Die Rolle des CEO in der Sicherheitsführung

Clarke Rodgers (00:05):
Die Sicherheitsführung muss an der Spitze beginnen. Wenn sich die Unternehmensleitung zusammensetzt, um die Unternehmensstrategie zu besprechen, muss Sicherheit nicht nur einen Platz am Tisch haben, sondern für alle an erster Stelle stehen.

Ich bin Clarke Rodgers, Direktor für Enterprise Strategy bei AWS und führe Sie durch eine Reihe von Gesprächen mit AWS-Sicherheitsverantwortlichen hier auf Executive Insights.

Mein heutiger Gast braucht keine Einführung: Adam Selipsky, CEO von AWS. Hören Sie zu, während wir darüber sprechen, wie die Sicherheitskultur bei AWS zu Beginn etabliert wurde, wie die Kommunikation zwischen dem CEO und dem CISO aussieht und wie Adam Sicherheitsinitiativen von oben unterstützt. Danke, dass Sie zu uns gekommen sind.

Clarke Rodgers (00:46):
Adam Selipsky, CEO von Amazon Web Services. Vielen Dank, dass Sie heute bei mir sind.

Adam Selipsky (00:50):
Es ist mir eine Freude, hier zu sein.

Clarke Rodgers (00:51):
Machen wir also einen Schritt zurück in die Geschichte. Also, es ist 2005. Sie hatten den Segen von Jeff Bezos, mit diesem kleinen Experiment namens „AWS“ fortzufahren. Wie sind Sie an die sehr frühen Gespräche zum Thema Sicherheit mit diesen Kunden herangegangen? Und ich kann mir vorstellen, dass es zu diesem Zeitpunkt viele Kunden gibt, die sagten: „Was ist Cloud?“ „Was ist verteiltes Computing?“ Sie haben vielleicht nichts davon. Aber was für Sicherheitsgespräche, wenn überhaupt, fanden zu dieser Zeit statt?

Adam Selipsky (01:22)
Es war ein sehr neues Konzept, und zugegebenermaßen war es für viele Menschen nicht intuitiv, dass Sie Ihre Workloads hergeben und sie „irgendwo da draußen“ ausführen lassen würden. Natürlich heißt es deshalb Cloud, denn es ist irgendwo da draußen. Es ist also verständlich, dass es eine Menge an Überzeugung erforderte. Aber es begann für die Leute wirklich Sinn zu machen, als wir einige der Grundlagen erklärt hatten. Die größte davon war, dass Amazon in all dem wirklich gut werden musste, weil es kein AWS gab.

Clarke Rodgers (01:49):
Auf jeden Fall.

Adam Selipsky (01:50)
Deshalb musste Amazon wirklich gut darin sein, eine Infrastruktur zu betreiben, die hochskaliert, hochverfügbar, äußerst kostengünstig und natürlich sehr betrieblich verfügbar und sicher war. Und wir haben wirklich auf all dem Fachwissen innerhalb von Amazon aufgebaut, das in einer Größenordnung operierte, in der, ehrlich gesagt, selbst zu diesem Zeitpunkt nicht viele Unternehmen tätig waren. Und so haben wir AWS entwickelt. Und eine der großen Prämissen war, dass es eine Menge undifferenzierter Schwerstarbeit gab. Manchmal nannten wir es den „Dreck“ der Infrastruktur. Und die meisten Unternehmen sollten wirklich nicht gut in dieser Infrastruktur sein müssen.

Wenn Sie Autos verkaufen, wenn Sie Filme streamen, wenn Sie Medikamente entwickeln, warum sollten Sie dann gut darin sein, eine riesige Infrastruktur zu betreiben und sie verfügbar und sicher zu halten, sie kostengünstig zu halten und innovativ zu sein? Und das war natürlich das Geschäft von AWS.

Clarke Rodgers (02:50):
Richtig.

Adam Selipsky (02:51)
Und so war es für uns sinnvoll, in all diesen Dingen wirklich gut zu sein. Als eines der wichtigsten Elemente davon würden wir unseren Sicherheitsansatz erläutern, der darin bestand, dass es bei AWS die absolut erste Aufgabe war.

