AWS Germany – Amazon Web Services in Deutschland

Aufbau einer sicherheitsfokussierten Denkweise: Drei Kernthemen der AWS re:Invent 2023

Vom 27. November bis zum 1. Dezember 2023 lockte die AWS re:Invent [EN] 52.000 Teilnehmer aus der ganzen Welt nach Las Vegas, Nevada.

Im ihrem zwölften Jahr umfasste die Konferenz 5 Keynotes, 17 Innovationsvorträge sowie über 2250 Seminare und praktische Übungen. Die AWS re:invent 2023 bot damit hervorragende Möglichkeiten tief ins Lernen und Netzwerken einzutauchen.

Amazon CSO Stephen Schmidt

Abbildung 1 – Amazon CSO Stephen Schmidt

Dutzende Ankündigungen zu Produkten und Funktionalitäten, sowie unzähligen, von AWS Mitarbeitern, Kunden und Partnern [EN], geteilten bewährten Methoden machten die Begeisterung spür- und erlebbar. Wir waren vor Ort um all die Innvovationen und Einblicke mitzuerleben. Eine Zusammenfassung der Highlights zu bieten ist jedoch keine leichte Aufgabe. Dieser Beitrag geht daher auf Details von drei wesentlichen Themen im Bereich Security ein, die im besonderen Maße unsere Aufmerksamkeit auf sich zogen.

Kultur der Sicherheit

Wenn wir an Cybersicherheit denken ist es normal, dass wir uns auf die technischen Sicherheitsvorkehrungen fokussieren, die uns helfen unser Geschäft zu schützen. Unternehmen bestehen jedoch aus Menschen – nicht aus Technologie. Die beste Art und Weise uns zu schützen ist es eine proaktive und widerstandsfähige Kultur für Cybersicherheit zu fördern, die effektive Risikominimierung, das Erkennen von Vorfällen und das Reagieren darauf, sowie kontinuierliche Zusammenarbeit ermöglicht.

Im Vortrag “Nachhaltige Sicherheitskultur: Befähigen Sie ihre Entwickler zum Erfolg” (Sustainable security culture: Empower builders for success [EN, extern]), präsentierten Hart Rossman (AWS Global Services Security Vice President) und Sarah Currey (AWS Global Services Security Organizational Excellence Leader) Strategien zum Aufbau einer nachhaltigen Sicherheitskultur.

Rossman stellte dabei fest, dass viele Kunden, die sich mit AWS zum Thema ‚Herausforderungen bei der Sicherheit‘ treffen, versuchen Sicherheit als (Teil-)Projekt oder Programm zu sehen. Er sagte, dass Sie Sicherheit in ihre Geschäftsprozesse einbetten müssen, um ihre Sicherheitslage zu stärken.

„Sie müssen verstehen, dass Sicherheit nicht effektiv sein kann, wenn Sie sie wie ein Projekt oder Programm organisieren. Sie müssen Sicherheit wirklich als betriebliche Notwendigkeit betreiben – eine Kernfunktion ihres Geschäftsmodells. Das kann Wunder wirken.“ — Hart Rossman, Global Services Security Vice President at AWS

Diese drei bewährten Methoden können dabei helfen:

  1. Seien sie beständig hartnäckig. Bedanken Sie sich regelmäßig und ausdrücklich bei Angestellten, die Sicherheitsprobleme melden. Er hört sich vielleicht monoton an, aber Sicherheitsvorfälle und Eskalationen als Lernmöglichkeit zu sehen hilft dabei eine positive Kultur aufzubauen und ist zusätzlich eine Vorgehensweise die auf andere Teams überschwappen kann.
    Ein verständnisvoller Führungsansatz ermutigt Ihre Mitarbeiter dazu, Sicherheit als Gemeinschaftsaufgabe zu betrachten, ihre Erfahrungen auszutauschen und sich als Partner zu fühlen.
  2. Informieren Sie den Vorstand. Binden Sie die Geschäftsleitung in regelmäßige, geschäftsorientierte Besprechungen ein. Stellen Sie betriebliche Kennzahlen bereit, die Ihre Sicherheitskultur mit den Auswirkungen auf Ihre Kunden verknüpfen und die, Daten klar mit Geschäftsergebnissen verknüpfen. Verbunden mit der Möglichkeit, Fragen zu stellen, tragen Sie dazu bei die Unterstützung der Geschäftsleitung aufzubauen. Damit treiben Sie Ihre Bemühungen zur Etablierung einer nachhaltigen proaktiven Sicherheitsstrategie voran.
  3. Haben Sie ein mentales Modell für die Schaffung einer guten Sicherheitskultur. Rossman präsentierte ein Diagramm (Abbildung 2), das drei Elemente der Sicherheitskultur hervorhebt, die er bei AWS beobachtet hat: einen Studenten, einen Verwalter (Steward) und einen Konstrukteur (Builder). Wenn Sie ein guter Steward für Sicherheitskultur sein möchten, sollten Sie ein Student sein, der ständig lernt, experimentiert und bewährte Methoden weitergibt. Wenn Ihr Verantwortungsbewusstsein wächst, können Sie ein Konstrukteur werden und die Kultur in neue Richtungen vorantreiben.
Ein Diagramm eines Amazon Schwungrades

