Wie die C-Suite die Messlatte für Sicherheitskultur setzt

Clarke Rodgers:
Wir sagen oft, dass Sicherheit bei AWS oberste Priorität hat, aber wie stellen wir sicher, dass dies tatsächlich der Fall ist? Es beginnt damit, die Zustimmung von oben zu gewinnen und eine Sicherheitskultur im gesamten Unternehmen aufzubauen.

Hallo, ich bin Clarke Rodgers, Director of Enterprise Strategy bei AWS, und führe eine Reihe von Gesprächen mit führenden AWS-Sicherheitsexperten hier auf Executive Insights.

Heute sprechen wir mit Sara Duffer. Aufgrund ihrer früheren Tätigkeit als technische Beraterin des Amazon CEO verfügt Sara über ein ungewöhnlich tiefes Verständnis der Amazon-Sicherheit. Seien Sie dabei, wenn Sara von ihren Erfahrungen als Security Leader und als Technical Advisor berichtet. Viel Spaß beim Zuhören.

Clarke Rodgers:
Vielen Dank, dass Sie heute bei mir sind.

Sara Duffer:
Vielen Dank. Es ist schön, hier zu sein.

Clarke Rodgers:
Ich würde mich freuen, wenn Sie mir etwas über Ihre Karriere und Ihre aktuelle Rolle bei AWS erzählen würden.

Sara Duffer:
Also, ich bin jetzt seit 13 Jahren hier bei AWS. Ich habe ursprünglich im AWS-Infrastrukturteam angefangen, wo ich viel Zeit in unseren Rechenzentren verbracht habe. Danach habe ich ziemlich schnell in unser damals noch sehr kleines Compliance-Team gewechselt, aus dem unser Security Assurance-Team wurde.

Clarke Rodgers:
Und waren Sie schon immer im Bereich Sicherheit tätig, oder sind Sie erst zur Sicherheit gekommen, als Sie zu AWS kamen?

Sara Duffer:
Ich bin schon immer im Bereich Sicherheit tätig. Meine berufliche Laufbahn habe ich nach dem College begonnen. Ich habe mich direkt mit Angriffen und Penetration beschäftigt, mit physischer Sicherheit – ich habe angefangen, legal in Organisationen einzubrechen. Und dann habe ich mich mehr mit der Implementierung von Sicherheitslösungen befasst. Ich habe also die Probleme gelöst, die ich gefunden habe, und das hat Spaß gemacht, und schließlich bin ich zu AWS gegangen.

Clarke Rodgers:
Ihr Hintergrund in puncto Sicherheit ist schon beeindruckend genug, aber Sie hatten noch eine weitere Rolle bei AWS und Amazon, die ziemlich einzigartig ist, und zwar die des Technical Advisors. Könnten Sie uns etwas darüber erzählen, was ein Technical Advisor ist und was er tut?

Sara Duffer:
Also angefangen habe ich in der Rolle als Technical Advisor im November 2020. Ich war Technical Advisor von Andy Jassy, der zu dieser Zeit CEO von AWS war. Natürlich wurde er später CEO von Amazon und ich wechselte in dieser Funktion als TA zu Andy. Und ein TA ist im Grunde genommen eine Lehrrolle. Es geht also darum, einer Führungskraft in einem Tempo, das Sie noch nie zuvor gesehen haben, etwas über Umfang und Ausführung beibringen zu können. Und das war ein absolut fantastisches Erlebnis.

Clarke Rodgers:
Gibt es also wichtige Erkenntnisse, die Sie aus Ihrer Erfahrung in der Rolle als TA gezogen haben?

Sara Duffer:
Jeden Tag gab es eine solche Lektion. Eines der Dinge, die ich schon sehr früh getan habe, als ich in die Rolle des TA schlüpfte, war, dass ich eine laufende Liste führte – ich nenne sie meine Einzeiler „Lessons Learned“, die ich wöchentlich ergänzen wollte. Ich habe sehr schnell festgestellt, dass ich fast täglich neue Beobachtungen zu großen Führungspersönlichkeiten mache und dazu, wie sie handeln und wie sie sich engagieren. Es gab also viele Lektionen. 3 davon stechen für mich besonders hervor – und die habe ich durch das Beobachten und die Zusammenarbeit mit Andy gelernt. Die erste ist, dass Zeit eine so wertvolle Ressource ist. Man muss sehr sorgfältig darüber nachdenken, wo man seine Zeit investiert.

