Anpassung der Sicherheitspraktiken an das neue Bedrohungsumfeld

Sara Duffer:
Ich werde also weitermachen und einfach direkt loslegen. Sie sind also beide für die Sicherheit bei Amazon und AWS verantwortlich. Können Sie mir etwas über die Mechanismen erzählen, die Sie benutzen, um auf dem Laufenden zu bleiben?

Steve Schmidt:
Gerne. Ich denke, eines der Dinge, mit denen wir beginnen müssen, ist, dass nicht alle Unternehmen gleich sind, das ist den Leuten hier draußen klar. Aber wenn Sie eine große Organisation wie Amazon betreiben, ist es manchmal überraschend, wie unterschiedlich die Geschäftsabläufe innerhalb eines Unternehmens sind. Wir haben einige Organisationen, die extrem risikointolerant sind, andere, die viel eher bereit sind, unter bestimmten Umständen Grenzen zu überschreiten. Das hängt weitgehend von dem Geschäft ab, in dem sie tätig sind, von den Daten, mit denen sie umgehen usw. Und wir haben festgestellt, dass es für das gesamte Unternehmen notwendig ist, einheitliche Metriken zu haben, anhand derer wir einen grundlegenden Überblick darüber erhalten, wie es den Mitarbeitern aus Sicherheitsgründen geht. Und dann geschäftsspezifische oder maßgeschneiderte Berichte für jedes Unternehmen, das sich mit den Risiken befasst, denen sie ausgesetzt sind, und darüber, was sie in Bezug auf die Verwaltung der Daten, die ihnen ihre Kunden anvertraut haben, der Informationen, die sie haben, usw. am liebsten tun würden.

Eine gemeinsame Berichterstattung ist jedoch das Wichtigste, um uns ein einheitliches Bild zu machen. Wenn wir uns mit irgendjemandem unterhalten, vom CEO des Unternehmens, Andy Jassy, bis hinunter zu den unteren Ebenen, dann können wir eine gemeinsame Sprache sprechen. Wir können sehr schnell erkennen, wie ein Teil der Organisation im Vergleich zu einem anderen abschneidet, und vor allem weist es auf Lücken hin, an denen wir die Dinge nicht so untersuchen, wie wir es bräuchten, da wir bestimmte Verbesserungsmöglichkeiten in einem Teil der Organisation im Vergleich zu einem anderen gelernt haben. Und seien wir ehrlich, alle unsere Führungskräfte im Unternehmen sind wettbewerbsfähig. Wenn man also allgemeine Berichte verwendet, in denen sie mit ihren Kollegen verglichen werden, motiviert das die Verhaltensweisen, an denen wir wirklich interessiert sind. Es lenkt die Aufmerksamkeit der Leute in die richtige Richtung.

Chris Betz:
So ungern ich mich als intolerant bezeichne, sind wir bei AWS risikointolerant. Wir gehören also zu den Organisationen, die tatsächlich viel Zeit mit unseren geschäftsspezifischen Metriken verbringen. Selbst intern bei AWS finde ich, dass dieselben Ansätze in der Regel für uns funktionieren, dass der Wettbewerbscharakter und die unternehmensweite Nutzung dieses Wettbewerbs unglaublich mächtig sind. Und sehr, sehr eng mit dem Unternehmen verbunden zu sein und zu verstehen, dass AWS nicht die gleiche Risikotoleranz hat wie andere Unternehmen. Um zu verstehen, was uns wichtig ist, und um sicherzustellen, dass diese Geschäftsmetriken eng mit dem Unternehmen abgestimmt sind und in unsere Geschäftsprüfungsprozesse einfließen.

Sara Duffer:
Also, Steve, Sie haben erwähnt, dass Sie mit dem CEO, Andy Jassy, gesprochen haben. Wie kommunizieren Sie Sicherheits-Updates mit dem CEO und dem Vorstand?

Steve Schmidt:
Kommunikation mit dem CEO, und das sollte sie aus meiner Sicht auch sein, bzw. mit den CEOs, denn wir haben mehrere CEOs bei Amazon, ist auf die Art und Weise zugeschnitten, wie ihr Unternehmen arbeitet. Chris hält zum Beispiel ein wöchentliches Meeting mit dem CEO von AWS ab, weil die Sicherheitsabläufe dort in der Regel sehr schnell sind. Wir müssen sehr schnell auf Bedrohungen reagieren, wir müssen die Veränderungen in der Umgebung verstehen, die wir um uns herum haben. Wir müssen in der Lage sein, unsere Reaktionen auf die Art und Weise, wie die Welt um uns herum funktioniert, angemessen zuzuschneiden. Wir arbeiten auch mit Doug Herrington zusammen, dem CEO des Ladengeschäfts, aber in einem Bereich, der sich mehr auf sein Geschäft konzentriert, bei dem das Rotationsintervall in der Regel etwas anders ist, egal ob es sich um einen Monatsrückblick oder ähnliches handelt.

