Definition der Rolle des Distinguished Engineer

Clarke Rodgers (00:11):
Paul, vielen Dank, dass Sie heute bei mir sind.

Paul Vixie (00:13):
Freut mich, hier zu sein.

Clarke Rodgers (00:15):
Wenn Sie so nett wären, könnten Sie bitte etwas über Ihren Hintergrund erzählen. Sie sind der berühmte Innovator und Vordenker, der das Internet bis zu einem gewissen Grad in DNS miterfunden hat. Bitte erklären Sie uns das.

Paul Vixie (00:30):
Ich habe zwar eine frühe Rolle gespielt, aber ich bin nicht Al Gore, ich habe es nicht erfunden. Und mit DNS habe ich anfangs nur versucht, es für mich selbst zu reparieren. Ich habe Ende der achtziger Jahre bei einer Minicomputer-Firma gearbeitet und die Software war schrecklich und das Protokoll wurde nicht sehr gut verstanden. Also war es Selbstschutz und später blieb es hängen und ich gründete eine Firma, um das aufrechtzuerhalten. Und als ich das Unternehmen dann verließ, gründete ich ein Startup im Sicherheitsbereich.

Irgendwann während all dessen wurde ich in die Internet Hall of Fame aufgenommen und promovierte. D. in Keio, an der Keio-Universität in Japan, was ein seltsamer Weg ist, um zu enden, da alles 1980 mit dem Abbruch der High School begann.

Clarke Rodgers (01:18):
Oh wow. Gehen wir ein wenig darauf ein. Was war der Grund für den Abbruch der High School und den Wechsel in den Technologiebereich?

Paul Vixie (01:28):
Ich hatte zu der Zeit in Teilzeit gearbeitet, kleine Jobs im Bereich Minicomputer. Als mein Vertrauenslehrer also sagte: „Ja, du wirst nächstes Jahr wieder in die Oberstufe gehen“, lag das daran, dass ich meine ganze Zeit im Computerraum verbracht hatte.

Clarke Rodgers (01:43):
Oh wow.

Paul Vixie (01:44):
Mir wurde also klar, dass es wahrscheinlich nicht besser werden wird und ich einfach rausgehen sollte. Später habe ich diesen Job aufgegeben, wie es in diesem Alter unvermeidlich ist. Aber ja, das lag alles daran, dass ich ein schlechter Schüler war, weil ich zu viel Zeit mit Programmieren verbracht habe.

Clarke Rodgers (02:00):
Nun, ich denke, am Ende hat sich das Blatt für Sie gewendet.

Paul Vixie (02:03):
Ich freue mich über all die seltsamen Entscheidungen, die getroffen wurden.

Clarke Rodgers (02:08):
Wenn Sie so nett wären, erzählen Sie mir bitte ein wenig über Ihre Rolle hier bei AWS.

Paul Vixie (02:13):
Ich habe also zwei Rollen, vielleicht drei. Ich wurde als Vice President, Distinguished Engineer eingestellt – das ist eine sehr kleine Gruppe von sehr erfahrenen Leuten. Diese Rolle ist also sehr selbstbestimmt. Als Vice President, Distinguished Engineer besteht unsere Aufgabe darin, Probleme zu finden und zu lösen. Es kommt sehr selten vor, dass jemand sagt: „Paul, du musst jetzt diese bestimmte Sache tun.“ Es ist also eine große Ehre in einem Unternehmen dieser Größe, soviel Freiheit zu bekommen, vor allem, wenn man fünfundzwanzig Jahre später kommt und nicht weiß, wie man hier gelandet ist. Das war also enorm wichtig.

Nun wurde ich im Sommer zum Deputy CISO für AWS ernannt und zufällig gebeten, das Office of the CISO zu leiten. Sie können sich das Office of the CISO als Lösungsarchitekten auf C-Level vorstellen. Wenn es ein Gespräch mit dem Kunden gibt, bei dem jemand aus seinem C-Level anwesend sein wird, möchten wir normalerweise unseren CISO in diesen Raum bringen. Das Problem ist, dass wir nur einen CISO haben und wir haben viele Räume. Also sind wir quasi die Backup-Band für den CISO und das sind ein halbes Dutzend Leute, die absolut an der Spitze ihres Fachs sind. Und ich habe mit ihnen zusammengearbeitet, ich habe mich sogar bei ihnen eingegliedert, um mit Kunden in Kontakt zu kommen. Und das ist, glaube ich, der Grund, warum ich beauftragt wurde, dieses Team zu leiten.

Clarke Rodgers (03:44):
Gab es etwas, das Sie wirklich zu AWS gebracht hat?

