Das Sicherheitsgeschäft

Clarke Rodgers (00:07):
Chris Betz, AWS Chief Information Security Officer. Danke, dass du heute bei mir bist.

Chris Betz (00:11):
Es ist toll, hier zu sein. Vielen Dank. Danke, dass ich dabei sein darf.

Clarke Rodgers (00:13):
Also, wie bist du von Capital One zu AWS gekommen und AWS CISO geworden? Mit deiner großen Erfahrung als Führungskraft hättest du überall hingehen können. Warum genau zu AWS?

Chris Betz (00:25):
In den Jahren, die ich dort verbrachte, wurde mir immer wieder klar, wie sehr unsere Arbeit von der Sicherheit von AWS abhing. Wie du weißt, ist Capital One ganz auf die Cloud umgestiegen und hat seine Rechenzentren geschlossen. Bei meiner Tätigkeit für Capital One, bei der Sicherheitsarbeit dort mit AWS, wurde mir klar, wie unglaublich wichtig die Technologie ist, die wir für das Vertrauen und die Sicherheit so vieler Unternehmen einsetzen.

Und ehrlich gesagt, als sich die Möglichkeit auftat, mich nicht einfach nur auf AWS zu verlassen, sondern Teil dieses Systems zu werden, dem so viele Unternehmen und Menschen auf der ganzen Welt vertrauen, wenn es um Sicherheit geht, konnte ich nicht widerstehen. Ich schätze die Art und Weise, wie du diese Frage formuliert hast: „Du hättest überall hin gehen können.“ Ich sehe das genau andersherum. Dies ist einer dieser Jobs, der den absoluten Höhepunkt einer Karriere im Sicherheitsbereich darstellt, nämlich die Möglichkeit, Teil des Sicherheitsteams von AWS zu werden.

Clarke Rodgers (01:31):
Das klingt hervorragend. Jetzt, wo du schon eine Weile bei AWS bist, was sind deine Beobachtungen, die dir als Kunde vielleicht nicht so klar waren? Und jetzt, wo du ein Teil des Ganzen und für die Sicherheit verantwortlich bist, was hat sich da für dich geändert? Hat sich deine Perspektive als Insider geändert?

Chris Betz (01:49):
Es ist eine Sache, die Gespräche zu hören. Ich habe Geschichten darüber gehört, dass Sicherheit bei AWS kompromisslos oberste Priorität hat. Ich habe Gespräche über die wöchentliche Sicherheitsbesprechung gehört. Eine der am häufigsten erzählten Geschichten meines Vorgängers ist die, dass sich der CEO von AWS jede Woche mit allen AWS-Führungskräften zusammensetzt und sie die wichtigsten Sicherheitsaspekte besprechen, auf die wir uns konzentrieren müssen, Bereiche, die wir verbessern müssen.

Es ist eine Sache, nur davon zu hören. Es ist eine ganz andere Sache, es zu erleben, diese Gespräche zu führen, von meinen Geschäftspartnern, meinen Technologiepartnern, herausgefordert zu werden, Fragen wie „Gehen wir schnell genug voran? Erhöhen wir die Messlatte genug? Bleiben wir den Bedrohungen immer einen Schritt voraus? Wo werden wir Angreifer sehen?“ gestellt zu bekommen. Und unsere Kunden in Bezug auf die Sicherheit genauso gut aufgestellt sein zu lassen, wie ich und mein Team es sind. Und das ist einfach ein großartiges Erlebnis und irgendwie einzigartig.

Clarke Rodgers (02:55):
Das klingt hervorragend. Und dann übernimmst du natürlich auch die Sicherheitskultur. Du hast die CEO/CISO-Besprechung erwähnt, deren Grundgedanke einfach alles durchdringt.