Andy Jassy entscheidet sich dafür, vierteljährlich an einem speziellen Meeting zur Sicherheitsüberprüfung teilzunehmen. Deshalb wenden wir uns jedes Quartal an ihn mit einer Reihe gemeinsamer Kennzahlen und Berichte, die im Laufe der Zeit konsistent sind, aber dann auch mit einem Abschnitt unseres Berichts, der sich ständig ändert. Wir nennen es aktuelle Ereignisse, und dabei konzentrieren wir uns darauf, welche Veränderung in der Umgebung, in der wir tätig sind, die für uns am wichtigsten ist. Wie denken die Russen im Moment über die Dinge im Vergleich zu den Chinesen? Wie gehen sie an Unternehmen heran? Welche neuen Methoden verwenden Menschen, um Probleme zu verursachen, und wie reagieren wir darauf oder bereiten uns darauf vor?

Nun, Sie haben auch den Vorstand erwähnt. Unser Vorstand ist relativ einzigartig. Viele Vorstände übertragen die Aufsicht über ihre Sicherheitsorganisation entweder dem Prüfungsausschuss oder einem Risikoausschuss, in der Regel in einem Finanzinstitut. Amazon hat sich dafür entschieden, einen speziellen Unterausschuss nur für Sicherheit einzurichten. Deshalb haben wir drei Vorstandsmitglieder, die sich ausschließlich mit Sicherheit befassen. Wir treffen uns regelmäßig mit ihnen. Sie erhalten einen vierteljährlichen Bericht darüber, was mit Amazon vor sich geht, und gehen alle unsere Geschäfte durch. Die Vorstandsmitglieder teilen uns mit, dass sie sich auf ein paar Geschäfte gleichzeitig konzentrieren möchten, also wählen sie. Es ist quasi eine Art Wählscheibe zu drehen und zu sagen, welches Geschäft beim nächsten Mal anstehen wird.

Und dann haben wir unten noch den Abschnitt mit den aktuellen Ereignissen, weil es wieder um gemeinsame Interessen geht: Wo stehen wir jetzt, wohin gehen wir, was verändert sich um uns herum und wie müssen wir uns weiterentwickeln. Und ich denke, dass die sehr kurze Zykluszeit zwischen etwas, das sich auf der Welt ändert, und der Vorstand darüber informiert wird, wie wir mit diesen Änderungen umgehen, wirklich wichtig ist, damit wir auch weiterhin sicherstellen können, dass wir den richtigen Schutz für unsere Kunden haben.

Sara Duffer:
Chris, haben Sie noch etwas hinzuzufügen?

Chris Betz:
Drei weitere Gedanken. Erstens schätze ich sowohl an den Gesprächen mit Andy als auch mit den CEOs, aber auch innerhalb von AWS, dass wir diese Gespräche nicht isoliert führen. Es ist nicht nur eine sehr kleine Gruppe mit dem CEO. Es ist mit dem CEO und seinem Führungsteam, weil nichts isoliert passiert. Es ist also unglaublich wichtig, sicherzustellen, dass das Unternehmen in die Konversation mit einbezogen wird, dass wir uns im Vorfeld und als Teil dieser Gespräche intensiv mit dem Unternehmen beschäftigen. Zweitens haben wir bei AWS einen Vorstand, ebenso wie den Amazon-Vorstand. Auf diese Weise können wir uns vierteljährlich intensiv mit der Sicherheit und damit verbundenen Risikothemen befassen, sodass wir diese Gespräche weiterführen und sicherstellen können, dass wir die richtige Governance implementieren.

Und der dritte Gedanke: Nachdem ich mehrere verschiedene Vorstände gesehen habe, ist jeder Vorstand, mit dem ich interagiert habe, unglaublich anders. Ich denke, dass vieles davon durch den menschlichen Aspekt, die Persönlichkeiten, bedingt ist, und einiges hängt mit der Art des Geschäfts zusammen. Ich bin der Meinung, dass es als CISO oder als Technologieführer bei der Einbindung des Vorstands wichtig ist, zu verstehen, wie der Vorstand in anderen Bereichen arbeitet. Wie denkt das Unternehmen über sich selbst und spricht über sich selbst? Welche Sprache sollte man verwenden? Was ist der Kontext, denn es hilft nicht, isoliert über Sicherheit zu sprechen. Es ist die Sicherheit im Kontext des Geschäfts, die so wichtig ist. Und drittens muss man sicherstellen, dass man das Publikum versteht. Verschiedene Leute in den Vorständen haben sehr unterschiedliche Fähigkeiten. Man muss in der Lage sein, mit allen zu sprechen.

Unabhängig davon, ob wir als Technologieführer an einem Sicherheitsgespräch beteiligt sind oder selbst CISOs sind – es ist entscheidend, dass wir das Publikum, die Art des Vorstands, die Selbstwahrnehmung des Unternehmens und die Rolle von Sicherheit und Technologie darin verstehen, um ein erfolgreiches Gespräch zu führen.