Paul Vixie (03:47):
Es war die Beschreibung des Jobs. Mit anderen Worten, wenn man mich gebeten hätte, hierher zu kommen und als VP für dieses oder jenes zu fungieren und für eine bestimmte Funktion verantwortlich zu sein, hätte ich gesagt: „Ja, das habe ich schon gemacht.“ Aber es handelt sich hier in erster Linie um eine Position im Technologiebereich. Der Teil meines Jobs, den man als Distinguished Engineer bezeichnet, besteht darin, als einzelner Mitarbeiter die Führungsebene zu unterstützen. Und um zu verstehen, warum das aufregend war: Das letzte Mal, als ich das Wort „Engineer“ in meinem Titel hatte, war auch das letzte Mal, dass mir jemand anderes als ich ein Angebotsschreiben schrieb – und das endete 1993. Seitdem war ich nur CEO von Startups und ja, ich war immer ein CEO, der programmiert hat, aber immer noch kein wirklich professioneller Ingenieur. Das war in keinem meiner Unternehmen meine Hauptaufgabe.

Es war also schmeichelhaft, wieder auf den ursprünglichen Weg zurückzukehren, auf dem ich ohne all diese Startups gewesen wäre, und nur ein einfacher Ingenieur zu sein. Ich hätte nicht gedacht, dass ich das noch kann. Sie mussten mich irgendwie dazu überreden. Aber als sie mir die Stelle beschrieben hatten, hatte ich diese Stimme in meinem Kopf, die sagte: „Ja, da willst du wirklich wieder hin.“ Ich war mir nicht sicher. Ich hatte keine Ahnung, dass mich gerne jemand einstellen würde, denn ich bin in der Internet- und Sicherheitsbranche eine zweitrangige öffentliche Person, die als Bombenwerfer bekannt ist. Deshalb hätte ich mich für zu kontrovers für diesen Job gehalten. Sie waren anderer Meinung. Bisher hatten sie recht.

Clarke Rodgers (05:22):
Sie sind jetzt also schon eine Weile hier. Sie konnten sich ein wenig umschauen. Was waren Ihre Eindrücke speziell von der Sicherheitskultur bei AWS?

Paul Vixie (05:32):
Ich habe meinen verschiedenen Startup-Unternehmen an Unternehmen wie dieses verkauft. Die Unternehmensführung ist fast überall gleich, mit der Ausnahme, dass das Sicherheitsteam hier schon so lange hier ist, dass wir zu Recht behaupten, dass Sicherheit oberstes Gebot ist – und das ist nicht nur eine Behauptung. Dies spiegelt sich im gesamten Organigramm, in den Betriebsplänen und in den Budgetprioritäten wider.

Mit anderen Worten: Natürlich sind wir hier, um unsere Kunden zufriedenzustellen, so wie es hoffentlich jedes Unternehmen tut. Der Unterschied besteht darin, dass wir für unsere Kunden nichts tun, was ihre Sicherheit gefährdet. Wir lassen die Sicherheit niemals außen vor. Das ist es, was hier anders ist.

Clarke Rodgers (06:20):
Können Sie uns einen Blick hinter die Kulissen gewähren, wenn Sie beispielsweise in dieser Rolle als Distinguished Engineer tief in ein Serviceteam eintauchen: Gibt es Konflikte, wenn es um die Veröffentlichung von Features oder um Sicherheitskorrekturen geht? Oder heißt es einfach: „Nein, es muss eine Sicherheitskorrektur durchgeführt werden.“ Wie sehen diese Diskussionen aus?

Paul Vixie (06:42):
Wir erhalten keine Beschwerden in der Form: „Mensch, wenn du diese Einführung aufgrund der Ergebnisse von Anwendungssicherheitstests usw. blockierst, kommen wir in Verzug. Wir werden unser Zeitfenster verpassen, und das ist bereits im Gange.“ Das passiert nicht. Das darf bewusst und ausdrücklich nicht passieren. Was wir manchmal bekommen, ist die Frage, ob es nur ein „Soll“ oder aber ein „unbedingtes Muss“ ist. Dann sage ich oder jemand anderes, der die AWS-Sicherheit vertritt: „Das wird Probleme verursachen und es wird viel teurer sein, es später zu beheben.“ Die Serviceteams hier haben Autonomie auf dieser Ebene.

Sie können entscheiden, was wichtig ist, aber sie wissen, dass, wenn es ein Sicherheitsproblem gibt, die Tatsache, dass wir mit ihnen darüber sprechen, registriert werden wird. Sie werden einiges zu erklären haben. Und ja, manchmal gibt es Spannungen, weil offensichtlich jeder einen Chef hat und wenn der Chef sagt, wir müssen das bis zu einem bestimmten Datum haben, dann hält man sich daran. Dafür haben wir Verständnis. Wir wollen nichts in die Luft jagen. Aber wir wissen, dass die Leute, mit denen wir zusammenarbeiten, das Hauptziel haben, ihre Kennzahlen zu erfüllen, und wir sind die zweite oberste Direktive.

