Die richtige Sicherheitsdimensionierung für alle Amazon-Unternehmen

Clarke Rodgers:
Steve, vielen Dank, dass Sie heute zu mir gekommen sind.

Steve Schmidt:
Freut mich, hier zu sein. Vielen Dank.

Clarke Rodgers:
Es ist eine Weile her, seit wir uns das letzte Mal unterhalten haben. Tatsächlich habe ich gestern Abend nachgerechnet. Es ist ungefähr vier Jahre her.

Steve Schmidt:
Beeindruckend.

Clarke Rodgers:
Wenn wir also darüber nachdenken, was vor vier Jahren passiert ist, war die Pandemie in vollem Gange. Sie und ich waren in einem Ferninterview und Sie hatten eine andere Rolle, oder? Sie waren der Chief Information Security Officer bei AWS. Nicht lange nach diesem Vorstellungsgespräch übernahm Andy die Rolle des CEO von Amazon und eine seiner ersten Maßnahmen bestand darin, Sie als Chief Security Officer an Bord zu holen. Können Sie mir ein bisschen darüber erzählen, warum er das getan hat?

Steve Schmidt:
Gerne. Eines der Dinge, die Andy wirklich schätzt, ist zu verstehen, wie wir die Daten unserer Kunden schützen. Und das ist aus der Notwendigkeit heraus bei AWS entstanden, wo es die Grundlage für das Geschäft selbst bildet. Sie können kein Unternehmen wie AWS haben, wenn Sie nicht die richtigen Sicherheitsvorkehrungen treffen.

Und als er seine neue Position antrat, wollte er dieselbe Denkweise auf alle unsere Kunden in der unglaublichen Vielfalt der Geschäftsbereiche anwenden, die Amazon derzeit betreibt. Und er möchte auch wissen, dass es jemanden gibt, dessen Hauptberuf darin besteht, jeden Tag nach solchen Dingen Ausschau zu halten. So bat er mich, dies zu übernehmen.

Clarke Rodgers:
Als Chief Security Officer fehlt da ein Wort, „Information“, oder? Sie sind also CSO. Wir haben einige Kundeninterviews geführt, bei denen auch das „I“ weggelassen wurde. Können Sie mir ein wenig darüber erzählen, warum es wichtig ist, der oberste Sicherheitsbeauftragte zu sein und nicht gezielt „Information“ zu erwähnen?

Steve Schmidt:
Gerne. Wenn Sie sich also den Schutz von Informationen ansehen, der die wahre Währung in unserem Bereich ist, hat das sicherlich die logische Komponente, an die die Leute von der CISO-Arbeit gewöhnt sind. Aber unsere Gegner nutzen zunehmend Menschen, um nach Informationen zu suchen, die aus logischer Sicht schwieriger zu erlangen sind.

Es gab also eine Art Pendelschwung in der Branche, und wenn man darüber nachdenkt, ist es schon lange her, dass die Leute Spione hatten, physische Spione, die in die Geschäfte gingen und Kopien von Dokumenten oder ähnliches mitnahmen. Als wir mit Computersystemen online gingen, ergaben sich völlig neue Möglichkeiten. Lassen Sie uns aus der Ferne in diese Dinge eintauchen usw. Da Unternehmen immer besser darin werden, diese Informationen zu schützen, unabhängig davon, ob sie sich vor Ort oder anderswo befinden, stellt sich heraus, dass Menschen wieder zu Spionen werden.

Deshalb müssen wir den Schutz sowohl unserer physischen als auch unserer Informationsressourcen, unserer logischen Ressourcen, integrieren, um ein vollständiges Bild davon zu bekommen, was wir mit den Daten unserer Kunden machen und wie wir sie schützen, und auch unsere Geschäftsdaten. Denn heutzutage konzentrieren sich unsere Gegner in den Nationalstaaten nicht nur darauf, Zugriff auf die Daten zu erhalten, die unsere Kunden haben, sondern auch darauf, zu erfahren, welche Richtung unser Unternehmen als nächstes einschlagen wird.

Wie entwickeln wir die nächsten sehr interessanten Produkte oder Dienstleistungen, egal ob es sich um einen Satelliten oder ein Roboterfahrzeug handelt? Diese haben einen unglaublichen Wert für Länder auf der ganzen Welt, aber auch für die Unternehmen, die sie unterstützen. Als Sicherheitsexperten müssen wir uns also ein vollständiges Bild davon machen, wer unsere Gegner sind und wie wir uns vor ihnen schützen können.

Clarke Rodgers:
Auf jeden Fall. Als Sie die Rolle des CSO übernommen haben und jetzt die Berichterstattung über die physische Sicherheit in der Hand haben, könnte ich mir vorstellen, dass die Sprache, die die Experten für Informationssicherheit sprechen, die physische Sicherheit und die Sprache, die die Mitarbeiter für physische Sicherheit sprechen, auf zwei verschiedenen Ebenen liegen könnten. Wie integrieren Sie diese beiden, damit sie dieselbe Sprache sprechen und effektiv zusammenarbeiten können?