Ich stelle sicher, dass ich das sehr laut sage, weil es einfach wichtiger ist als alles andere, was wir tun. Tatsächlich waren wir von Anfang an sehr klar. Früher sagten wir, dass es nur sehr wenige potenzielle Ablaufereignisse für AWS gibt, aber das falsche Sicherheitsproblem war eines der wenigen Dinge, die für das Unternehmen ein Ablaufereignis sein könnten, insbesondere in der Anfangszeit. Und wir haben es so ernst genommen.

Clarke Rodgers (03:44):
Hat das also bestimmte Verhaltensweisen in den Produktteams beeinflusst, als sie diese neuen Dienste wie SQS, S3 und EC2 entwickelten?

Adam Selipsky (03:54):
Wir haben wirklich dafür gesorgt, dass wir die absolut beste und größte Sicherheit haben, die wir haben könnten, indem wir ein sehr gut definiertes Eigentumsmodell haben. Es ist wirklich ... ich schätze, man könnte es eine Matrix nennen. Wir haben also ein großes, hochqualifiziertes, absolut erstklassiges Sicherheitsteam von Weltklasse. Wir haben Tausende von Menschen, die sich um nichts anderes als um Sicherheit sorgen. Nicht viele Unternehmen können sagen ... es wäre für die meisten Unternehmen wirtschaftlich nicht sinnvoll, das zu tun.

Deshalb entwickelt unser Sicherheitsteam, unser zentralisiertes AWS-Sicherheitsteam, viele technische Fähigkeiten und verfügt über viele Experten, die bei der Prüfung und Beratung helfen und die Strategie vorantreiben. Gleichzeitig sind unsere Serviceteams, EC2, S3, DynamoDB, Connect, Amazon Bedrock, oder was auch immer, alle zu 100 % Eigentümer ihrer Sicherheitsservices. Sicherheit wird nicht an das Sicherheitsteam ausgelagert.

Wenn es also ein Problem mit einem unserer Services gibt, kümmert sich GM voll und ganz darum, fühlt sich voll verantwortlich, ist voll verantwortlich und hat natürlich die volle Partnerschaft mit unserem Sicherheitsteam. Und ich denke, wenn wir diese Sicherheit in die Kultur unseres Serviceteams einbauen, stellen wir sicher, dass wir sie dann auch in den Service integrieren. Dies ist entscheidend. Wir bauen es vom ersten Tag an in den Service ein – wir kommen nicht im Nachhinein. Wir verbessern natürlich ständig die Sicherheit, aber wir integrieren grundlegende, grundsolide Sicherheit auf Unternehmensebene in alles, was wir in jedem Service tun, von dem Moment an, in dem wir mit der Entwicklung beginnen.

Clarke Rodgers (05:43):
Und das ist sehr sinnvoll, weil dieser Servicebesitzer dem Ding, das er baut, am nächsten ist. Sie wissen also, welchen Risiken usw. diese speziellen Risiken ausgesetzt sind.

Adam Selipsky (05:52)
Nun, alle Sicherheitsprobleme werden nicht von einem zentralen Sicherheitsteam eingeführt. Sie würden unbeabsichtigt von Ihrem eigenen Team eingeführt werden. Es ist also besser, dass Ihr eigenes Team in erster Linie das Problem erkennt und repariert. Und wir haben wirklich ein Konzept mit Hand und Fuß und unser Sicherheitsteam verfügt über eine Reihe sehr robuster Funktionen.

Clarke Rodgers (06:09):
Auf jeden Fall. Es sind also 17,5 Jahre seit der ersten Markteinführung vergangen. Wie ist die Sicherheit? Und wenn ich Sicherheit sage, meine ich auch Risiko- und Compliance-Gespräche. Wie haben sich diese in Ihren Interaktionen mit Kunden entwickelt?