Clarke Rodgers (08:09):
Lassen Sie uns also zu Ihrem anderen Job wechseln, bei dem Sie das Office of the CISO leiten, viel Kontakt zu unseren Kunden haben und mit ihnen auf der ganzen Welt interagieren, entweder persönlich oder virtuell. Eines der Instrumente, an denen Sie bei AWS teilgenommen haben, sind die AWS CISO Circles. Könnten Sie ein wenig darüber und Ihre Erfahrung damit erzählen?

Paul Vixie (08:30):
Meine Einführung in CISO Circles lautete: „Mensch, Paul, könntest du nach ... gehen“ – in diesem Fall war es Madrid – „und an einem CISO Circle teilnehmen?“ Also musste ich sagen: „Was ist das und wie würde meine Teilnahme aussehen?“ Ich war zu dieser Zeit erst ein Jahr hier. Es mag sein, dass dies jemanden erfordert, der über ein größeres Fachwissen darüber verfügt, wer wir sind und wie wir hierher gekommen sind, als ich es derzeit habe. Und ich ging hin und es war großartig, denn wir hatten ein paar CISOs aus einer bestimmten Branche, die zusammengekommen waren. Und die ganze Sache steht unter einer Geheimhaltungsvereinbarung. Sie können frei sprechen, weil keine der anderen anwesenden Leute erzählen werden, was Sie gesagt haben.

Clarke Rodgers (09:20):
Chatham House Rule.

Paul Vixie (09:21):
Chatham House Rules, und dies sind in einigen Fällen Konkurrenten. Sie sind CISOs von Unternehmen, die vielleicht in derselben Branche oder in derselben Region tätig sind, und sie würden normalerweise keine Ideen oder Erfahrungen austauschen. Aber da sie bei uns zu Besuch waren, und wir gemeinsam dort waren, haben wir die Diskussion moderiert und sie mit einigen Präsentationen über verschiedene Technologien angeregt. Wir haben die Unterhaltung gefördert, Herausforderungen angesprochen, und letztendlich das gefördert, was sich als ein Diskussionspunkt unter ihnen herausstellte.

Es war wunderschön zu sehen, denn das ist eines der Dinge, zu denen jedes mittlere bis große Unternehmen in der Lage sein muss: von den Erfahrungen seiner Konkurrenten zu profitieren. Und wir sollten nicht versuchen, darum zu konkurrieren, wer sicherer ist. Denn wenn Sie und ich in derselben Branche sind und Sie erwischt werden, tut mir das auch weh und es bedeutet wahrscheinlich, dass ich der Nächste bin. Also auf diese Weise ...

Clarke Rodgers (10:24):
Der Austausch von Informationen und bewährten Methoden ...

Paul Vixie (10:26):
Ja, wir müssen in einigen Bereichen Schulter an Schulter stehen, auch wenn wir in anderen konkurrieren. Und am Ende lernten sie sich kennen und fanden heraus, wie viel Vertrauen sie sich entgegenbringen konnten, ohne die Geheimnisse ihres Unternehmens zu riskieren und so weiter. Und die Absicht ist, dass sie nach der Veranstaltung miteinander in Kontakt bleiben. Und natürlich bedeutet das unweigerlich, dass jemand sagt: „Oh, ich hatte an diesem Tag diese schreckliche Erfahrung mit einer API in der Cloud“, und jemand anderes wird sagen: „Nun, bei mir funktioniert es.“ Und wenn sie sich am Ende gegenseitig über uns beschweren, dann sollten wir das auch akzeptieren.

Wir werden nicht in der Lage sein, unseren Kunden besser zu dienen, wenn wir nicht wissen, was schief läuft. Es stellt sich also heraus, dass es für uns eine riesige Quelle für Business Intelligence ist. „Oh, ich wünschte, ich hätte ...“ und manchmal sagt man: „Das gibt es tatsächlich.“ Wir sind ein sehr großes Unternehmen und wir innovieren viel, und wir entwickeln neue Features oder neue Technologien in einer Geschwindigkeit, mit der kein Kunde Schritt halten könnte. Ich meine, es ist mein Job, das zu tun, und es fällt mir schwer, damit Schritt zu halten.

Wir brauchen also eine Kundenschnittstelle, bei der jemand weiß, was die Probleme der Kunden und der Branche sind, was sie tun und wie sie es tun, wo ihre Schwachstellen liegen. Es stellt sich heraus, dass wir Leute haben, die das tun, von denen die Kunden nicht wissen, dass sie sich die Zeit nehmen sollten, sich regelmäßig mit ihnen zu treffen. Und wenn der CISO Circle dazu beiträgt, dass das passiert, dann hoffe ich, dass es sich dann durch Mundpropaganda verbreitet und zu einer Bewegung wird.

Clarke Rodgers (11:59):
Fantastisch. Nun, Paul, vielen Dank, dass Sie heute zu mir gekommen sind.

Paul Vixie (12:02):
Es war großartig. Nochmals vielen Dank für die Einladung.