Abbildung 2 – Beispielhaftes mentales Modell zum Aufbau einer Sicherheitskultur

Wohl überlegtes Investment in Inklusivität, Empathie und psychologischer Sicherheit kann Ihren Teammitgliedern helfen, sich selbstbewusst zu Wort zu melden, Risiken einzugehen und Ideen oder Bedenken zu äußern. Dies unterstützt eine eskalationsfreundliche Kultur, die den Burnout der Mitarbeiter reduzieren und Ihre Teams in die Lage versetzen kann, sich in großem Umfang für Sicherheit einzusetzen.

In seinem Artikel “Sicher ausliefern: Wie starke Sicherheit Ihr strategischer Vorteil sein kann” (Shipping securely: How strong security can be your strategic advantage [EN, extern]), bekräftigte Clarke Rodgers, Direktor für Unternehmensstrategie von AWS, die Bedeutung einer Sicherheitskultur für den Aufbau einer Denkweise, bei der Sicherheit an erster Stelle steht.

Rodgers hob drei Säulen hervor (Abbildung 3), die auf Besprechungen mit mehr als 800 Kunden basieren — “bewusst” (Aware), “aufgesetzt” (Bolted-on) und “integriert” (embedded). Er stellte fest, dass in dem Maße, in dem Unternehmen von einer reaktiven Sicherheitsstrategie zu einem proaktiven, sicherheitsorientierten Ansatz heranreifen, die Sicherheitskultur zu einem Wegbereiter für Ihr Unternehmen wird.

“Wenn Unternehmen über eine starke Sicherheitskultur verfügen und alle die Sicherheit als ihre Verantwortung betrachten, können sie schneller handeln und schnellere, sicherere Produkt- und Serviceversionen bereitstellen.”— Clarke Rodgers, Director of Enterprise Strategy bei AWS


Abbildung 3 – Ausliefern mit Priorität auf Sicherheit

Menschenzentierte KI

CISOs und Sicherheitsverantwortliche konzentrieren sich zunehmend auf den Menschen, um eine effektive Cybersicherheit zu etablieren und die Mitarbeiter zu entlasten.
Laut Gartner [EN] werden bis 2027 50% der CISOs großer Unternehmen bei der Sicherheitsgestaltung auf den Menschen ausgerichtete Verfahren eingeführt haben, um die durch Cybersicherheit hervorgerufenen Störungen zu minimieren und die Verwendung von Kontrollmaßnahmen zu maximieren.

Wie Amazon-CSO Stephen Schmidt in “Schnell sein und sicher bleiben: Strategien für die Zukunft der Sicherheit” (Move fast, stay secure: Strategies for the future of security [EN, extern]), feststellte, ist es grundlegend falsch, sich zuerst auf Technologie zu konzentrieren. Sicherheit ist eine Herausforderung, die mit Menschen zu tun hat – das gilt sowohl für Bedrohungsakteure als auch für Verteidiger. Wir wollen die Unternehmen, für die wir tätig sind, sicher unterstützen. Dafür müssen wir mit den sich entwickelnden Veränderungen Schritt halten und uns auf dynamische Probleme konzentrieren, die nicht mittels Software gelöst werden können.

Um darauf fokussiert zu bleiben, müssen den Sicherheits- und Entwicklungsteams die Tools an die Hand gegeben werden, die sie benötigen, um Teile ihrer Arbeit zu automatisieren und zu skalieren.