Steve Schmidt:
Ich möchte etwas verstärken, was Chris gerade gesagt hat. Der größte Fehler, den wir bei neuen Führungskräften beobachten, wenn sie mit dem obersten Management oder der obersten Führungsebene des Unternehmens, wie einem Vorstand, sprechen, ist eine zu starke Konzentration auf technische Fragen, insbesondere im Sicherheitsbereich. Es ist ein absolutes No-Go für Ihre Fähigkeit, Ihrem Kunden, der dieses Vorstandsmitglied ist, Ihren Standpunkt zu vermitteln. Wir müssen, wie Chris sagte, im Kontext des Geschäfts sprechen. Es spielt keine Rolle, ob es sich um eine kritische Schwachstelle mit einem CVSS-Score von 9,86 handelt, das ist egal. Dies ist eine Gelegenheit für einen Angreifer, Zugriff auf diese Art von Informationen zu erhalten, die unseren Kunden gehören. Das führt zu diesem Ergebnis, und es besteht eine angemessene Wahrscheinlichkeit, dass dies innerhalb der nächsten 60 Tage geschieht. Dass ein Vorstandsmitglied die Sache in den Griff bekommt, anstatt zu sagen: „Das ist eine beängstigende Sache.“ Ich denke, es ist die Kontextualisierung, die unglaublich wichtig ist.

Sara Duffer:
Sie sprechen beide sehr regelmäßig mit Kunden. Was sind die aktuellen Sicherheitsherausforderungen oder -probleme, die Sie von Kunden hören? Und was unternimmt AWS, um unseren Kunden in diesem Bereich zu helfen?

Steve Schmidt:
Nummer eins muss KI sein. Viele Leute sind natürlich wirklich daran interessiert, wie ich das sicher verwende? Wie kann ich KI verantwortungsbewusst einsetzen? Wie kann ich Informationen abrufen und sicherstellen, dass ich den richtigen Zugriff auf diese Daten erhalte, wenn ich sie benötige, und den Zugriff verhindern, wenn ich ihn nicht benötige? Wenn wir mit Kunden sprechen, frage ich als Erstes: „Wie viele Anwendungen haben Sie in Ihrem Unternehmen, die generative KI verwenden? Wissen Sie das gerade? Können Sie das regelmäßig messen?“ Die meisten Leute sagen: „Oh ja, wir haben das letzten Monat oder letztes Quartal oder was auch immer gezählt. “Und wissen Sie was? Ihr Entwickler bewegt sich viel schneller. Wir mussten interne Prozesse entwickeln, die es uns ermöglichen, jedes Mal zu sehen, wenn ein Entwickler eine generative KI-Engine von seinem Unternehmens-Laptop oder von einem der Produktionsressourcen aus aufruft, die wir im Unternehmen besitzen.

Auf diese Weise haben wir dann einen Überblick, den wir unseren Teams für Anwendungssicherheit zur Verfügung stellen können, damit sie verstehen, was mit dem jeweiligen Service vor sich geht. Als wir das erste Mal gezählt haben und vor einiger Zeit damit begonnen haben, meldeten wir es Andy und sagten: „Oh ja, es gibt mehr als tausend generative KI-Anwendungen, die derzeit im gesamten Unternehmen in Betrieb oder Entwicklung sind.“ Und wir bekamen diesen schockierten Blick: „Was? Soll das ein Witz sein?“ Also, nein. Die Zahl steigt enorm schnell an, was großartig ist, weil es bedeutet, dass unsere Entwickler sich wirklich einbringen und vorankommen, aber es bedeutet auch, dass unsere Teams sich anstrengen und den Überblick über diese Leute behalten müssen, um sicherzustellen, dass sie die Dinge auf eine Weise tun, die vernünftig, angemessen usw. ist. Aber alles begann mit dieser Sichtbarkeit und dem Aufbau der Sichtbarkeits-Engine da unten.

Chris Betz:
Ich denke, das andere Gespräch, das ich sehr oft führe, ist: Welche Funktionen gibt es bereits in AWS, da die Leute darüber nachdenken, wie sie sowohl sicher als auch kosteneffektiv sein können. Die Leute wollen keine Zeit und Energie in Bereiche investieren, in denen die Lösungen bereits existieren oder in denen Dinge bereits geschehen. Einer der Bereiche, über die wir am Ende viel sprechen, sind die Architekturen und Kontrollen. Wir stellen sicher, dass die Leute gut konzipiert sind, und schauen uns an, wie einfache und benutzerfreundliche Kontrollen in großem Maßstab implementiert werden können. Deshalb denke ich, dass das für uns zu einem der häufigsten internen Gespräche geworden ist, wie wir sicherstellen können, dass wir einfache Sicherheitslösungen in großem Maßstab für diese Kunden entwickeln. Ein weiterer Bereich, in dem dies zum Tragen kommt, und über den wir in letzter Zeit sehr viel gesprochen haben, sind Bedrohungsinformationen. Verschiedene Unternehmen, verschiedene Cloud-Anbieter, behandeln Bedrohungsinformationen unterschiedlich.