Und das passt sehr gut zur nächsten, die lautet, wenn du „Ja“ sagst, muss es voll und ganz ein „Ja“ sein. Man muss es wirklich ernst meinen und man muss über sein zukünftiges Selbst nachdenken, nicht nur über das aktuelle Ich. Er sagt: „Klar, das kann ich irgendwann in der Zukunft machen.“ Und das klingt so einfach und ist tatsächlich viel schwieriger auszuführen. Das sind 2 Kernpunkte.

Dann die nächste Lektion, die ich gerade gesehen habe, und die von so vielen unglaublichen Führungskräften wiederholt wird, aber Andy ist offensichtlich außergewöhnlich darin, er zeigt eine unersättliche Neugier. Diese Art des Fragenstellens ist erstens konstruktiv, kann aber auch sehr schnell dazu führen, dass Sie das Verständnis der Grundlagen des Meetings, in dem Sie sich gerade befinden, oder der zentralen Lernblöcke, der Denkweise des Teams, auf die Probe stellen. Sie können das Team überprüfen und anspornen, um sicherzustellen, dass seine Denkweise mit der Denkweise von Amazon übereinstimmt und welche Dinge wir vom Team lernen können. Und diese unersättliche Neugier zeigte sich immer wieder, durchweg bei allen hochrangigen Führungskräften bei Amazon.

Clarke Rodgers:
Das klingt hervorragend. Lassen Sie uns also zu Ihrer aktuellen Rolle wechseln. Eines der Themen, die in unseren AWS-CISO-Kreisen immer wieder auftauchen, ist die Post-Quanten-Kryptografie. Was sind Ihre Gedanken dazu?

Sara Duffer:
In den heutigen Kryptografieverfahren mit öffentlichem Schlüssel werden mathematische Probleme bei der Faktorisierung diskreter Logarithmen und der elliptischen Kurvenkryptografie genutzt. Wir befinden uns also in den Anfängen des Quantencomputers, und daraus werden sich viele Vorteile für die Gesellschaft ergeben. Einer davon ist die Fähigkeit, schwierige Rechenprobleme viel schneller zu lösen, jedoch mit den unbeabsichtigten Folgen davon, dass es in Zukunft möglicherweise einen Quantencomputer geben könnte, der vielleicht in der Lage ist, unsere heutigen Public-Key-Verschlüsselungsschemata zu knacken. Daher gibt es heute viele Diskussionen über Post-Quanten-Kryptografie (PQC) und über Schemata, über deren Einführung wir heute nachdenken können, um unsere Daten auch in einer möglichen Zukunft zu schützen, in der Quantencomputer ins Spiel kommen werden.

AWS leistet heute viel Arbeit in diesem Bereich. Wir haben unsere Kryptografen, die tatsächlich zu PQ-Schlüsselvereinbarungen und PQ-Signaturschemata beigetragen haben. Und das ist nicht nur reine Theorie. Es gibt viele Theorien und es gibt eine Menge Arbeit, die zum Beispiel das NIST in diesem Bereich leistet, zu der auch wir beitragen. Aber es gibt auch die Realität und für unsere TLS-1.3-Endpunkte haben wir heute PQ in unserem AWS Secrets Manager, unserem KMS-Service und unserem Zertifikatsverwaltungsservice implementiert. Es ist also tatsächlich etwas, das die Leute heute sogar ausprobieren könnten, was irgendwie cool ist.

Clarke Rodgers:
Ungefähr im letzten Jahr hat generative KI die Welt in allen möglichen Formen und Moden im Sturm erobert. Wie denken Sie du darüber in der Krypto-Umgebung? Wird das hilfreich sein? Wird es ein Hindernis sein? Ist es noch zu früh?

Sara Duffer:
Ich denke, dass wir aus der Perspektive von Gen KI viele Diskussionen über die Sorge um die Offenlegung von geistigem Eigentum hören. Aus diesem Grund wird immer häufiger über Techniken zur Wahrung der Privatsphäre diskutiert, mit denen Sie z. B. große Datenmengen trainieren und die damit verbundene IP schützen können. Das Team konzentriert sich also sehr auf diesen Bereich und denkt darüber nach, während wir uns intern umsehen, welche Lösungen wir haben.

Clarke Rodgers:
Sicherheitstrends und Prognosen sind für unsere Kunden von großem Interesse. Was wird Ihrer Meinung nach in den nächsten, sagen wir mal, 3 oder 5 Jahren im Sicherheitsbereich passieren?

