Mike Wiacek, Gründer und CTO von Stairwell – Interviewreihe

Mike Wiacek ist CTO und Gründer von Stairwell. Sein Herz schlägt für Sicherheit und den Aufbau einer Teamkultur, die auf Zusammenarbeit, Ehrlichkeit und dem Engagement basiert, Kunden dabei zu helfen, Angreifer auszutricksen. Vor der Gründung von Stairwell war Mike Mitbegründer und Chief Security Officer von Alphabets Chronicle und Gründer der Threat Analysis Group von Google.

Treppenhaus ist ein Cybersicherheitsunternehmen, das Organisationen mit einem datenorientierten Ansatz dabei unterstützt, Bedrohungen zu erkennen und darauf zu reagieren. Die Plattform sammelt und analysiert kontinuierlich Dateien und ermöglicht so Echtzeitüberwachung, retrospektive Bedrohungssuche und KI-gestützte Erkenntnisse. Mit fortschrittlicher statischer und verhaltensbezogener Analyse ermöglicht Stairwell Sicherheitsteams, Zero-Day-Bedrohungen zu erkennen und schneller fundierte Entscheidungen zu treffen.

Sie gründeten Treppenhaus nachdem Sie die Sicherheitsbemühungen bei Google TAG und Chronicle geleitet haben. Welche Lücke in der Cybersicherheitslandschaft haben Sie erkannt, die Sie davon überzeugt hat, dass es Zeit ist, etwas Neues aufzubauen?

Nachdem ich die Sicherheitsabteilung bei Google TAG geleitet und Chronicle entwickelt hatte, sah ich überall dasselbe fehlerhafte Muster: Threat-Intelligence-Teams arbeiteten vor dem Angriff, SOCs währenddessen und IR-Teams danach. Alle versuchten, dieselbe grundlegende Frage mit unterschiedlichen Tools, unterschiedlichen Daten und völlig unterschiedlichen Denkweisen zu beantworten. Keine Kontinuität. Keine gemeinsame Wahrheit. Nicht die Idee war falsch – sondern die Umsetzung.

Der Großteil der Branche basiert auf Protokollen. Doch Protokolle sind maßgeschneiderte Messungen. Sie sind Interpretationen. Beobachtungen. Sie sind fragil und darauf ausgelegt, die Fragen von gestern zu beantworten. Wenn das Protokoll diese nicht erfasst hat, haben Sie Pech gehabt. Und schlimmer noch: Das Wachstum des Protokollvolumens ist kostspielig und nicht nachhaltig.

Unternehmen vergessen ihr wichtigstes Kapital – die Rohdateien. In den ausführbaren Dateien, Skripten und DLLs steckt die Wahrheit. Dateien lügen nicht. Sie verändern sich nicht, je nachdem, wer sie betrachtet. Und mit den Rohdaten können Sie Dinge tun, die kein logbasiertes Tool jemals leisten könnte: Ähnlichkeiten abgleichen, Varianten erkennen, Beziehungen aufdecken und alle Fragen jederzeit beantworten.

Also habe ich gebaut Treppenhaus Um all dies zu vereinheitlichen. Eine Plattform. Eine Quelle der Wahrheit. Kontinuierliche Analyse dessen, was in Ihrer Umgebung tatsächlich läuft – nicht nur dessen, was darüber protokolliert wird. Wenn jedes Team mit denselben Beweisen arbeitet, werden alle besser. Schnellere Triage. Intelligentere Erkennung. Tiefergehende Untersuchungen. So hören wir auf, den Angriff von gestern zu bekämpfen, und sind dem nächsten einen Schritt voraus.

Treppenhaus zielt darauf ab, Verteidigern die Möglichkeit zu geben, wie Angreifer zu denken. Wie ermöglicht Ihre Plattform dies in der Praxis und welche Arten von Organisationen profitieren am meisten von diesem Ansatz?

Angreifer warten nicht auf Warnmeldungen. Sie agieren nicht isoliert. Ihre Richtlinien zur Protokollaufbewahrung, Ihre Risikobereitschaft oder Ihre Budgetbedenken sind ihnen egal.