Steve Schmidt:
Gerne. Es geht hier weniger um die Wortwahl, weil sie ihre eigenen Sprachen haben. Sie haben absolut recht. Zunächst muss man verstehen, was ihr Endziel ist, wie Sie Ihren Fortschritt auf dem Weg zu diesem Ziel messen werden und, was am wichtigsten ist, die Übergabepunkte oder die Lücken zwischen der physischen Welt und der logischen Welt zu identifizieren.

Stellen Sie sich das so vor: Wenn ich in der physischen Welt bin, verhindere ich, dass Menschen in Gebäude gelangen, wo ich verhindere, dass unsere Gegner von der Firma angeheuert werden. Aber wenn ein Gegner in ein Gebäude eindringt, ist das für die Informationssicherheit interessant? Wenn sie in einer Lobby stehen, ist das eine Sache. Wenn sie in einem Schrank sind, in dem sich eine Menge Netzwerk-Switches befinden, ist das etwas ganz anderes. Also müssen wir diese beiden miteinander verbinden, um ein richtiges Bild davon zu bekommen, was vor sich geht.

Clarke Rodgers:
Mussten Sie irgendwelche Werkzeuge bauen, um diese Brücken zu überqueren?

Steve Schmidt:
Ja, es ist sowohl eine Kombination aus Werkzeugen als auch Prozessen, die wir zusammengestellt haben. Der Werkzeugbau ist eine ständige Weiterentwicklung. Theoretisch werden wir immer besser darin, Wege zu finden, Daten zu sammeln, zu analysieren und zu nutzen. Interessanter und schwieriger wird es in der Tat, herauszufinden, wie man das zwischen den verschiedenen Geschäftsbereichen weitergibt und sicherstellt, dass sie Zugriff auf die Dinge haben, die für ... ihre Arbeit notwendig sind, aber sie gleichzeitig nicht mit Daten überfordert, sodass sie die wichtigen Teile in den riesigen Datenmengen, die wir sammeln, nicht finden können.

Und hier kommt die Prozesskomponente ins Spiel. Oft geht es darum, Dinge zu erfassen, die sensibel sein könnten, die sensibel sind usw., und darum, Wege zu finden, um sicherzustellen, dass sie von einem Teil der Organisation in einen anderen übertragen werden. Und dafür braucht es wirklich hochkalibrierte Leute. Es braucht Menschen, die das wissen, okay, das mag für sich genommen harmlos sein, aber in Kombination mit dieser anderen Sache, die wir gesehen haben, ist es wirklich interessant. Und leider gibt es noch kein System, das das kann. Vielleicht werden wir mit etwas KI-Training in der Zukunft dorthin gelangen, aber im Moment sind wir einfach noch nicht an diesem Punkt.

Clarke Rodgers:
Das ist sehr, sehr interessant. Sie haben das Sicherheitsprogramm bei AWS gestartet, also kennen Sie AWS in- und auswendig, wissen, wie es gesichert werden kann, welche Bedrohungen vorliegen, wie hoch die Risikobereitschaft ist usw. Nachdem Sie die Rolle des CSO übernommen haben, erfahren Sie jetzt mehr über amazon.com oder das, was wir interne Geschäfte nennen, Whole Foods, Prime Video, MGM, Twitch, all diese verschiedenen Organisationen.

Erstens, wie haben Sie sich mit dem Sicherheitsprofil der einzelnen Unternehmen und der Risikobereitschaft vertraut gemacht, und wie haben Sie dann alles zusammengebracht? Der allgemeine Begriff, die einheitliche Sichtweise, bei der Sie davon überzeugt waren, dass das Risikoprofil für Whole Foods angemessen ist und das für AWS auch für AWS angemessen ist – wie sind Sie auf all das gekommen?

Steve Schmidt:
Nun, zuallererst ist eines der Dinge, die ich an meinem Job liebe, die Vielfalt der Unternehmen. Die Leute sagen oft, dass Sie seit 16 Jahren in Ihrer Position sind. Das ist wirklich ungewöhnlich für jemanden in der Sicherheitsbranche. Warum ist das so? Das liegt an der Vielfalt der Arbeit, die dieses Unternehmen bietet. Es ist eine Gelegenheit, weiter zu lernen, und das liebe ich einfach.

So jung bin ich nicht. Die Leute sagen, wie lange willst du noch weiterarbeiten? Wirst du in Rente gehen? Und ich denke, nun, ich hab doch Spaß an der Sache. Nein, ich will nicht. Das macht mir wirklich Spaß. Und das liegt daran, dass man vom Aufbau des weltweit größten Cloud-Anbieters zur Installation von Satelliten in den Weltraum und zum Betrieb von Lebensmittelgeschäften übergeht. Die Vielfalt dort ist aus geschäftlicher Sicht einfach eine unglaubliche Herausforderung, aber es ist auch eine interessante Gelegenheit, die Größe des Unternehmens zu nutzen, um den Betrieb kostengünstiger zu gestalten.

Wenn man sich die operativen Sicherheitsorganisationen anschaut, sind sie nicht günstig. Wenn Sie es jedoch auf ein so großes Unternehmen wie das von Amazon skalieren können, bedeutet dies, dass die Stückkosten gesenkt werden können.