“Menschen sind unsere am meisten begrenzte und wertvollste Resource. Sie beeinflussen sämtliche Schichten der Sicherheit. Es ist wichtig, dass wir die Werkzeuge und Prozesse bereitstellen, um es unseren Leuten zu ermögichen, so effektiv wie möglich zu sein.” — Stephen Schmidt, Amazon-CSO

Unternehmen können künstliche Intelligenz (KI) nutzen, um alle Schichten der Sicherheit zu beeinflussen — KI ersetzt dabei aber nicht qualifizierte Mitarbeiter. Sie kann, zusammen mit anderen Tools, sowie der Validierung durch Menschen, dazu beitragen Sicherheitskontrollen effektiver zu gestalten.

Schmidt betonte den internen Einsatz von KI bei Amazon, um unseren Softwareentwicklungsprozess zu beschleunigen, sowie die neuen generativen KI-gestützten Funktionen von Amazon Inspector [EN], Amazon Detective [EN], AWS Config [EN] und Amazon Q Developer [EN]. Diese ergänzen die menschlichen Fähigkeiten, indem sie durch eine größere Wissensbasis dabei helfen, bessere Sicherheitsentscheidungen zu treffen. Das Muster, ausgeklügelte Tools mit erfahrenen Ingenieuren zu kombinieren, ist äußerst effektiv, da es die Mitarbeiter in die Lage versetzt, die für eine effektive Sicherheit erforderlichen, differenzierten Entscheidungen zu treffen, die KI alleine nicht treffen kann.

In ihrem Beitrag “Wie Sicherheitsteams mithilfe generativer KI die Sicherheit stärken können” (How security teams can strengthen security using generative AI [EN, extern]), stellten die AWS Senior Security Specialist Solutions Architects Anna McAbee und Marshall Jones sowie Principal Consultant Fritz Kunstler einen virtuellen Sicherheitsassistenten (Chatbot) vor, der häufig gestellte Sicherheitsfragen und Anwendungsfälle auf der Grundlage Ihrer internen Wissensdatenbanken und vertrauenswürdiger öffentlicher Quellen beantworten kann.

Ein AWS Architektur Diagramm

Abbildung 4 – Generative AI gestützte Chatbot Architektur

Die in Abbildung 4 dargestellte generative KI-gestützte Lösung — zu der auch Retrieval Augmented Generation (RAG) mit Amazon Kendra [EN], Amazon Security Lake [EN] und Amazon Bedrock [EN] gehört — kann Ihnen helfen, alltägliche Aufgaben zu automatisieren, Sicherheitsentscheidungen zu beschleunigen und sich stärker auf neuartige Sicherheitsprobleme zu konzentrieren.

Die Lösung ist auf Github verfügbar [EN, extern], sodass Sie in Ihrem eigenen AWS-Konto mit einer Vielzahl von großen und multimodalen Sprachmodellen (Large Language Model – LLM), Einstellungen und Eingaben (Prompts) experimentieren können.

Sichere Zusammenarbeit

Zusammenarbeit ist der Schlüssel zum Erfolg im Bereich Cybersicherheit, aber sich verändernde Bedrohungen, flexible Arbeitsmodelle und ein wachsender Flickenteppich an Datenschutzbestimmungen haben die sichere und gesetzeskonforme Nutzung von Messaging Diensten [EN] zu einer Herausforderung gemacht.

Schätzungsweise 3,09 Milliarden Handynutzer nutzen Messaging-Apps zu, um zu kommunizieren, und diese Zahl wird voraussichtlich 2025 auf 3,51 Milliarden [EN] ansteigen.

Der Einsatz von für private Nutzer gedachte Messaging-Apps in der geschäftlichen Kommunikation erschwert es Unternehmen, zu überprüfen, ob Daten angemessen geschützt und aufbewahrt werden. Dies kann zu einem erhöhten Risiko führen, insbesondere in Branchen mit besonderen Anforderungen an die Aufbewahrung von Aufzeichnungen.

In “Wie die US-Armee AWS Wickr [EN] zur Bereitstellung lebensrettender Telemedizin einsetzt” (How the U.S. Army uses AWS Wickr to deliver lifesaving telemedicine [EN, extern]), hoben Matt Quinn, Senior Director am U.S. Army Telemedicine & Advanced Technology Research Center (TATRC [EN, extern]), Laura Baker, Senior Manager bei Deloitte, und Arvind Muthukrishnan, Head of Product von AWS Wickr, hervor, wie das TATRC National Emergency Tele-Critical Care Network (NETCCN [EN, extern]) in AWS Wickr und AWS Private 5G [EN] integriert wurde. AWS Wickr ist ein HIPAA-fähiger, sicherer Messaging- und Collaboration-Service. Bei AWS Private 5G handelt es sich um einen verwalteten Service für die Bereitstellung und Skalierung privater Mobilfunknetze.