Bei unserem Ansatz geht es vor allem darum, diese Bedrohungsinformationen zu einem nahtlosen Bestandteil des Systembetriebs zu machen. Deshalb haben wir tatsächlich eine Menge Zeit damit verbracht, darüber zu sprechen, weil wir in der Vergangenheit nicht darüber sprechen mussten, aber es ist wichtig, dass die Kunden wissen, was sie erwartet. Dass wir eine Reihe von Anbietern von Bedrohungsinformationen, Honeypots und Sensoren haben, die täglich Daten sammeln, mehr als 100 Millionen Interaktionen pro Tag nur in unseren Honeypots. Und dass diese Technologien, diese Daten mit unseren anderen Sensordaten von Systemen wie Sonaris kombiniert werden und es uns ermöglichen, zu handeln. Diese Aktion erfolgt, ohne dass die Kunden sich dessen bewusst sein müssen.

Sobald wir eine bösartige Adresse identifiziert haben, können wir uns vor verschiedenen Angriffen schützen. Und dieser Datenverkehr erreicht nicht einmal Ihre Systeme. So haben wir beispielsweise im letzten Jahr über 24 Milliarden Versuche abgewiesen, S3-Buckets aufzuzählen, und mehr als 2,6 Billionen Versuche, anfällige Services in EC2 zu entdecken. Und wo wir das nicht automatisch für Sie bereitstellen können, wo wir nicht diesen Grad an Genauigkeit haben, können wir das direkt in Tools wie GuardDuty usw. einbeziehen. In den Gesprächen, die ich mit Sicherheitsmitarbeitern führe, geht es darum, wie sie die bereits eingebaute Technologie nutzen können, sowohl die nahtlosen Teile als auch die Teile, in denen wir zusätzliche Informationen für die Arbeit der Sicherheitsteams bereitstellen.

Steve Schmidt:
Ich denke, es gibt einige wirklich interessante Daten, um ein Argument zu untermauern, das Sie dort über Bedrohungsinformationen angesprochen haben. Und Bedrohungsinformationen sind eine unglaublich fragile Sache. Was die meisten Menschen nicht wissen, ist, dass nach dem, was wir im Internet sehen, etwa 23 % des IP-Raums des Internets in etwa drei Minuten umfunktioniert werden. Das heißt, wenn Ihr Bedrohungsinformations-Feed eine Woche oder einen Monat oder was auch immer alt ist, sind Sie weit, weit, weit veraltet. Und noch ein paar andere Dinge, die sich auf die Unmittelbarkeit von Maßnahmen beziehen, sobald Sie Bedrohungsinformationen erhalten. Wenn wir einen Honeypot dem Internet aussetzen, dauert es weniger als 90 Sekunden, 90 Sekunden, bis ein Angreifer ihn entdeckt, und weniger als drei Minuten, bis dieser Angreifer versucht, ihn auszunutzen. Das sind Situationen, in denen Ihr Entwickler sagt: „Oh, ich öffne diesen Bucket einfach für das Internet, das wird schon klappen. Niemand weiß, dass es da ist.“ Drei Minuten – so lange haben Sie, bevor Sie ein echtes Problem haben. Informieren Sie sich also über einen robusten Informationsfeed, um schnell darauf reagieren zu können. Und was noch wichtiger ist: Sie brauchen keinen Menschen, der auf dem Laufenden ist, um darauf zu reagieren. Stellen Sie sicher, dass die Automatisierung dies tut.

Chris Betz:
Gut gesagt.

Sara Duffer:
Ich werde zu einem Thema wechseln, das mir sehr am Herzen liegt. In der Welt der sich ständig weiterentwickelnden Vorschriften, Standardzertifizierungen usw. ist es eine Herausforderung, den Überblick über die Compliance, die Entwicklung der Compliance zu behalten. Chris, können Sie ein bisschen darüber erzählen, wie AWS über Compliance in großem Maßstab denkt?

Chris Betz:
Wir reden sehr oft darüber.

Sara Duffer:
Ja, das tun wir.

Chris Betz:
Zunächst einmal ist meiner Meinung nach einer der wichtigsten Faktoren für die Umsetzung von Compliance im großen Maßstab, dass man mit einer sicheren Grundlage beginnen kann. Wenn man über Sicherheit im Sinne von Secure by Design nachdenkt und sicherstellt, dass Sicherheit in den Entwicklungsprozess integriert wird, hat man einen guten Ausgangspunkt, bevor man überhaupt über Vorschriften oder Compliance nachdenken muss. Wenn wir die Dinge am besten machen, ist Compliance ein gewollter Nebeneffekt dieser Sicherheitsarbeit. Und um ehrlich zu sein, wollen die meisten Regulierungsbehörden das auch.