Clarke Rodgers:
Auf jeden Fall.

Steve Schmidt:
So profitiert jedes Unternehmen von der Größe der anderen Unternehmen. Und so ist es beim Bau von Satelliten nicht wirklich grundlegend anders als beim Betreiben eines Lebensmittelgeschäfts, Wege zu finden, wie ein Lebensmittelgeschäft von denselben Sicherheitsvorkehrungen profitieren kann wie ein Satellitenunternehmen. Dies ist in vielen Bereichen der Fall, beispielsweise beim Schwachstellenmanagement und bei der Frage, ob ein Computersystem gepatcht ist.

Und das ermöglicht es uns, Dinge auf einem Niveau zu tun, das sich ein eigenständiges Unternehmen wirklich nicht leisten könnte, und die Messlatte für alle höher zu legen. Und das ist ein Teil meiner Aufgabe hier, dafür zu sorgen, dass wir im gesamten Unternehmen eine standardisierte Messlatte haben, sei es für das Schwachstellenmanagement oder die Reaktion auf Vorfälle oder für andere Komponenten, die in einer typischen Sicherheitsorganisation enthalten sind.

Dann müssen wir herausfinden, welche maßgeschneiderten Komponenten für bestimmte Unternehmen aufgrund ihrer besonderen Situation installiert werden müssen. Auf diese Weise versuchen wir nicht, eine Einheitslösung für alle anzuwenden, denn das würde die Kosten nur in die Höhe treiben. Wenn man sich zum Beispiel ein Lebensmittelgeschäft anschaut, hat der Verlust einer Einheit dort einen relativ geringen Wert, wohingegen der Verlust eines Satelliten das Gegenteil wäre.

Clarke Rodgers:
Auf jeden Fall.

Steve Schmidt:
Deshalb müssen wir die Sicherheitslage für einzelne Komponenten nach Maß anfertigen.

Clarke Rodgers:
Wie halten Sie ... Ich führe ein Backup durch. Sie haben Chief Information Security Officers, die die Sicherheitsprogramme für jedes dieser anderen Unternehmen leiten. Wie ziehen Sie sie bezüglich der Führung ihres Sicherheitsgeschäfts zur Verantwortung.

Steve Schmidt:
Eines der Dinge, auf die sich Amazon im gesamten Unternehmen stark konzentriert, ist die Idee eines Single-Thread-Eigentümers. Also jemand, dessen Aufgabe es ist, sich auf eine Komponente von etwas zu konzentrieren. Und was die Sicherheit angeht, haben wir aus zwei Gründen einen CISO für jedes einzelne Unternehmen.

Zum einen möchte ich jemanden, der sich jeden Tag darauf konzentriert, egal ob es Amy Herzog ist, die im Bereich Geräte und Kuiper tätig ist, oder ob es Chris Betz ist, der sich um AWS kümmert. Aber gleichzeitig verwende ich für all diese Dinge gemeinsame Maße. Ich schaue mir zum Beispiel einen monatlichen Geschäftsbericht zum Schwachstellenmanagement an, der das gesamte Unternehmen umfasst und dieselben Zahlen, dieselben Methoden, dieselben Darstellungsmethoden usw. verwendet.

So erhalten wir eine gemeinsame Ansicht, die in allen diesen Unternehmen konsistent ist. Und es ermöglicht uns, zwei Dinge zu tun. Zum einen müssen wir sicherstellen, dass wir die Anforderungen erfüllen, und zum anderen müssen wir sicherstellen, dass wir in allen Bereichen des Unternehmens die gewünschte Sichtbarkeit anwenden. Denn oft denken die Leute, wenn sie Probleme haben, oh, das ist keine wichtige Sache, das ist eine Kleinigkeit usw.

Und da kommt der Bösewicht rein und wir werden alle gebissen. Indem wir eine Art Rundum-Übersicht über alles bieten, stellen wir sicher, dass wir in jedem Teil des Unternehmens die Dinge tun, die wir tun müssen.

Clarke Rodgers:
Und dann haben Sie zentralisierte Systeme unter dem Dach von Amazon Security oder AMSEC, die jeder nutzen kann.

Steve Schmidt:
Es gibt also viele Dinge, die in allen unseren Unternehmen grundsätzlich gleich sind. Die Art und Weise, wie man bestimmte Arten von Daten sammelt, wie man diese Daten analysiert oder darüber berichtet, und anstatt jedes einzelne Unternehmen dazu zu bringen, immer wieder dasselbe zu tun, beschließen wir, sie an einem Ort zu bündeln. Dadurch können wir beispielsweise Entwicklerzeit sparen.

Wenn Sie also über den Betrieb im großen Maßstab nachdenken, kehren wir zum Schwachstellenmanagement und zur Sammlungs-Engine zurück, für die Sie Techniker auf Abruf haben müssen. Wenn Sie schon einmal eine Organisation mit Bereitschaftsdienst geleitet haben (was bei Ihnen der Fall ist), dann haben Sie sich gedacht, dass Sie statt einer Person auf Abruf ungefähr sieben Leute brauchen, um dies effektiv zu erledigen und Urlaub, Ferien und alles andere unterzubringen.