Sara Duffer:
Für mich gibt es 2 Bereiche, die mich gerade wirklich interessieren. Einer davon, der noch in den Kinderschuhen steckt, aber ich glaube, dass er bei den CISOs immer mehr in den Vordergrund rücken wird, ist das Konzept der kryptografischen Datenverarbeitung. Kryptografische Datenverarbeitung ist also eine Möglichkeit, kryptografische Mittel einzusetzen, um mehreren Parteien den Austausch von Informationen auf eine Weise zu ermöglichen, die es erlaubt, diese Informationen geheim zu halten. Ein Beispiel dafür ist AWS Clean Rooms, ein Service, der es unseren Kunden ermöglicht, zusammenzuarbeiten, Informationen auszutauschen und Erkenntnisse zu gewinnen. Es gibt sogar einen Teil davon, der als kryptografischer Rechner für Clean Rooms bezeichnet wird. Und das ermöglicht es Kunden, Informationen auf kryptografische Art und Weise auszutauschen. Wir stehen noch am Anfang und man hört noch nicht so viel darüber, aber das Konzept der Wahrung der Privatsphäre wird immer mehr zum Thema kryptografische Datenverarbeitung.

Wenn man bedenkt, dass sich die Welt heute mehr und mehr in Richtung Datenanalyse entwickelt und wie wir mehr Daten teilen und lernen können, usw. Und immer häufiger wird die Frage gestellt: „Mit welchen Techniken kann man die Privatsphäre bewahren?“ Und einer dieser Wege ist der Einsatz kryptografischer Datenverarbeitung.

Der andere liegt mir sehr am Herzen. Dabei handelt es sich um einen neuen Service, den unser Team in diesem Jahr eingeführt hat, nämlich den AWS Payment Crypto Service. Faszinierend an dem, was dieses Team tut, ist die Tatsache, dass große Prozessoren, um die erforderliche Ende-zu-Ende-Verschlüsselung zu ermöglichen, weiterhin eine Art HSM vor Ort unterhalten müssen. Und AWS Payment Crypto erlaubt es Unternehmen, die AWS Cloud zu nutzen, um die Schlüsselverwaltung und die kryptografischen Funktionen durchzuführen, die Sie traditionell mit einem HSM vor Ort durchgeführt hätten.

Es ist noch sehr früh für diesen Service. Er ist auch noch ziemlich neu. Das Wichtigste an diesem Service ist, dass er auch die PCI-PIN-Anforderungen erfüllt, was absolut entscheidend ist. Und ich denke, dass es in diesem Bereich viel zu beobachten gibt, da man Kunden weiterhin dabei helfen und sie in die Lage versetzen kann, von ihrem On-Premise-System in die Cloud zu wechseln. Und das ist eine spannende Sache, die ich auf jeden Fall im Auge behalten werde.

Clarke Rodgers:
Gehen wir also einen Schritt weiter und betrachten die Entwicklung aus einer anderen Perspektive. Seit Jahren sprechen wir darüber, dass wir sicherstellen müssen, dass wir Sicherheit durch Design in die Anwendungen einbauen, und das hat sich dann zu Compliance by Design und Privacy by Design weiterentwickelt. Welche Anreize setzen Sie, welche Erwartungen stellen Sie an die Entwicklungsteams, damit sie tatsächlich in diese Richtung denken? Und im Idealfall befindet man sich in der Phase der Iteration: „Hier ist das Ding, das ich bauen möchte, lassen Sie mich all diese Dinge in Betracht ziehen“.

Sara Duffer:
Alles dreht sich um die Kultur, die an der Spitze beginnt. Ich meine, man sagt es immer wieder, aber es beginnt wirklich an der Spitze. Sicherheit, Datenschutz, Compliance, das ist wirklich die Hauptaufgabe. Und dieses Gefühl ist Teil der Kultur bei jedem unserer Entwickler bei AWS. Ich glaube, das ist wahrscheinlich der wichtigste Ausgangspunkt. Was aber auch wirklich wichtig ist, ist für jeden unserer Entwickler und für jedes Team und auch für unsere Kunden, die selbst interne Dienste aus der Perspektive der Sicherheit oder des Datenschutzes für Teammitglieder entwickeln, die Entwickler dort abzuholen, wo sie sind.

Ich denke, was man manchmal sieht, ist, dass es in vielen Fällen fehlt, selbst bei diesen taktischen Dingen, die Menge an Arbeit zu messen, die jeder Engineer erledigen muss, und dann tatsächlich gemeinsam zu messen, wie viele dieser taktischen Dinge an alle Entwickler verteilt werden. Angesichts der Gesamtauswirkungen, die die Fähigkeit hat, taktisch auf all diese einmaligen Anfragen zu reagieren, wird plötzlich klar, dass dies eine erhebliche Belastung darstellt, die Engineers im Rahmen ihrer täglichen Arbeit auf sich nehmen.