Der Grund für die Compliance ist die Gewährleistung Ihrer Sicherheit. Daher ist es wirklich wichtig, ein Sicherheitsprogramm zu entwickeln, das sich auf Sicherheit konzentriert und darauf abzielt, Compliance bewusst nachzuweisen. Und der dritte Punkt ist, dass es nicht ausreicht, diese Konformität von Anfang an als Teil der Sicherheitsprozesse zu haben. Man muss in der Lage sein, sie nachzuweisen und aufzuzeigen. Deshalb ist es unglaublich wichtig, in der Lage zu sein, diese Daten zusammenzuführen, sie sichtbar zu machen und sie anderen Menschen leicht verständlich zu machen. Und da ist auch Technik involviert. Ich würde sagen, es ist eine lohnende Investition, aber Sie haben mehr Zeit auf dieser Welt verbracht als ich, deshalb bin ich auch neugierig auf Ihre Perspektive.

Sara Duffer:
Nun, ich höre gerade viel von Kunden, vor allem über verantwortungsvolle KI-Programme und darüber, wie sie sehr schnell operationalisiert werden können. Es geht also wirklich darum, gerade aufgrund dieser sehr schnellen Entwicklung, vom Konzept der Compliance wegkommen zu können, das sehr zeitpunktbezogen, sehr binär ist und sich sehr darauf konzentriert, ob wir die Regeln und Vorschriften einhalten, wie zum Beispiel das EU-Gesetz über künstliche Intelligenz. Und wir konnten dieses Programm schnell weiterentwickeln und dabei mehr auf die Bestätigung der Sicherheit setzen, um ein gewisses Maß an Vertrauen in die Qualität, Zuverlässigkeit und Effektivität der Compliance zu schaffen, das wir veranschaulichen konnten. Wie können wir das also machen?

Und recht häufig wird dies durch technische Normen erreicht. Dinge wie ISO 42001 ermöglichen es Unternehmen also, ihren Endkunden zu zeigen, dass sie verantwortungsvolle KI-Praktiken anwenden, sowohl bei der Bereitstellung als auch bei der Entwicklung, und das Ganze dann unter dem Gesichtspunkt der Governance zu verpacken. Wie stellt man also sicher, dass das Unternehmen das tut, was man tatsächlich erwartet, und wie berichtet man den Führungskräften und dem Vorstand darüber, was man im Zusammenhang mit verantwortungsvoller KI tut? Und das Wichtigste dabei ist, dass man die Entwickler dort abholt, wo sie sind, und die Innovation nicht ausbremst. So ist man in der Lage, diese hohe Messlatte einzuhalten und dies gleichzeitig schnell zu tun.

Sara Duffer:
Also, um ein wenig das Thema zu wechseln, Steve, ich komme jetzt zu Ihnen. Wenn wir über Sicherheit sprechen, beschäftigen wir uns sehr häufig mit den neuen Technologien und den sich entwickelnden Welten, die vor uns liegen. Aber am Ende des Tages ist ein Bedrohungsakteur ein Bedrohungsakteur und ein Mensch. Und ich würde gerne etwas mehr darüber erfahren, wie Sie über die menschliche Dimension im Zusammenhang mit der Cybersicherheit denken.

Steve Schmidt:
Bestimmt. Also, wichtige Neuigkeiten: Computersicherheit, Informationssicherheit, Cybersicherheit, wie auch immer Sie es nennen wollen, sind kein technisches Problem. Sie sind ein menschliches Problem. Eines der Dinge, die ich vor langer Zeit gelernt habe, als ich beim FBI war und mich auf die Spionageabwehr konzentrierte, war, dass es der Job ist, Spione zu verfolgen, und das ist interessant, sie sind aus einem bestimmten Grund da. Sie werden durch etwas motiviert. Traditionell ging es in der Spionagewelt um Geld, Ideologie, Zwang oder Ego. Das Gleiche gilt für die Welt der Cybersicherheit. Die Leute interessieren sich für Geld. Das ist Ihr Ransomware-Akteur. Ideologie. Es ist Ihr traditioneller nationalstaatlicher Akteur, der Informationen sammelt oder ein Schlachtfeld vorbereitet. Einfluss, ein neues Konzept in diesem Bereich, bringt eine Bevölkerung dazu, auf eine bestimmte Weise zu denken, ihre Meinungen zu ändern und so Dinge auf der Welt zu bewirken. Oder Ego. Das ist das Script-Kiddie, das wirklich der größte, böseste Hacker sein will und als Teil davon einen DDoS-Angriff auslöst.