Clarke Rodgers:
Wir wollen, dass die Leute Urlaub machen.

Steve Schmidt:
Das ist richtig. Indem wir dies von einem Ort aus auf eine Reihe verschiedener Unternehmen verteilen, können wir dies effektiver erreichen, da wir zentral und zu geringeren Kosten bessere Werkzeuge erhalten.

Clarke Rodgers:
Welche Praktiken haben Sie entweder entwickelt oder befolgt, um den Sicherheitsstatus all dieser unterschiedlichen Unternehmen an den Vorstand von Amazon zu melden?

Steve Schmidt:
Der Vorstand von Amazon ist in erster Linie wirklich interessant. Es gibt nur sehr wenige Gremien, die über ein derart umfassendes technisches Verständnis der Bevölkerung verfügen wie der Vorstand von Amazon. Dennoch hat Amazon vor einigen Jahren beschlossen, einen Sicherheitsunterausschuss einzurichten. Im Gegensatz zu vielen Stellen, an denen die Sicherheit beispielsweise dem Prüfungsausschuss Bericht erstatten kann, gibt es eine spezielle Gruppe von Personen, deren Aufgabe es ist, sich nur mit der Sicherheit im Vorstand von Amazon zu befassen.

Das ist großartig und bedeutet auch, dass wir in diesem Prozess sehr genau unter die Lupe genommen werden. Wir mussten also aus zwei Gründen einen Berichtsmechanismus entwickeln, der sich im Laufe der Zeit weiterentwickelt. Zum einen, weil wir unsere Arbeit bei der Berichterstattung besser erledigen können. Und zum anderen wird der Vorstand im Laufe der Zeit noch besser informiert. Sie stellen gezieltere Fragen und möchten genauere Informationen über Nischen im Unternehmen erfahren. Im Allgemeinen finden wir, dass es wichtig ist, ihnen bei jedem Gespräch über bestimmte Geschäftsbereiche zu berichten. Erfüllen wir an bestimmten Stellen unsere Sicherheitsanforderungen?

Darüber hinaus gibt es Dinge, die sie wirklich interessieren. Erzählen Sie uns von diesem bestimmten Teil des Geschäfts oder von dieser Sache, auf die wir uns einlassen und die unserer Meinung nach viele Risiken birgt, also geben Sie uns einen Überblick über dieses und jenes. Und das ermöglicht uns eine konsistente Komponente, eine variable Komponente, die auf ihrem Interesse basiert.

Und dann beschließen wir, am Ende etwas mit dem Titel „Aktuelle Ereignisse“ einzufügen. Dabei nehmen wir alles, was Sie in den Nachrichten gesehen haben, reduzieren es auf die Dinge, von denen wir meinen, dass sie für uns besondere Lehren oder Erkenntnisse bergen, und präsentieren dies dem Vorstand am Ende als informativen Bestandteil. Hier ist etwas, das in der Branche passiert ist, und hier ist der Grund, warum wir nicht betroffen waren.

Dies ist die Investition, die dazu geführt hat, dass wir nicht betroffen waren. Und ich denke, das hat einen enormen Wert für den Vorstand. Erstens verstehen sie, dass wir uns in einer guten Position befinden, und zweitens hilft es ihnen, künftige Investitionsentscheidungen zu treffen. Wenn wir also sagen können, dass wir vor acht Jahren, vor zehn Jahren in die Multifaktor-Authentifizierung investiert haben und das verhindert hat, dass dieser spezielle Bedrohungsakteur, der in dieses andere große Unternehmen geraten ist, uns beeinträchtigt hat, sagen sie, okay, großartig. Was sind die anderen Investitionen, die wir jetzt planen sollten und die uns in 10 Jahren helfen werden, weiterhin Probleme zu vermeiden?

Clarke Rodgers:
So viele unserer CISO-Kunden konzentrieren sich stark auf den Vorstand. Einige von ihnen bekommen nicht so viel FaceTime wie andere. Und Sie haben bereits darauf hingewiesen, dass unser Vorstand aufgrund seines Sicherheitsbewusstseins einzigartig ist. Welche Empfehlungen würden Sie Ihren CISO-Kollegen oder CSO-Kollegen geben, die ihren Vorständen Bericht erstatten, um wirklich zu helfen, ihre Argumente zu vermitteln, die Sprache des Vorstands zu sprechen usw.?

Steve Schmidt:
Der wichtigste Grund, warum mir die Vorstandsmitglieder unsere Arbeitsweise gefallen, ist, dass wir sehr darauf achten, Fachjargon zu vermeiden. Viele Leute in den CISO-Rollen sind technisch versiert und wollen über Dinge auf eine Weise berichten, die

Clarke Rodgers:
Die Bits und die Bytes.

Steve Schmidt:
Genau, die Art und Weise widerspiegeln, wie sie darüber denken. Aber wir müssen bedenken, dass der Vorstand hier der Kunde ist. Wenn wir also vor ihnen präsentieren, müssen wir ihre Sprache sprechen und wir müssen Wege finden, Dinge in einem Kontext zu erklären, der für den jeweiligen Vorstand Sinn macht.

