlich eine neue Ära sicherheitskompetenter Entwickler einzuleiten.
Es scheint zwar unvermeidlich, dass die KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir viele Aspekte der Arbeit angehen — nicht nur die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen stehen. Und als Begleiter beim Programmieren sind ihre Schwächen vielleicht das „menschlichste“ Merkmal.
Wir haben den Abschluss unserer Serie-C-Finanzierungsrunde angekündigt und 50 Millionen US-Dollar für die nächste Phase unserer Mission gesammelt: mehr Pionierunternehmen dabei zu helfen, das Potenzial ihrer Entwicklungskohorte bei der Bekämpfung häufiger Sicherheitslücken zu nutzen.
Unmittelbar nach der Ankündigung unserer Serie-C-Finanzierung freue ich mich, einen weiteren Schritt auf dem Weg unseres Unternehmens ankündigen zu können. Der Marktführer in der Sicherheitsbranche, Synopsys, hat eine spannende Neuerung seiner Produktsuite begrüßt: das Synopsys Developer Security Training, das von Secure Code Warrior unterstützt wird.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Heute ist unser neunter Geburtstag, und ich bin nach wie vor sehr stolz und dankbar für unsere Erfolge und unseren dauerhaften Platz im Bereich der Cybersicherheit, da sich die Szene weiterhin rasant verändert.
Eine kritische Sicherheitslücke, CVE-2024-3094, wurde in der Datenkomprimierungsbibliothek XZ Utils entdeckt, die von großen Linux-Distributionen verwendet wird und durch eine Hintertür von einem Bedrohungsakteur eingeführt wurde. Dieses hochgradige Problem ermöglicht eine potenzielle Codeausführung aus der Ferne und stellt ein erhebliches Risiko für Softwareerstellungsprozesse dar. Der Fehler betrifft frühe Versionen (5.6.0 und 5.6.1) von XZ Utils in Fedora Rawhide. Unternehmen werden dringend aufgefordert, Patches zu implementieren. Der Vorfall unterstreicht die entscheidende Rolle von Freiwilligen aus der Community bei der Wartung von Open-Source-Software und unterstreicht die Notwendigkeit verbesserter Sicherheitspraktiken und Zugriffskontrollen innerhalb des Softwareentwicklungszyklus.
Das Gründungsteam von Secure Code Warrior ist zusammen geblieben und hat das Schiff ein ganzes Jahrzehnt lang durch jede Lektion, jeden Triumph und jeden Rückschlag gesteuert. Wir expandieren und sind bereit für unser nächstes Kapitel, SCW 2.0, als Marktführer im Bereich Risikomanagement für Entwickler.
Vibe Coding ist wie eine Studentenparty, und KI ist das Herzstück aller Feierlichkeiten, das Fass. Es macht viel Spaß, loszulassen, kreativ zu werden und zu sehen, wohin Ihre Fantasie Sie führen kann, aber nach ein paar Fassständen ist es zweifellos die sicherere langfristige Lösung, in Maßen zu trinken (oder KI einzusetzen).