Und warum interessiert es uns, warum diese Leute das tun oder was ihre Motivation ist? Weil es uns hilft zu verstehen, welche Art von Tools und Fähigkeiten sie haben werden, wo sie uns wahrscheinlich angreifen werden und wie hoch ihre Risiko- oder Expositionstoleranz ist. Ist das eine große Sache, wenn sie erwischt werden und das FBI an die Tür klopft, oder ist das etwas, das nicht wirklich wichtig ist, weil sie gerade in einem Keller in Belarus sitzen oder so? Mit welchem Spektrum müssen wir arbeiten, um zu verstehen, was wir als Verteidiger tun müssen und wie wir Systeme entwickeln, die verhindern, dass diese Menschen Zugang erhalten.

Das Interessante ist, dass die gleiche Denkweise auf unsere eigenen Mitarbeiter angewendet werden muss. Unsere eigenen Mitarbeiter haben allgemein gute Absichten. Sie wollen das Richtige tun, sie wollen helfen usw. Aber seien wir ehrlich, sie sind auch Menschen. Manchmal geraten sie also in Geldprobleme. Manchmal gefällt ihnen nicht, in welche Richtung etwas geht. Manchmal haben sie einfach einen schlechten Tag. Daher müssen wir als Verteidiger in der Lage sein, zu verstehen, was sie tun, warum sie es tun und wie wir sicherstellen werden, dass sie nichts tun, was sie nicht tun sollten.

Doch ein wesentlicher Bestandteil der Cybersicherheit und der Menschen in einem Unternehmen ist die Unternehmenskultur. Die Sicherheitskultur eines Unternehmens entscheidet über dessen Erfolg oder Misserfolg. Wir haben alle schon in den Nachrichten mitbekommen, was bei einer unzureichenden Sicherheitskultur geschieht. Am Ende dringen nationalstaatliche Akteure wiederholt in ein Unternehmen ein und beuten es zum eigenen Vorteil aus. Warum? Weil die Mitarbeitenden im Unternehmen weder an den richtigen Dingen gemessen noch entsprechend motiviert wurden.

Sie waren nicht motiviert, Ihre Daten oder Ihre Informationen zu schützen. Ihr Ziel war etwas anderes. Der Aufbau Ihrer Kultur, die besagt, dass das Wichtigste für Sie als Person, als Entwickler in meinem Unternehmen, darin besteht, erstens, sich physisch zu schützen, und zweitens, die Daten Ihrer Kunden zu schützen. Denn dadurch können sie im Laufe des Tages, wenn sie über etwas nachdenken, immer gute Entscheidungen treffen. „Soll ich nach links gehen? Soll ich nach rechts gehen? Sollte ich die eine Sache tun? Sollte ich die andere Sache tun? Sollte ich um Hilfe bitten, weil ich es wirklich nicht weiß? Ich werde einen Experten auf diesem Gebiet suchen.“

Und ich denke, der Anreiz, für die richtige Unternehmenskultur zu sorgen, liegt darin, dass dies auf lange Sicht zu niedrigeren Kosten führt. Denn man muss nicht das Chaos beseitigen, das jemand angerichtet hat, weil er schnell ein Gewinnziel, ein Margenziel oder ein Lieferziel erreichen wollte, anstatt für die richtige Sicherheit für die Endkunden in den Unternehmen zu sorgen.

Sara Duffer:
Und es erleichtert mir auch das Leben in der Welt der Sicherheitsgewährleistung. Es ist ein schönes Ergebnis. Chris, was die Kultur angeht, sprechen wir bei AWS viel darüber, dass Sicherheit oberste Priorität hat. Erzählen Sie mir ein bisschen, wie man das eigentlich macht. Wie baut man diese Kultur auf?

Chris Betz:
Einer der Gründe, warum ich Kultur für so wichtig halte, ist, dass sie nicht nur zu langfristigen Investitionen führt, sondern ich denke, dass jedes Unternehmen, das ich kenne, daran arbeitet, Schulungen anzubieten, Tools und Fähigkeiten rund um Cybersicherheit bereitzustellen. Und eines der wichtigsten Unterscheidungsmerkmale ist die Kultur. Weil sich die Sicherheit ständig ändert. Zu Ihrem Gespräch vorhin: Ich kann Ihnen gar nicht sagen, wie oft wir in letzter Zeit über KI gesprochen haben, nicht wahr? KI verändert sich ständig. Und diese Fähigkeit, sich anzupassen. Diese Fähigkeit, die Hand zu heben und zu sagen: „Wissen Sie was? Ich sehe hier einen Konflikt oder ich sehe einen besseren Weg, um die Sicherheit zu gewährleisten.“ Lassen Sie uns darüber nachdenken. Können wir das besser machen? Folgen Sie nicht einfach blind dem Prozess und den Tools, sondern stellen Sie die Frage tatsächlich.