Das Wichtigste ist also, einen konsistenten Berichtsmechanismus zu finden, anstatt ihn jedes Mal zu ändern, da es dann im Grunde schwieriger wird, ihn zu begreifen. Zweitens müssen Sie herausfinden, welche zwei oder drei Kennzahlen wirklich superwichtig sind und die man jedes Mal vermitteln möchte.

Man darf die Leute nicht in Metriken ertränken. Zum Beispiel berichten wir immer, wirklich immer über das Schwachstellenmanagement. Es ist die mit Abstand wichtigste grundlegende Sicherheitskontrolle, die wir durchführen, und ich denke, jeder führt sie durch. Und dann muss man herausfinden, welche Dinge am Ende interessante Add-ons sind, die einem bei der Entwicklung helfen, in was man investieren sollte. Also muss man diese bewusste Trennung zwischen den Komponenten des Berichtsprozesses vornehmen.

Clarke Rodgers:
Und wenn wir hier investieren, reduzieren wir das Risiko dort drüben?

Steve Schmidt:
Ja, es ist eine Kombination aus aktueller Risikominderung und zukunftsorientierter Reduzierung, und das Vorausschauende ist wahrscheinlich der schwierigste Teil unserer Arbeit als Sicherheitsexperten, weil wir keinen Existenznachweis haben, den wir verwenden könnten. Und viele Leute schauen es sich an und sagen, ist das wirklich notwendig?

Müssen wir das jetzt machen? Müssen wir es so ausführlich machen? Können wir den Maßstab nicht verkleinern? Das sind die Argumente, die wir alle haben müssen, und wir müssen in der Lage sein, im Laufe der Zeit eine derartige Wissensbasis im Gremium aufzubauen und zu sagen: Dies sind die Beispiele für die Ausnutzung von Dingen in der realen Welt, die ungefähr so aussehen, und wir denken, dass sie in diesem Zeitraum auf uns zutreffen werden, deshalb müssen wir jetzt oder in zwei Jahren oder in drei Jahren oder wann auch immer handeln.

Clarke Rodgers:
Verstehe. Bei Amazon sind wir also bekannt für unsere Innovation, wir arbeiten rückwärts, hören unseren Kunden zu und so weiter. Als Sicherheitsverantwortlicher hat man viele Möglichkeiten, und das kann dazu führen, dass Ihre CISOs Ihnen Bericht erstatten. Sie haben viele Möglichkeiten, welche Tools Sie kaufen und welche Sie selbst erstellen müssen. Oft kommt es auf den Maßstab an.

Die kommerzielle Standardsoftware kann also möglicherweise nicht auf die Größe von Amazon skaliert werden, und Sie müssen etwas eigenes erstellen. Im letzten Jahr haben wir öffentlich über Tools wie Madpot, Mithra und Sonaris gesprochen. Wie argumentieren Sie als CSO, dass die finanziellen Mittel tatsächlich für die Bereitstellung der technischen Ressourcen für derartige Tools (und wahrscheinlich viele andere Tools, über die wir noch nicht gesprochen haben) aufgebracht werden. Wie argumentieren Sie, dass sich Ihre Investition lohnt und dass wir hiervon einen Mehrwert erhalten?

Steve Schmidt:
Gerne. Unterscheiden wir also zunächst zwischen einem gekauften Tool und etwas, das wir selbst entwickeln. Ich denke, das ist ein wichtiger Ausgangspunkt. Wir kaufen Werkzeuge, wenn es sich um einen Gebrauchsgegenstand handelt. Zum Beispiel kaufen wir Endpoint Detection Response, anstatt es selbst zu entwickeln. Warum? Weil die Mac-Laptops, die Windows-Laptops und die Linux-Laptops, die wir verwenden, dieselben sind, die auch viele andere Leute verwenden.

Wir haben vielleicht eine etwas andere Software auf ihnen, aber das unterscheidet unser Geschäft nicht wirklich. Wobei wir allerdings die Einzigen sind, die ein sehr großes System wie beispielsweise Madpot bauen können. Wo wir etwas bauen können, was sonst niemand kann, investieren wir in der Regel.

Wir führen diesen Anlageprozess auf die gleiche Art und Weise durch, wie wir viele andere Dinge auch tun. Man schafft einen Prototyp, man probiert aus, sieht, was funktioniert. Beim ersten Mal macht man es garantiert nicht richtig. Also müssen Sie etwas neu konstruieren, es ein bisschen ändern und so weiter. Madpot unglaublich erfolgreich, ist aber nicht einfach über Nacht aufgetaucht. Es war eine Investition über viele, viele Jahre. Es begann mit einem einzigen Ingenieur, der sagte „diese Idee gefällt mir. Schauen wir mal, ob etwas Interessantes daraus werden kann.“

Und dann ist daraus diese Engine geworden, die es uns ermöglicht, wirklich aktuelle Bedrohungsdaten zu erfassen, die wir dann verarbeiten und in die Sicherheitstools einspeisen können, auf die alle unsere Kunden Zugriff haben. Und ich denke, das ist der wichtigste Teil. Viele unserer Kunden sagen beispielsweise, dass sie einen Rohdaten-Feed zu Bedrohungsinformationen möchten.