Chris Betz (03:05):
Ganz genau! Ich bin in der Sicherheitsabteilung, also wird das in jedem Gespräch, das ich führe, bis zu einem gewissen Grad zum Ausdruck kommen, aber es ist unglaublich, einfach an Besprechungen teilzunehmen, in denen es nicht einmal um Sicherheitsthemen geht. Als leitende Führungskraft schätze ich an AWS unter anderem, dass das Unternehmen Sicherheit auch in nicht sicherheitsspezifische Besprechungen einbezieht. Ich meine, ich kann an diesen Gesprächen teilnehmen und andere Leute Fragen zur Sicherheit stellen lassen, und wir können gemeinsam überlegen: „Wie können wir das besser machen?“ Wie du schon sagtest, diese Kultur, die überall ist, ist wirklich, wirklich wichtig.

Clarke Rodgers (03:36):
Das sehe ich auch so. Sprechen wir darüber, wie man ein Sicherheitsprogramm umsetzt. Welche Schlüsselindikatoren oder Messungen verwendest du, um die Wirksamkeit deines Sicherheitsprogramms nachzuweisen? Nicht nur hier bei AWS, sondern auch in deinen früheren Positionen?

Chris Betz (03:56):
Das ist eine wirklich gute Frage. Und wenn mir diese Frage gestellt wird, erwarten die Leute oft, dass ich zu Metriken oder Messungen und solchen Dingen übergehe. Und es gibt sicherlich eine Reihe von Metriken und Messungen, anhand derer wir beschreiben können, was im Bereich Sicherheit vor sich geht. Aber eines der Dinge, die meiner Meinung nach wirklich ein Frühindikator sind, ist der Grad, in dem das Unternehmen und die Technologieorganisationen Sicherheit als Voraussetzung für die Umsetzung ihrer Programme betrachten, und das Ausmaß, in dem die Sicherheitsprogramme ihre Aufgabe darin sehen, den sicheren Weg für das Unternehmen und für Technologieanbieter zu einem einfachen Weg zu machen.

Wenn man diese beiden Aspekte zusammenfügt – den Grundgedanken, dass Sicherheit für Unternehmen und Technologieanbieter ein wesentlicher Bestandteil ist, und das Sicherheitsteam, das seine Rolle nicht nur darin sieht, Risiken zu eliminieren oder für Risiken verantwortlich zu sein, sondern auch das Unternehmen in die Lage zu versetzen, seine Geschäftsziele auf sichere Weise zu erreichen – dann verändert das ein Unternehmen sehr. Für mich sind diese Art von Chemie, diese Art von Einstellung und diese Ansätze die wichtigsten Indikatoren für den Erfolg eines Unternehmens, wenn es darum geht, Sicherheit zu einem wirksamen Teil seiner betrieblichen Abläufe zu machen.

Clarke Rodgers (05:21):
Du hast vorhin erwähnt, dass du jetzt an Besprechungen teilnimmst, bei denen die Sicherheit vielleicht nicht im Mittelpunkt steht, aber du zumindest damit konfrontiert bist, was ein Zeichen dafür ist, dass „Sicherheit wichtig ist und wir einen Platz am Tisch haben wollen“.

Chris Betz (05:32):
Das stimmt. Und das ist ein Teil der Herausforderung: Wir beide sind in einer Welt aufgewachsen, in der die Sicherheit aus der Technologie erwachsen ist, aber heutzutage verlangen wir von den Sicherheitsverantwortlichen, Führungskräfte mit Verantwortung zu sein, sich mit den anderen Führungskräften im Unternehmen zusammenzusetzen und Teil dieser Gespräche zu sein. Dass sie verstehen, was Risiko für das Unternehmen bedeutet, welche Risiken für das Unternehmen bestehen und wie sie dazu beitragen, dass die Menschen sicher sind, während sie gleichzeitig die anderen Risiken managen und den Geschäftserfolg sichern. Deshalb denke ich, dass das für so viele Sicherheitsverantwortliche immer wichtiger wird.

Clarke Rodgers (06:07):
Und das ist ein guter Übergang zu meiner nächsten Frage. In meinen Gesprächen mit Kunden, und ich nehme an, auch in deinen, wollen viele von ihnen wissen, wie sie dem Vorstand am effektivsten über Risiken Bericht erstatten können. Hast du irgendwelche Tipps oder Anleitungen, wie du es machst oder wie du es angehst, wenn du dem Verwaltungsrat über Cyberrisiken berichtest?