Adam Selipsky (06:26)
Ich glaube, das Sicherheitsgespräch begann mit „Könnte das wirklich sicher sein?“ Und das haben wir natürlich behandelt. Wir haben das schnell hinter uns gelassen, und ich glaube, es gab einige wegweisende Momente, in denen Netflix dies angekündigt hat – und sie sind übrigens sehr leistungsfähig, sie können jede dieser Funktionen entwickeln, aber sie haben sich dagegen entschieden. Als sie ankündigten, dass sie im Wesentlichen aus dem Rechenzentrumsunternehmen aussteigen und ihre gesamte Infrastruktur auf AWS umstellen würden – was implizit die gesamte Sicherheit und die gesamte Verfügbarkeit bedeutete –, glaube ich, haben viele Leute das wirklich zur Kenntnis genommen. Und das änderte den Verlauf der Gespräche.

Wir hatten eine Reihe von Regierungsbehörden, darunter prominente Mitglieder der Nachrichtendienste der US-Regierung, die öffentlich sagten, dass AWS eine bessere Sicherheit bietet als in ihren eigenen Rechenzentren. Und wieder haben viele Leute, darunter große Unternehmen, Banken, Pharmaunternehmen usw., das zur Kenntnis genommen. Es gab große Kunden wie diese, die sagten: „Das ist ein großartiges Sicherheitsmodell, wir werden AWS diese Funktionen anvertrauen.“ Ich denke, viele andere Unternehmen haben das zur Kenntnis genommen.

Clarke Rodgers (07:35):
Letztes Jahr, in der zweiten Staffel der Serie, hatte ich das Privileg, den CISO von AWS zu interviewen, und wir sprachen über Sicherheitsmechanismen, was in großen Organisationen funktioniert und was nicht so gut funktioniert. Und einer der effektivsten Mechanismen, auf die er sich bezog, war das wöchentliche CEO/CISO-Treffen bei AWS. Und natürlich sagte er, dass dies den Ton für den Rest der Organisation angibt. Es hält den CEO darüber auf dem Laufenden, was im Sicherheitsbereich vor sich geht. Es hält den CISO darüber auf dem Laufenden, was für den CEO wichtig ist.

Meine Frage an Sie lautet also: Ich würde gerne Ihre Sicht auf dieses Treffen hören. Also keine eines Sicherheitsexperten, sondern Ihre Perspektive als Unternehmensleiter. Wie funktioniert das Treffen für Sie?

Adam Selipsky (08:20):
In diesem speziellen Fall ist einer unserer vielen Sicherheitsmechanismen dieses wöchentliche Treffen, das ich und mein Chief Information Security Officer, Chris Betz, gemeinsam veranstalten. Und wie Sie bereits erwähnt haben, sendet es ein kulturelles Signal. Es ist also ein wöchentliches Treffen, kein Scherz. Und wir priorisieren es. Und der Inhalt ist unglaublich einfach. Wir gehen auf die drei wichtigsten Sicherheitsprobleme ein, die in der letzten Woche aufgetaucht sind.

Wir haben immer das Treffen und es sind immer zwei oder drei. Manchmal mag es „interessanter“ sein als andere Male, aber wir treffen uns immer. Wir schauen uns immer die Wichtigsten an und prüfen sie sehr gründlich. Es ist also keine Präsentation. Ganz im Amazon-Stil gibt es ein schriftliches Dokument, eine schriftliche Zusammenfassung des Sicherheitsproblems. Es wurde vor dem Treffen sorgfältig geprüft und ist vollständig und enthält genau, wo wir uns befinden und welche genauen nächsten Schritte zu diesem Sicherheitsproblem unternommen werden müssen. Und die Leute aus dem entsprechenden Serviceteam und natürlich dem Sicherheitsteam, alle, die direkt involviert sind, nehmen alle an dem Treffen teil.