Es gibt verschiedene Möglichkeiten, dieses Problem zu lösen, aber vielleicht können Sie dadurch schneller herausfinden, ob es proaktive Möglichkeiten gibt, dieses Problem zu lösen, z. B. bei Pipelines, um zu verhindern, dass überhaupt ein Engineer eingeschaltet werden muss. Und das wäre noch besser. Und ich denke, das ist einer der wichtigsten Punkte, abgesehen davon, dass es an der Spitze beginnt und man sicherstellen muss, dass man über die richtigen Richtlinien verfügt, um zu definieren, was zu tun ist. Dann hat man die alltägliche Ausführung und die Identifizierung von Problemen.

Aber das Problemmanagement in Kombination mit dem Änderungsmanagement und der Fähigkeit zu erkennen, was es bedeutet, dem Entwickler dort entgegenzukommen, wo er sich befindet, und in der Lage zu sein, die Grenze zu überschreiten, wenn es sich um ein Problem des Schweregrads 2 oder eines sehr hohen Schweregrads handelt, bei dem wir alles fallen lassen und es beheben müssen. Und lassen Sie uns gleichzeitig einen Blick auf all die anderen Dinge werfen, die wir von den Menschen verlangen. Können wir das auf andere Art und Weise tun und das Ganze rechtzeitig verbessern? Das ist wahrscheinlich einer der interessantesten Bereiche, die wir als Unternehmen im Laufe der Zeit immer wieder unter die Lupe genommen haben: Wie können wir die Belastung der Engineers und die Reibungsverluste, die mit der Behebung von Problemen verbunden sind, konsequent reduzieren?

Clarke Rodgers:
Und ein wichtiger Teil davon ist, wie Sie sagten, die Kultur und die Verantwortung – dass Sicherheit, auch wenn es nicht auf meinem Namensschild steht, Teil meines Jobs ist.

Sara Duffer:
Das sehe ich auch so. Ich stimme voll zu.

Clarke Rodgers:
Ich weiß also, dass Mentoring während Ihrer gesamten Karriere für Sie sehr wichtig war. Welche Mechanismen haben Sie eingerichtet, um sicherzustellen, dass Sie denen helfen, die sich wirklich an Sie wenden und einige Ihrer Ratschläge einholen wollten?

Sara Duffer:
Auf meinem Weg zu AWS und auch während der AWS-Zeit hatte ich das große Glück, dass ich immer unglaubliche Mentoren und Coaches hatte, die jederzeit bereit waren, sich einzubringen und Gespräche mit mir zu führen, um mich zu stärken und für mich einzutreten, wenn ich nicht im Raum war. Ich denke, eines der interessantesten Dinge für mich ist, dass es erstaunlich war, als ich die Rolle des Technical Advisors übernahm. Ja, meine E-Mails wurden mehr, aber was tatsächlich geschah, war der Rückgang der Menschen, die sich einfach nur melden, um Kontakte zu knüpfen, mehr zu erfahren und Möglichkeiten zu erkennen. Und ich glaube, es war ein Fall, in dem die Leute leicht eingeschüchtert waren.

Einer der wertvollsten Mechanismen, die ich heute anwende, ist die Regel, dass ich jedem, der sich meldet, unabhängig von seiner Position im Unternehmen 30 Minuten Zeit gebe. In meiner Rolle als TA war eine der großartigen Möglichkeiten, dass sehr junge Mitarbeitende aus der Organisation, aus unserer Entwickler-Community oder aus unseren Fulfillment-Zentren, sich an sehr erfahrene Personen in der Organisation wenden konnten, die sich dann für ein 30-minütiges Gespräch zur Verfügung stellten, um mehr zu erfahren.

Außerdem sorge ich dafür, dass ich jeden Monat eine bestimmte Zeit speziell für das Mentoring einplane. Normalerweise habe ich also 4 Zeitfenster und Sie erhalten 4 Zeitfenster, 4 Wochen oder 4 Treffen, um sich engagieren zu können. Und am Ende treffen wir eine Entscheidung – machen wir weiter oder eher doch nicht? Somit können die Leute auch einen Ausstiegsplan oder eine Ausstiegsrampe für Teile des Mentorings haben.

Clarke Rodgers:
Das klingt hervorragend. Ich bin sicher, sie wissen diese Gelegenheit zu schätzen. Vielen Dank, dass Sie heute bei mir sind.

Sara Duffer:
Vielen Dank! Das war großartig.