Chris Betz (06:30):
Das ist eine großartige Frage, und ehrlich gesagt habe ich noch nie zwei Unternehmen gesehen, die das auf die gleiche Weise machen. Das liegt zum Teil daran, dass es wichtig ist, im Geschäftskontext über Risiken zu sprechen. Wenn du mit Leuten aus dem Verwaltungsrat sprichst, ist es unglaublich wichtig zu verstehen, wer dein Gegenüber ist, welche Art von Führungskräften ihm angehören und wo deren Fachgebiet liegt.

Wenn ich hier bei AWS mit dem Verwaltungsrat spreche, bin ich von Leuten umgeben, die sich in vielen Aspekten der Technologie, aber auch in anderen Aspekten des Geschäfts unglaublich gut auskennen. Die Gespräche, die ich hier führe, sind also ganz anders, als wenn ich mich mit Verwaltungsratsmitgliedern unterhalte, in dem Experten für eine bestimmte Art von Geschäft, z. B. für den Einzelhandel oder für etwas anderes, sitzen – diese Experten bringen einen anderen Ansatz, ein anderes Wissen mit.

Und eines der wichtigsten Dinge, und das geht zurück auf das Gespräch, das wir gerade über den CISO als Führungskraft geführt haben, ist, die Sicherheit im Kontext des Unternehmens zu verstehen.

Clarke Rodgers (07:32):
Und die Berichterstattung darauf abzustimmen.

Chris Betz (07:33):
Und darüber zu berichten, wie sie sich auf das Geschäft auswirkt. Als Sicherheitsverantwortliche tun wir eine Menge, aber ich neige dazu, das Ganze in vier wichtige Bereiche einzuordnen. Es ist unsere Aufgabe im Unternehmen, die Messlatte dafür festzulegen, was unserer Meinung nach „gut“ für unser Unternehmen ist. Was ist unsere Risikotoleranz? Was wollen wir erreichen? Es ist meine, oder unsere, Aufgabe als Sicherheitsverantwortliche, eine Quelle der Wahrheit und Transparenz zu sein. „So sieht unsere Leistung aktuell aus.“ Womit wir bei den Gesprächen zu Metriken angekommen wären.

Clarke Rodgers (08:08):
Wir verdienen uns das Vertrauen unserer Kunden, aber wir müssen uns auch das Vertrauen unserer Geschäftspartner verdienen.

Chris Betz (08:11):
Wir müssen Vertrauen in das Unternehmen gewinnen. Was mich zum dritten Bereich bringt, der fast noch wichtiger ist: Wir können nicht nur diese Quelle der Transparenz sein. Wir können nicht einfach auf ein Problem hinweisen. Wir als Sicherheitsverantwortliche müssen ein Lösungsanbieter sein, der dem Unternehmen Möglichkeiten bietet, dieses Sicherheitsrisiko effektiv und effizient zu reduzieren. Deshalb ist es unsere Aufgabe, diese Lösungen bereitzustellen und darüber nachzudenken, wie wir das tun.

Und der letzte, vierte Bereich ist, dass es auch unsere Aufgabe ist, Rechenschaft abzulegen, uns selbst Sicherheit zu verschaffen, dem Verwaltungsrat gegenüber transparent zu sein und dem Unternehmen darüber zu berichten, wie wir die von uns gesetzten Ziele erreichen. Es gibt so viele verschiedene Rollen, aber die Unternehmen, die meiner Meinung nach in diesem Bereich am erfolgreichsten sind, sind die mit Sicherheitsverantwortlichen, die nicht nur sagen: „Hier ist das Ziel, das wir erreichen müssen, und hier ist, wie nah wir dran sind“, sondern die sich darauf konzentrieren, das Unternehmen auf eine wirklich durchdachte Weise zu befähigen, dieses Ziel zu erreichen.

Clarke Rodgers (09:13):
Chris, vielen Dank, dass du heute bei mir warst.

Chris Betz (09:15):
Gern geschehen. Danke, dass ich dabei sein durfte.