Und nein, eigentlich stimmt das nicht. Was Sie wirklich wollen, ist das, was für Sie in dem Kontext, in dem Sie gerade arbeiten, relevant ist. Der Rest ist bloß Lärm und sein Ausmaß ist mittlerweile so gewaltig, dass es sinnlos ist, zu versuchen, das Ganze zu verarbeiten, es sei denn, Sie haben ein Geschäft wie unseres.

Daher haben viele unserer Kunden festgestellt, dass sie Dinge wie Bedrohungsinformationen sehr, sehr gerne als Teil eines Managed Service nutzen. Und so müssen sie ihre Zeit nicht damit verbringen, sehr große Datenmengen oder fehlenden Kontext aufzuspüren, weil er nicht auf mehrere Kunden angewendet wurde.

Und diese Sache mit dem Kontext ist wichtig. Hier ist die zentrale Transparenz, die nur wir haben, um auf den ursprünglichen Teil zur Kommerzialisierung im Vergleich zu Sonderanfertigungen zurückzukommen, ein echter Vorteil.

Clarke Rodgers:
Und dann lautet der interne Pitch, in Ermangelung eines besseren Wortes, wohl: Dies hilft uns, AWS bzw. Amazon zu sichern und bietet Vorteile für unsere Kunden. Also ist es ein Gewinn.

Steve Schmidt:
Und im typischen Amazon-Sprachgebrauch beginnen wir zuerst mit den Kunden und sagen, das hilft allen unseren Kunden, sich besser abzusichern. Und gleichzeitig hilft es uns bei unserem Geschäft, da die meisten unserer Unternehmen sowieso Amazon-AWS-Kunden sind. Ein Vorteil auf ganzer Linie also.

Clarke Rodgers:
Das ist großartig. Sehen wir uns nun etwas anderes an. Das vergangene Jahr war das Jahr der generativen KI. Die Mehrheit unserer Kunden, mit denen ich spreche, hat sich darauf konzentriert, die KI der Generation A als ein Tool zu sichern, das das „Unternehmen“ verwendet. Vielleicht ist es ein Drittanbieter-Tool, vielleicht verwenden sie Amazon Bedrock, was auch immer der Fall sein mag. Aber sichern wir uns das Tool. Was sehen Sie oder vielleicht, was tun wir innerhalb von Amazon tatsächlich, indem wir generative KI als Sicherheitstool oder als Teil Ihrer Sicherheitstoolkette einsetzen?

Steve Schmidt:
Der effektivste Einsatz generativer KI, den wir bisher gesehen haben, war also der Anwendungssicherheitsprozess selbst. Wenn Sie mit AWS vertraut sind, wissen Sie, dass jede einzelne Feature-App usw., die veröffentlicht wird, vorher einer Sicherheitsüberprüfung unterzogen wird. Andere Unternehmen hatten diesen Luxus in der Vergangenheit nicht, weil das unglaublich teuer ist, vor allem, wenn man bedenkt, dass es buchstäblich Tausende von Sicherheitstechnikern bedeutet, die daran arbeiten.

Die meisten Unternehmen da draußen verfügen nicht über die Gesamtzahl der Sicherheitsingenieure, die wir gerade bei Amazon für AppSec-Aufgaben haben. Generative KI bietet uns also in diesem Bereich eine enorme Hebelwirkung. Ich gebe zu, die befindet sich noch in der wissenschaftlichen Phase, aber es ist sehr vielversprechend.

Wir gehen davon aus, dass wir im Laufe der Zeit wahrscheinlich eine Reduzierung der menschlichen Arbeitsbelastung im Bereich der Anwendungssicherheit um 60 bis 70 % feststellen werden, was bedeutet, dass wir Dinge schneller erledigen können, und zwar zu niedrigeren Kosten und mit besserer Konsistenz in Unternehmen wie AWS, das schon immer in die Bewertung von allem investiert hat, und in Bereichen, in denen es die Möglichkeit gibt, mehr zu prüfen, was noch nie zuvor bewertet wurde, bedeutet das, dass wir eine größere Abdeckung erhalten können. Also zwei Fliegen mit einer Klappe sozusagen.

Clarke Rodgers:
Sie werden also die menschlichen Stunden, die Sie mit generativer KI sparen, nutzen und sie für andere Cybersicherheitsherausforderungen einsetzen.

Steve Schmidt:
Oh, es wird tatsächlich darum gehen, die Dienstleistungen, die wir haben, eingehender zu betrachten und mehr Anwendungen auf der ganzen Linie zu prüfen. Das andere ist, dass generative KI für vieles davon nicht die gesamte Lösung sein wird. Dadurch werden sozusagen viele der leicht zu bewältigenden Aufgaben ausgesondert und unseren Ingenieuren ermöglicht, sich auf die wirklich interessanten Probleme zu konzentrieren, die nur ein Mensch lösen kann.