Während des Vortrags beschrieben Quinn, Baker und Muthukrishnan, wie TATRC eine ressourcenschonende, Cloud-fähige, virtuelle Gesundheitslösung erreicht hat, die eine sichere Zusammenarbeit zwischen medizinischen Teams vor Ort und an entfernten Standorten ermöglicht, um Patienten in weniger gut ausgestatteten Umgebungen in Echtzeit zu versorgen. Mithilfe von Wickr waren Sanitäter vor Ort in der Lage, Verletzungen, die über ihre vorherige Ausbildung hinausgingen (Abbildung 5), mithilfe von Ende-zu-Ende-verschlüsselten Videoanrufen, Nachrichten und Dateiaustausch mit medizinischem Fachpersonal zu behandeln und die Kommunikation anforderungsgerecht und sicher aufrechtzuerhalten.

„Die Integration von Wickr in die Military Emergency Tele-Critical Care Platform (METTC-P) bietet nicht nur die Sicherheit und den Datenschutz einer durchgängig verschlüsselten Kommunikation, sondern gibt auch Sanitätssoldaten und anderen Pflegekräften an vorderster Front die Möglichkeit, sofortige Einblicke von medizinischen Experten auf der ganzen Welt zu erhalten — Fähigkeiten, die nötig dafür sein werden, um den gleichzeitigen Herausforderungen der Langzeitpflege und der Versorgung einer großen Anzahl von Verletzten auf dem Schlachtfeld von Multi-Domain-Operationen (MDO) zu begegnen.“ — Matt Quto Inn, Senior Director bei TATRC

Abbildung 5 – Arbeitsablauf für Telemedizin mit AWS Wickr

In einem separaten Chalk Talk mit dem Titel “Stärkung der Reaktion auf Vorfälle mit AWS Wickr und Amazon EventBridge” (Bolstering Incident Response with AWS Wickr and Amazon EventBridge) demonstrierten die Senior AWS Wickr Solutions Architects Wes Wood und Charles Chowdhury-Hanscombe, wie Wickr mit Amazon EventBridge [EN] und Amazon GuardDuty [EN] integriert werden kann, um die Incident-Response-Fähigkeiten mit einem integrierten Workflow zu stärken (Abbildung 5), der Ihre AWS-Ressourcen mit Wickr-Bots verbindet. Mit diesem Ansatz können Sie die jeweilig Beteiligten schnell über einen sicheren Kommunikationskanal über wichtige Erkenntnisse informieren, selbst in einem potenziell gefährdeten Netzwerk.

Ein AWS Architekturdiagramm

Abbildung 6 – Integration von AWS Wickr für die Incident Response Kommunikation

Sicherheit ist unsere höchste Priorität

Die AWS re:Invent bot viele weitere Highlights zu einer Vielzahl von Themen, darunter die adaptive Zugangskontrolle mit Zero Trust [EN], Partner für Cyberversicherungen [EN,extern], die beliebte Keynote von Amazon-CTO Dr. Werner Vogels [EN,extern] und die Sicherheitspartnerschaften, die auf der Messe präsentiert wurden. Es war eine Vielzahl an neuen Erfahrungen, aber eines ist klar: AWS arbeitet hart daran, Ihnen dabei zu helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht, sodass Sie sowohl technische als auch geschäftliche Ergebnisse bedeutend verbessern können.

Um die Konferenzsitzungen im Nachgang anzusehen, besuchen Sie die AWS re:Invent Security, Identity, and Compliance-Playlist auf YouTube [EN,extern].

Über die Autoren

Clarke Rodgers ist Direktor für Unternehmenssicherheit bei AWS. Clarke hat mehr als 25 Jahre Erfahrung in der Sicherheitsbranche und arbeitet mit Führungskräften aus den Bereichen Unternehmenssicherheit, Risiko und Compliance zusammen, um ihre Sicherheitsposition zu stärken und die Sicherheitsfähigkeiten der Cloud zu verstehen. Vor seiner Zeit bei AWS war Clarke Chief Information Security Officer (CISO) für die nordamerikanischen Aktivitäten eines multinationalen Versicherungsunternehmens.
Anne Grahn ist Senior Worldwide Security GTM Specialist bei AWS mit Sitz in Chicago. Sie hat mehr als 13 Jahre Erfahrung in der Sicherheitsbranche und konzentriert sich darauf, das Cybersicherheitsrisiko effektiv zu kommunizieren. Sie hält die Zertifizierung als Certified Information Systems Security Professional (CISSP).