Sie lernen Ihre Tools kennen, umgehen Ihre Kontrollen und verknüpfen Dateien, Infrastruktur und Timing, um ihr Ziel unbemerkt zu erreichen. Verteidiger müssen dasselbe tun – in Beziehungen denken, nicht in Alarmen. Das ist die Denkweise Treppenhaus gibt Ihnen.

In der Praxis beginnt dies mit der Transparenz aller laufenden Prozesse. Wir sammeln und bewahren Rohartefakte – ausführbare Dateien, Skripte, Loader, Payloads – und analysieren sie kontinuierlich. Nicht nur, wenn sie zum ersten Mal angezeigt werden. Für immer. Das bedeutet, dass Sie wie ein Gegner auf die Jagd gehen können: Finden Sie eine verlorene Datei, schwenken Sie zu ihren Varianten, identifizieren Sie den Loader, verfolgen Sie ihn bis zur Wiederverwendung der Infrastruktur und decken Sie jede Phase der Kampagne auf.

Sie müssen nicht jede Probe zurückentwickeln. Treppenhaus automatisiert das. Sie müssen nicht raten, was eine Datei macht. TreppenhausDie intelligente Analyse von verrät es Ihnen. Sie müssen sich nicht fragen, was sonst noch so aussieht. TreppenhausDie Variantenerkennung von zeigt es Ihnen.

Wer profitiert? Jeder, der es satt hat, blind zu fliegen.

Wenn Sie ein hochrangiges Ziel sind – kritische Infrastruktur, Finanzen, Verteidigung – können Sie sich keine Vermutungen leisten. Wenn Sie ein schlankes Team sind, Treppenhaus macht Sie zu einem Kraftmultiplikator. Wenn Sie in Warnmeldungen ertrinken, helfen wir Ihnen, den Lärm zu durchdringen und jede Warnung zu beseitigen.

Fazit: Angreifer denken in Beziehungen. Jetzt können das auch Verteidiger – mit einer Vogelperspektive auf alles, immer.

Sie haben unter anderem bei der NSA, Google und Chronicle gearbeitet. Wie haben diese Erfahrungen Ihr Verständnis von nationalstaatlichen und anhaltenden Bedrohungen geprägt, insbesondere im Hinblick auf den Schutz kritischer Infrastrukturen?

Ich betrachte Sicherheit als ein Problem der Datensuche. Wir sollten möglichst viele Daten sammeln, speichern und analysieren und in diesen Daten Antworten auf Fragen finden. Was den meisten Unternehmen fehlt, sind die eigentlichen Dateien. Ihre Dateien sind Ihr wertvollstes Gut. Sicherheitsteams in Unternehmen können die grundlegendste Frage nicht beantworten: Wurden auf dem Laptop Ihres CEOs Informationen zu Ihren Bedrohungen gefunden? Treppenhaus informiert Sie sofort und danach kontinuierlich.

Treppenhaus verwaltet über 8 Milliarden Dateisichtungen mit Google Cloud Bigtable. Was waren die größten technischen Hürden beim Aufbau eines Bedrohungsanalysesystems dieser Größenordnung?

Besonders stolz sind wir darauf, eine technische Lösung gefunden zu haben, mit der wir alle ausführbaren Dateien in Unternehmen effizient erfassen, speichern und analysieren können. Wir gleichen diese Dateien kontinuierlich mit unserem Malware-Korpus, den YARA-Regeln und Bedrohungsberichten ab. Jede neue Datei wird innerhalb von Sekunden untersucht. Interessanterweise ist der Prozess so einfach, dass Kunden oft nachfragen, ob die Dateien erfasst werden. Wenn wir ihnen zeigen, dass es funktioniert, sind sie oft überrascht, wie wenig CPU-Leistung es beansprucht.

Du hast gesagt, du willst Treppenhaus für die Cybersicherheit das zu tun, was Google für die Suche getan hat. Was bedeutet das für die Benutzererfahrung und die Produktausrichtung?