Die Leute denken, oh, generative KI kann alle Probleme lösen – noch nicht. Und ich denke, jeder, der Ihnen im Sicherheitsbereich sagt, dass das möglich ist, versteht wahrscheinlich nicht wirklich, was vor sich geht. In diesem Bereich muss es immer menschliche Aufsicht geben, zumindest jetzt noch. Und was noch wichtiger ist, es muss ein menschliches Urteil darüber geben, ob die generative KI die richtige Entscheidung getroffen hat oder nicht.

Clarke Rodgers:
Mit Menschen sprechen oder bei ihnen bleiben. Was macht einen guten Sicherheitsmitarbeiter bei Amazon oder AWS aus?

Steve Schmidt:
Ich würde sagen, das Wichtigste, worauf wir bei unseren Mitarbeitern im Sicherheitsbereich achten, und die meisten Leute denken, diese besondere Art von technischem Scharfsinn, nein, Neugier.

Clarke Rodgers:
Erzählen Sie mir mehr darüber.

Steve Schmidt:
Was es bedeutet, ist jemand, der sich ein Problem nicht ansieht und sagt, oh, okay, das ist es. Sie sagen vielmehr „warum ist das passiert?“ Nun, wie ist es überhaupt hierher gelangt? Warum haben wir es nicht früher entdeckt? Warum konnte ein Entwickler diesen Fehler überhaupt begehen? Es ist die Art von Person, die immer weiter untersucht, die uns wirklich, wirklich interessiert.

Und Sie kennen sich wirklich mit dem von uns verwendeten Verfahren zur Fehlerkorrektur aus, COE. Fünf Gründe. Es geht darum, das Problem wirklich an der Wurzel zu packen, anstatt nur ein Symptom des Problems von oben anzugehen.

Clarke Rodgers:
Neugier ist also König,

Steve Schmidt:
Neugier ist König. Ja.

Clarke Rodgers:
Wenn ich Ihnen eine Kristallkugel gebe ...

Steve Schmidt:
Ohje.

Clarke Rodgers:
Entschuldigung! Das ist die Frage. Wenn man in diese Kristallkugel schauen, worauf werden sich CSOs und CISOs in den kommenden Jahren konzentrieren?

Steve Schmidt:
Nun, ich denke, die meisten Menschen werden sich auf generative KI konzentrieren müssen, weil ihre Unternehmen diese Dienste in einem unglaublichen Tempo nutzen, und sie werden zwei Dinge tun müssen. Nummer eins ist einfach zu verstehen, wo sie generative KI einsetzen. Und ich glaube, wir sind bei Amazon in einer glücklichen Lage und verfügen über eine zentrale Sichtbarkeit, die es uns ermöglicht zu sehen, wo alle unsere Entwickler generative KI verwenden.

Die meisten Unternehmen sind nicht in dieser Position und müssen dies erst herausfinden. Zweitens müssen Sie für generative KI herausfinden, wie Sie RAG durchführen und ob Sie während des gesamten Prozesses Autorisierung und Authentifizierung angemessen durchsetzen. Das ist nicht gerad einfach. Es ist etwas, was die Softwarewelt noch nicht einmal vollständig im Griff hat.

Und das ist unheimlich wichtig, um generative KI so nutzen zu können, dass nur die Daten als Ergebnis der Eingabeaufforderung zurückgegeben werden, auf die die Person am anderen Ende zu diesem Zeitpunkt von dem Ort aus, an dem sie sich gerade auf dem Gerät befindet, das sie gerade verwendet, zugreifen darf. Die meisten Menschen haben noch nicht einmal über dieses Problem nachgedacht.

Aber in Wirklichkeit ist es so: Wenn Sie sich unsere internen Systeme bei Amazon jetzt ansehen, messen wir eine Menge Dinge über Sie, wenn Sie an Ihrem Laptop sitzen und unsere internen Systeme verwenden. Ist Ihr Laptop buchstäblich in dem Zustand, in dem wir ihn erwarten? Haben Sie Patches durchgeführt usw.?

Wir alle kennen die kleinen Pop-ups, die darauf hinweisen, dass wir unter Quarantäne gestellt werden, wenn wir den Patch nicht installieren. Und wo auf der Welt befinden Sie sich? Was ist dein Job? Und Dinge, von denen die meisten Menschen nicht einmal wissen, dass wir uns das ansehen, wie, welcher Wochentag ist heute? Und ist dies eine Uhrzeit, zu der Sie normalerweise Zugang haben, oder sind Sie an einem ungewöhnlichen Ort? Und solche Dinge.

Clarke Rodgers:
Ist das normal für Clarke?

Steve Schmidt:
Das ist richtig. Ist das normal für Clarke und ist das normal für eine Person mit Clarkes Rolle? Und diese Kontrollen gibt es an den meisten Orten einfach nicht. Deshalb ist die Implementierung von Integritätsschutz so wichtig. Mir ist egal, welches System Sie dafür verwenden, Sie müssen nur Integritätsschutz haben.

Und dieser Integritätsschutz muss ständig weiterentwickelt werden, da sich die Bedrohungslandschaft um Sie herum verändert, sich die Wissenschaft der generativen KI verändert und Ihr Unternehmen immer mehr darüber entscheidet, wie die Daten, die es in ein System generativer KI einspeist, akzeptabel verwendet werden können.