Und es ist auf jeden Fall lehrreich. Es ist manchmal bequem und manchmal, ehrlich gesagt, weniger bequem, weil wir das unglaublich ernst nehmen und wenn wir ein Problem sehen, das behoben werden muss, irgendwelche Verhaltensweisen, die sich ändern müssen, irgendetwas, was wir technisch anders machen müssen, um die gewünschten Ergebnisse zu erzielen, dann gehen wir in diesem Meeting sehr offen damit um. Ich denke, das sendet auch ein kulturelles Signal aus, dass wir das absolut todernst meinen. Und so hilft es technisch, uns besser zu machen. Und ich denke, es ist auch wichtig, kulturell zu bekräftigen, dass Sicherheit bei Amazon tatsächlich immer noch von oberster Wichtigkeit ist.

Clarke Rodgers (10:13):
Also ein leichter Kurswechsel von da an, Ihre Branchenführer. Wie ziehen Sie sie für die Sicherheit ihres jeweiligen Services oder eines anderen Unternehmens, das sie innerhalb von AWS betreiben, zur Rechenschaft?

Adam Selipsky (10:24)
Nun, im Allgemeinen ziehen sie sich selbst zur Rechenschaft. Und das ist die Kultur, die wir darauf aufgebaut haben, was bei weitem eine bessere Antwort ist, als wenn jemand anderes versucht, sie zur Rechenschaft zu ziehen. Also, ich denke, mit der Kultur, die wir rund um Sicherheit aufgebaut haben, mit dem klaren Eigentumsmodell haben wir etabliert, dass es wirklich Teil ihrer täglichen Arbeit ist und keine zusätzliche Sache. Und mit Mechanismen wie dem wöchentlichen Sicherheitstreffen, an dem sie natürlich teilnehmen, wenn es ihr Team ist, das in dieser Woche ein Problem hat, denke ich, dass das wirklich viele verschiedene Kräfte erzeugt, die dazu beitragen, dass sie sich selbst zur Rechenschaft ziehen. Und so ist es wirklich viel einfacher, viel besser.

Es ist wichtig, ein zentralisiertes Sicherheitsteam zu haben. Sie sind diejenigen, die wahre Experten für alles zum Thema Sicherheit sind. Sie können sich die bewährten Methoden aller unserer Teams ansehen. Sie sind diejenigen, die sicherstellen können, dass, wenn es ein Team gibt, von dem wir vermuten, dass wir in Bezug auf die Sicherheit etwas anderes tun müssen, sie mit den Führungskräften in diesem Team sprechen können, seien es technische oder geschäftliche Führungskräfte. Also, ich denke wirklich, dass es diese vielfältigen Mechanismen sind, die alle zusammenkommen, die dem Team wirklich die Verantwortung übertragen.

In den seltenen Fällen, in denen es ein Problem mit dem Team gibt, wird sofort deutlich, dass wir erwarten, dass dieses Team das Problem versteht und dass dieses Team das Problem behebt. Natürlich werden sie Hilfe von jedem bekommen, von dem sie Hilfe benötigen, aber das gehört ihnen.

Wir hatten eine Reihe von Regierungsbehörden, darunter prominente Mitglieder der Nachrichtendienste der US-Regierung, die öffentlich sagten, dass AWS eine bessere Sicherheit bietet als in ihren eigenen Rechenzentren. Und wieder haben viele Leute, darunter große Unternehmen, Banken, Pharmaunternehmen usw., das zur Kenntnis genommen. Es gab große Kunden wie diese, die sagten: „Das ist ein großartiges Sicherheitsmodell, wir werden AWS diese Funktionen anvertrauen.“ Ich denke, viele andere Unternehmen haben das zur Kenntnis genommen.

Clarke Rodgers (11:53):
Ich denke, das ist ein wirklich wichtiger Punkt, den es herauszustellen gilt, dass dieser Unternehmensleiter die Verantwortung für die Sicherheit sowie die Funktionalität des Produkts, das sie entwickeln, und für die Gewinn- und Verlustrechnung hat, oder? Viele unserer Kunden haben diese Zuständigkeiten getrennt, und manchmal gibt es deswegen ein Problem, aber diesen einzigen Weg der Verantwortung zu haben, ist fantastisch.

Adam, vielen Dank, dass Sie sich die Zeit genommen haben, um sich heute mit mir zu treffen.

Adam Selipsky (12:16):
Es ist mir ein Vergnügen. Vielen Dank.