Oder: „Ich denke, diesen Prozessen und Tools fehlt etwas. Ich sehe dieses Risiko, ich sehe dieses Problem. Wie spreche ich das an?“ Diese Dinge sind unglaublich wichtig. Und wie Sie schon sagten, zahlt sich die Kultur im Laufe der Zeit auf erstaunliche Weise aus. Der Aufbau dieser Kultur erfordert bewusst Zeit und Energie. Es beginnt an der Spitze. Es beginnt mit der Anpassung der Kultur an die Funktionsweise der Organisation. Dazu gehört auch, sich selbst zu sagen, wer man ist. Es ist genauso intern wie extern, wenn Matt sagt: „Alles beginnt mit Sicherheit.“

Und außerdem ist es die Art und Weise, wie die Menschen ihre Zeit verbringen. Steve und ich haben beide über die wöchentlichen Meetings gesprochen, die unter der Leitung unseres CEO stattfinden. Auch hier ist es unglaublich wichtig, sicherzustellen, dass dies Teil der Funktionsweise der Organisation ist. Sobald man die Sicherheit in die Unternehmenskultur integriert hat, ist es wichtig zu betonen, dass Sicherheit jedermanns Aufgabe ist. Jede Person bekommt eine bestimmte Rolle. Das ist die Gelegenheit, die Hand zu heben und zu sagen: „Wir müssen etwas anders machen. Wir glauben, dass uns etwas fehlt. Ich bin verwirrt. Ich bin mir nicht sicher.“ Sicherheit, jeder muss verstehen, dass Sicherheit seine Aufgabe ist und es unsere Aufgabe als Sicherheitsführungskräfte ist, diesen Job so einfach wie möglich zu machen. Denn wenn die Mitarbeiter ihre Zeit damit verbringen, sich bei jedem Schritt auf die Sicherheit zu konzentrieren, wird das zu Spannungen im Unternehmen führen. Was Hand in Hand damit geht, dass Sicherheit zu einer Aufgabe für jedermann wird, ist, dass Sicherheitsverantwortliche darauf hinarbeiten, dass es für die Mitarbeiter einfach und natürlich ist, Sicherheit zu betreiben. Das bedeutet, dass die Sicherheit im gesamten Unternehmen verteilt werden muss. Wir müssen sicherstellen, dass Schulungen, Wissen und Fähigkeiten gut konzipiert sind, um sicherzustellen, dass dies im gesamten Unternehmen geschieht.

Und schließlich müssen wir bereit sein zu investieren. Wir müssen bereit sein, in Innovationen zu investieren, die die Sicherheit verbessern. Wir müssen bereit sein, in Innovationen zu investieren, die es einfacher machen, sicher zu sein. Denn wenn man dies nicht tut, bleibt man in der Vergangenheit gefangen und kann als Organisation nie vorankommen. Eine Möglichkeit, dies zu erreichen, ist zum Beispiel ein Programm für Sicherheitswächter, bei dem wir uns auf unsere Mitarbeiter verlassen. Wir schulen sie in tiefgreifenden Sicherheitsfragen innerhalb der Serviceteams und innerhalb der Ingenieurteams, sodass sie sicherstellen können, dass die Mitarbeiter sehr früh während des Entwicklungsprozesses und kontinuierlich über Sicherheit nachdenken und über das richtige Wissen verfügen. Und es hilft, die Dinge sehr, sehr, sehr skalierbar zu machen. Es gibt also eine Sache, die alle mit ihren Teams tun können, nämlich sich eingehend damit zu befassen, ob wir ein Programm für Sicherheitswächter einrichten können und wie wir eine Sicherheitskultur in unserem Unternehmen schaffen.

Sara Duffer:
Okay. Was sind also die drei Fragen, die die anwesenden Unternehmensleiter an ihre Sicherheits- und Compliance-Programme stellen können?

Chris Betz:
Ich nenne dir eine Frage, die ich immer gerne stelle. Ich weiß nicht, wie viele von uns Technologieführern eine sogenannte Builder-Tools- oder Developer-Tools-Organisation haben. Als Sicherheitsführungskraft sind diese Organisationen meine Lieblingsorganisationen in der gesamten Organisation. Wenn Sie keines haben, sind dies die Teams, die Tools entwickeln, die Ihren Entwicklern das Leben erleichtern. Da gibt es eine enorme Hebelwirkung. Wenn es einen Ort gibt, an dem ich gerne sehe, wie Unternehmen ihre besten Talente einsetzen, dann ist das die Builder-Tools-Organisation, denn in einer Organisation kann man all die Entwicklungsprozesse viel, viel besser machen. Vom Standpunkt der Sicherheit aus gesehen, liegt hier die Hebelwirkung. Weil man das Sicherheitswissen und die Sicherheitsfunktionen in diese Tools integrieren kann, um eine enorme Skalierbarkeit zu erzielen und Sicherheit zu einer natürlichen Bewegung zu machen.

Die Frage, die ich an Ihrer Stelle stellen würde, lautet also: Fragen Sie Ihre Sicherheitsführungskräfte und Ihre Builder-Tool-Führungskfräfte, in welcher Beziehung sie zueinander stehen, wie gut sie zusammenarbeiten und wie gut alle von Ihnen angestrebten Sicherheitsergebnisse in die Funktionen der Builder-Tools integriert sind.