Clarke Rodgers:
Das ist ein fantastischer und großartiger Rat. Wir werden sehen, ob Ihre Prognosen wahr werden. Steve, Sie sind der Chief Security Officer für ganz Amazon. Es ist gelinde gesagt ein stressiger Job. Was tun Sie, um nicht nur selbst geistig gesund zu bleiben und Dampf abzulassen, sondern auch, um auf dem Laufenden zu bleiben, was die Welt betrifft, sich ein- und auszuklinken, und wie stellen Sie dann auch sicher, dass Ihre Führungskräfte dasselbe tun und auf sich selbst achten?

Steve Schmidt:
Das Erste, worauf ich mich bei all unseren Führungskräften konzentriere, egal ob sie neu oder fest im Unternehmen sind, ist, wie Sie etwas tun, um sich von der Arbeit abzugrenzen? Unsere Jobs sind unglaublich stressig. Es gibt Dinge, die praktisch nie ausgeschaltet sind.

Es ging also darum, eine Möglichkeit zu haben, die Verantwortung formal zwischen den Leuten zu verschieben und zu sagen: „So, Clark, Sie haben die nächsten sechs Tage Urlaub.“ Wir möchten nichts von Ihnen hören! Ich will nicht, dass Sie online sind. Und unsere Mitarbeiter sind unglaublich engagiert. Es gab Situationen, in denen ich buchstäblich damit drohen musste, den Leuten die Computer auszuschalten, denn sie waren im Urlaub und sollten mir keine E-Mails schicken.

Ich weiß diesen Einsatz zu schätzen, aber das Problem ist, dass sie ausbrennen werden. Und das sind Marathons. Es sind keine Sprints. Deshalb ist es sehr wichtig, diesen Mechanismus aufzubauen. Die zweite Sache ist, etwas zu haben, das es ihnen ermöglicht, etwas zu tun, das ihnen individuell wichtig ist. Manche Menschen sind Musiker, manche erklimmen Berge, manche gehen angeln. Ich persönlich bin freiwilliger Feuerwehrmann und Sanitäter.

Clarke Rodgers:
Oh wow.

Steve Schmidt:
Es ist etwas, das für mich das genaue Gegenteil von meinem Tagesjob ist. Wir sind schließlich Menschen. Wir lieben es, mit Menschen zu interagieren. Ich spreche hier von Angesicht zu Angesicht mit Ihnen. Yay, nicht über Video. Das ist großartig. Aber mein Tagesjob besteht aus zwei Dingen, die sich stark davon unterscheiden.

Zum einen zeigt das meiste, was ich in meiner täglichen Arbeit mache, erst in drei, fünf, zehn Jahren Wirkung. Die Belohnung kommt also nicht sofort. Zweitens sind es alles Computer mit ein paar Leuten dazwischen, und diese Leute kann ich nicht einmal sehen oder berühren. Wenn ich also meinen Job gut mache, als Feuerwehrmann oder Sanitäter, kann ich einer Person, die ich erreichen und berühren kann, helfen, einen besseren Tag zu haben. Und dies gibt mir das sofortige Feedback, nach dem ich mich als Mensch sehne. Und zweitens ist es sehr physisch, im Gegensatz zu etwas, das rein logisch ist.

Clarke Rodgers:
Eine andere Art von Stress, aber wahrscheinlich, vielleicht, eine gesündere.

Steve Schmidt:
Das ist es. Und die Ironie besteht darin, dass es eine Reihe von Studien gibt, die belegen, dass bei Leuten, die schon lange bei der Feuerwehr sind, der Puls tatsächlich sinkt, wenn die Sirenen losgehen, weil sie sich dort wohlfühlen und es genießen. Und seien wir ehrlich: Wer fährt nicht gerne mit Sirene und Blaulicht auf einem LKW die Straße entlang? Es macht viel Spaß.

Clarke Rodgers:
Das ist großartig. Und ich könnte mir vorstellen – und ich würde gerne mehr darüber hören – dass Sie als CSO jeden Tag mit Entscheidungen und sehr kritischen Entscheidungen konfrontiert werden. Sind Sie ein Sanitäter oder Feuerwehrmann mit höherem oder niedrigerem Rang, sodass jemand anderes die schwierigen Entscheidungen trifft und Sie sich nur auf Ihren Arbeitstag konzentrieren?

Steve Schmidt:
Ironischerweise bin ich eigentlich stellvertretender Chef in der Organisation, aber hier geht es mehr um Führungsqualitäten als um technischen Scharfsinn in den anderen Bereichen. Aber ich mache das seit 38 Jahren.

Clarke Rodgers:
Das klingt hervorragend.

Steve Schmidt:
Also habe ich ein bisschen Erfahrung gesammelt.

Clarke Rodgers:
Prima. Steve, vielen Dank, dass Sie heute zu mir gekommen sind.

Steve Schmidt:
Vielen Dank. Es war toll, hier zu sein.

Jetzt anhören

Jetzt anhören

Jetzt anhören