Wir sind praktisch eine Suchmaschine für Ihre ausführbaren Dateien und zugehörige Dateien. Wir ermöglichen Sicherheitsteams, Fragen zu ihren Dateien zu beantworten. Fragen wie: Handelt es sich bei dieser Datei um Schadsoftware? Gibt es Varianten dieser Datei irgendwo in unseren Systemen? Auf welchen Endgeräten ist diese Schadsoftware vorhanden? Befindet sich diese kürzlich als anfällig identifizierte Datei auf einem unserer Geräte? Kommt diese Datei häufig vor? Gibt es ähnliche Dateien irgendwo anders? Wo befindet sie sich? Und WANN ist sie angekommen?

Hauptvorteile von TreppenhausDie Hauptstärke von liegt in der proaktiven und retrospektiven Bedrohungssuche. Das bedeutet, dass es sowohl aktive Bedrohungen erkennen als auch vergangene Angriffe aufdecken kann, die möglicherweise unbemerkt geblieben sind. Wie unterscheidet sich dieser Ansatz von herkömmlichen Sicherheitstools wie SIEMs (Security Information and Event Management-Systemen) oder EDRs (Endpoint Detection and Response-Plattformen), die sich oft auf Echtzeitwarnungen konzentrieren?

Traditionelle Tools wie SIEMs und EDRs sind auf die Gegenwart ausgelegt. Sie konzentrieren sich auf Echtzeitwarnungen und zeitpunktbezogene Erkennung. Sie sind im Moment nützlich, aber blind für alles, was keine Regel auslöst oder unbeachtet bleibt.

Treppenhaus funktioniert anders. Wir fragen nicht nur, was passiert ist. Wir fragen, was jemals in Ihrer Umgebung war.

Wir bewahren Rohdateien – jede ausführbare Datei, jedes Skript – kontinuierlich auf und analysieren sie kontinuierlich. Selbst wenn etwas gelöscht, umbenannt, neu gepackt oder inaktiv ist, können Sie es immer noch finden. Und analysieren. Und es trotzdem löschen.

Das bedeutet, dass Sie bereits vor der Warnung proaktiv nach Sicherheitslücken suchen können. Und auch nach der Sicherheitsverletzung – sogar Monate später – mit vollständigem Kontext und Verlauf. Versuchen Sie dies einmal mit einem SIEM, dessen Protokolle veraltet sind, oder einem EDR, der nur die aktuellen Vorgänge erkennt.

Treppenhaus gibt Ihnen die Möglichkeit zu fragen: „Ist das schon einmal in unserer Umgebung vorgekommen?“ Und Sie erhalten eine echte Antwort, nicht nur „nicht in letzter Zeit“ oder „das können wir nicht sagen“. Das ist der Unterschied.

Angesichts des wachsenden Interesses staatlicher Organisationen an KI und Bedrohungserkennung: Wie beurteilen Sie TreppenhausTragen KI-Modelle zur Verteidigung auf nationaler Ebene bei?

Die Verteidiger der Bundesregierung brauchen nicht noch mehr Dashboards. Sie brauchen schnellere Antworten, klarere Absichten und Tools, die mit den Angriffen der Gegner Schritt halten, die schneller iterieren als der öffentliche Beschaffungszyklus.

TreppenhausDer KI-Ansatz von besteht nicht nur aus angehängten Klassifikatoren. Er basiert auf einem umfassenden Fundament aus Milliarden realer Artefakte, der globalen Dateiprävalenz, der Variantenherkunft und jahrelangem Bedrohungsverhalten. Wir kombinieren die Extraktion statischer und verhaltensbezogener Merkmale mit strukturierten LLM-Eingabeaufforderungen, um zu erklären, warum etwas wichtig ist – und nicht nur darauf hinzuweisen, dass es wichtig sein könnte.

Das bedeutet, dass wir Verteidigern auf nationaler Ebene das bieten können, was sie selten bekommen:

• Sofortiger Einblick auf Reverse-Engineering-Niveau in verdächtige Dateien – alle. Wir zwingen Angreifer in eine Situation, in der sie nur verlieren können: Entweder sie sind identisch mit „Goodware“ oder sie sind einzigartig und werden erwischt. Es gibt keinen Mittelweg, und das nutzen wir aus.
• Kontextreiche Antworten zu Absicht, Funktionalität und Beziehungen
• Variantenbewusste Erkennung, die auch dann funktioniert, wenn Angreifer ihre Malware neu verpacken oder umbenennen. Je mehr Angreifer packen, desto auffälliger sind sie sogar!