Sara Duffer:
Steve?

Steve Schmidt:
Ich möchte hier also etwas wiederholen, was ich zuvor gesagt habe: Fragen Sie Ihre Teams: „Wo entwickeln wir derzeit generative KI-Anwendungen?“ Und dann fragen Sie Ihre Teams: „Welchen Mechanismus haben wir eingerichtet, damit wir morgen wissen, wo wir generative KI-Anwendungen entwickeln, und wie groß ist die Latenzzeit zwischen dem Zeitpunkt, an dem jemand eine neue Anwendung entwickelt, und unserer Kenntnis davon?“ Und Sie werden feststellen, dass die Antwort in vielen Fällen lautet: „Suchen, suchen, suchen. Schnell, ein paar Daten finden. Hier ist die Antwort.“ Großartig! Es ist jetzt der nächste Tag. Okay.
        
Sie benötigen also eine Methode, einen Mechanismus, ein Tool, das es Ihnen ermöglicht, dies regelmäßig zu tun, auf dem Laufenden zu bleiben, um sicherzustellen, dass Sie verantwortungsvolle Betreiber und Verwalter dieser Infrastruktur sind und dass Sie verantwortungsvolle Eigentümer der Daten sein können, die Sie im Namen Ihrer Kunden erfassen.

Der zweite Punkt ist, welchen Integritätsschutz haben Sie eingerichtet, und gibt es einen Mechanismus, um diesen Integritätsschutz zu aktualisieren, wenn sich die Welt rund um generative KI verändert? In der Zeit, in der wir hier auf der Bühne gesessen haben, hat sich die Welt der generativen KI unglaublich weiterentwickelt. Es ist etwas Neues im Gange. Es gibt eine neue Methode, um ein Problem mit dem Basismodell zu verursachen, das sich eine kluge Person ausgedacht hat, und wir müssen in der Lage sein, uns dagegen zu verteidigen. Was ist also die schnelle Iterationsmethode, um den Integritätsschutz zu beeinflussen, den Sie rund um Ihre generativen KI-Anwendungen haben?

Sara Duffer:
Ich glaube, Sie haben geschummelt. Ich glaube, das waren zwei. Ich werde auch ein bisschen schummeln. Und ich würde sagen, es geht darum, die Teams zu fragen, wie sie die Compliance tatsächlich sicherstellen. Und damit meine ich, dass es im Moment nicht nur darum geht, wie wir feststellen können, ob wir die verschiedenen Standards, Gesetze usw. einhalten oder nicht, sondern es geht auch darum zu verstehen, wie man im Laufe der Zeit eine kontinuierliche Sicherheit erhalten kann, sodass man wirklich ermitteln kann, wie hoch die Kosten für die Entwickler sind.

Ich würde also sagen, dass es zwei Kernfragen gibt: Wie hält man interne Praktiken oder Gesetze usw. ein und wie hoch sind die Kosten für die Entwickler? Das ist wirklich wichtig, denn man möchte sehr schnell innovieren können und sicherstellen, dass man die Kosten für die Entwickler im Auge behält und gleichzeitig die Einhaltung der Vorschriften gewährleistet.

Abschließend lautet meine letzte Frage: Wenn man regelmäßig mit Kunden spricht, was ist der beste Rat, den Sie den Kunden geben, um ihre Sicherheitslage sofort zu verbessern?

Chris Betz:
Finden Sie für Ihr internes Unternehmen und für Ihre Kunden Möglichkeiten, Passkeys zu implementieren. Die Abkehr von Passwörtern ist für Ihre Mitarbeiter und Ihre Kunden einfach wegweisend. Nutzen Sie diese Technologie. Es ist ein großer Sprung nach vorne. Implementieren Sie es noch heute.

Steve Schmidt:
Und dann ist es nicht nur viel sicherer, es bietet auch ein besseres Benutzererlebnis. Es ist so reibungslos. Legen Sie den Fokus Ihrer Techniker also darauf und finden Sie heraus, warum sie das gerade nicht tun.

Nummer zwei ist viel weniger aufregend als Passkeys und das ist Sicherheitsgemüse. Schwachstellenmanagement. Beheben Sie Fehler. Es ist die beste Verteidigung, die Sie gegen die Leute da draußen haben.

Chris Betz:
Oder lassen Sie sie uns für Sie beheben.

Steve Schmidt:
Das sehe ich auch so.

Chris Betz:
Benutzen Sie Lambdas und andere Dinge.

Steve Schmidt:
Das stimmt.

Sara Duffer:
Nun, vielen Dank, dass Sie heute zu uns gekommen sind, und nochmals vielen Dank für Ihre Zeit.

Jetzt anhören

Jetzt anhören

Jetzt anhören