Anbieter nutzen KI eilig, um Dinge zu automatisieren, die schon immer erledigt wurden. Wir nutzen KI, um Probleme so zu lösen, wie sie eigentlich hätten gelöst werden sollen, für die uns aber nie die Technologie zur Verfügung stand.

Wir denken bereits wie der Gegner. Unsere Modelle sind darauf trainiert, zu analysieren, zuzuordnen und zu schwenken. Genau das brauchen Bundesbehörden – nicht nur mehr Warnmeldungen, sondern die Fähigkeit, die Situation zu verstehen und zu reagieren, bevor die nächste Kampagne einsetzt.

Sicherheitsteams werden oft mit Warnmeldungen und Fehlalarmen überhäuft. Wie Treppenhaus helfen, diesen Lärm zu reduzieren und gleichzeitig die kritischsten Bedrohungen ans Licht zu bringen?

Treppenhaus unterstützt Sicherheitsteams bei der Operationalisierung ihrer Bedrohungsinformationen. Einer der schwierigsten Aspekte der Sicherheit besteht darin, herauszufinden, welche Endpunkte mit Malware infiziert sind. Treppenhaus identifiziert diese Geräte in Sekunden. Treppenhaus Intelligente Analyse, unsere KI-gestützte Funktion, macht die Datei-Triage zum Kinderspiel. Unsere Run-to-Ground-Funktion nutzt die Verbreitung von Dateien in Ihrem Unternehmen und in allen anderen Unternehmen, um die Ausnutzung gezielter Malware nahezu unmöglich zu machen.

Angreifer nutzen zunehmend KI, um immer raffiniertere und sich ständig weiterentwickelnde Bedrohungen zu schaffen. Wie ist Treppenhaus Helfen Sie den Verteidigern, mit dieser Veränderung der Angriffstechniken Schritt zu halten?

In einer Welt, in der KI problemlos Zero-Day-Malware erstellen kann, die noch nie zuvor gesehen wurde, werden Sicherheitsansätze getestet. Herkömmliche Tools wie EDRs, die Signaturen und verhaltensbasierte Signaturansätze verwenden, sind blind für neue Malware. Treppenhaus analysiert, wozu die Datei geschrieben wurde. Treppenhaus ist gut aufgestellt, um noch nie dagewesene, von KI erstellte Malware zu finden, da es zur Untersuchung Dateianalyse- und Datensuchtechniken verwendet.

Was ist das häufigste Missverständnis, das Sicherheitsverantwortliche hinsichtlich ihrer Bedrohungslage haben – und wie Treppenhaus helfen, diese Lücke zu schließen?

Die Vorstellung, EDRs seien perfekt, hat sich weltweit durchgesetzt. Tatsächlich vermitteln sie jedoch ein falsches Sicherheitsgefühl. Leider basieren EDRs auf Verhaltenssignaturen und müssen täglich aktualisiert werden. Ihre Schwäche besteht darin, dass sie die Dateien nicht täglich auf jedem Gerät analysieren. Treppenhaus ist die nächste Generation der Sicherheit, die Signalintelligenz nutzt, einschließlich der Dateien Ihres Unternehmens, um einen Datensuchansatz für die Sicherheit bereitzustellen und Malware in Sekundenschnelle zu untersuchen.

Und schließlich: Wie definieren Sie Erfolg – nicht nur in geschäftlicher Hinsicht, sondern auch im Hinblick auf die Auswirkungen auf die Verteidiger und die Cybersicherheits-Community insgesamt?

Erfolg kann vieles sein, aber es gibt nichts Besseres, als einen Anruf von einem Kunden zu bekommen, der sagt: Treppenhaus Auf einem Gerät oder USB-Stick wurde eine Schadsoftware gefunden, die EDR oder andere Sicherheitstools übersehen hatten, und die Übertragung der Schadsoftware auf ein anderes System wurde verhindert.

Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Treppenhaus.