ADHS kann ein nützliches Werkzeug sein: ein Interview mit Amazon-Sicherheitschef Steve Schmidt

In der Tech-Welt haben nur wenige Menschen größere Cybersicherheitsjobs als Steve Schmidt. Als Chief Security Officer von Amazon ist er dafür verantwortlich, dass nahezu alles bei dem riesigen Unternehmen sicher ist, von Hunderten Millionen Käufern bis hin zu Billiarden von Datenpunkten in Amazon Web Services.

ie Palette an Bedrohungen ist riesig, von alltäglichen Betrügern bis hin zu Quantencomputern, die die Verschlüsselung knacken und auf dem Vormarsch sind.

Aber als er auf der jährlichen Re:Inforce 2022-Konferenz von Amazon Web Services die Bühne betrat, hielt der ehemalige FBI- und AWS-Manager seine Grundsatzrede in einem T-Shirt mit einer gezielten Botschaft: „ADHS: Es ist keine Behinderung, es ist etwas anderes Fähigkeit’.

Als ich mich danach mit Herrn Schmidt zu allgemeinen Sicherheitsthemen zusammengesetzt habe, habe ich ihn zunächst nach seiner Botschaft auf der Bühne gefragt.

….

Adrian Weckler: Warum hast du dieses T-Shirt getragen, auf dem ADHS steht?

Stefan Schmidt: Ich selbst habe eine Aufmerksamkeitsstörung. Es gibt eine sehr interessante Korrelation zwischen Amazon-Führungskräften in leitenden Positionen und ADHS. Und die Diskussion, die wir intern darüber geführt haben, ist, dass eines der schwierigsten Dinge in unserem Job der Kontextwechsel ist. Wir haben so viele verschiedene Dinge am Laufen. Es ist tatsächlich sehr vorteilhaft, unter diesen Umständen ADHS zu haben, weil es einem erlaubt, sich damit wohl zu fühlen [context-switching].

Nah dran

Amazon CSO Steve Schmidt: “[ADHD] ist einer der Gründe, warum ich in meinem Job gut bin.”

So wie ich es sehe, ist es so etwas wie die Macht in Star Wars. Wenn es nicht trainiert ist, kann es ein Durcheinander sein und Ihnen echte Probleme bereiten. Aber wenn Sie lernen, wie man es effektiv verwaltet, kann es ein enorm nützliches Werkzeug sein. Das ist einer der Gründe, warum ich gut in meinem Job bin.

Adrian Weckler: In Irland ist es sehr schwierig, eine ADHS-Diagnose zu bekommen. Ich habe Familie in dieser Situation. Es wird nicht allgemein verstanden oder viel behandelt. Was hast du noch gefunden?

Stefan Schmidt: Es ist wichtig, Dinge wie interne Hinweise zu verstehen, wenn man den Punkt erreicht, an dem man das Thema wechseln muss, und dies produktiv zu tun, im Gegensatz zu dem traditionellen „Sie passen nicht auf“. Es ist unglaublich vorteilhaft. Meine Frau ist Lehrerin. Und sie ist zu Hause an mich gewöhnt. Wenn sie das gleiche Verhalten bei ihren Schülern sieht, wird sie ihnen daher für die nächsten 20 Minuten absichtlich etwas anderes zuweisen, anstatt zu sagen „Sie müssen zu dem Thema zurückkehren, an dem wir gerade arbeiten“.

Wie war der Wechsel vom Sicherheitschef bei AWS zu Amazon.com?

Der größte Unterschied, den ich gesehen habe, liegt in den eingesetzten Technologien. Eines der Dinge, die ich an meinem neuen Job liebe, ist, dass ich mit Robotern und Raketen und selbstfahrenden Fahrzeugen und all diesen Dingen spielen kann, die nicht Teil meiner Rolle bei AWS waren. Ansonsten sind die Sicherheitsprobleme nicht neu. Sie sind ziemlich gleich. Einer der Gründe, warum Andy [Jassy, Amazon CEO] mich um diesen Job gebeten hat, war, dass wir eine Reihe kleiner neuer Unternehmen haben, die wachsen, und wir möchten sicherstellen, dass wir zu Beginn dieser Prozesse die richtige Sicherheit einbauen, anstatt später versuchen zu müssen, Dinge nachzurüsten. Wenn wir also neue Dinge beginnen, möchten wir, dass sie mit der richtigen Sicherheit und den richtigen Datenschutzfunktionen aus der Tür kommen.

Sie sprechen viel über die Bedeutung der Verschlüsselung. Aber während dies in Technologie- und Sicherheitskreisen allgemein gelobt wird, beginnen die Behörden, einen Kompromiss in ihrem Kampf mit Dingen wie Kindesmissbrauchsbildern zu suchen. Was ist Ihre Perspektive?

Ich denke, dass Regierungen auf der ganzen Welt unterschiedliche Ansichten über die Wirksamkeit oder Notwendigkeit der Verschlüsselung haben. Wir sind der Ansicht, dass Kunden ihre Daten besitzen, und wir haben sie immer so behandelt. Wir haben ihnen immer die notwendigen Tools zur Verfügung gestellt, um ihre Daten nach Wunsch zu verschlüsseln. Bei der Verschlüsselung geht es um die Privatsphäre der Kunden. Und vor allem geht es darum sicherzustellen, dass Kunden die Kontrolle über ihre Informationen haben. Einer der Gründe, warum wir die Verschlüsselungssysteme entwickelt haben, die wir vor vielen Jahren entwickelt haben, war sicherzustellen, dass die Kunden diejenigen sind, die bestimmen, wer Zugriff auf ihre Daten hat, denn wenn sie unsere Verschlüsselungstools angemessen verwenden, spielt es keine Rolle, was rechtmäßig ist verarbeiten, dass ich [in Amazon] von einer Regierung gegeben werden – ich kann ihren Klartext nicht liefern.

Aber wenn die Europäische Union oder das Vereinigte Königreich, wie es jetzt mit Online-Sicherheitsgesetzen geschieht, ein Technologieunternehmen wie Amazon anweisen, seine Systeme in Übereinstimmung mit den Anti-Missbrauchs-Bildvorschriften zu scannen, wie würde Amazon reagieren?

Wir befolgen selbstverständlich das Gesetz, wohin wir auch gehen. Da gibt es also keine Frage. Es geht vielmehr darum, dass wir tun, was wir können, wo es angemessen und gesetzlich erforderlich ist. Es gibt Umstände in der Arbeitsweise von Kunden, die wir nicht in ihre Daten einsehen können. Das ist die Standard-Betriebsprozedur. In diesem Fall kann der Kunde das Gesetz einhalten, da er derjenige ist, der Zugriff auf die Daten hat.

Haben Sie als ehemaliger FBI-Mann Verständnis für den Standpunkt der Behörden zur Kompromittierung der Verschlüsselung?

Ich verstehe ihren Standpunkt. Leider denke ich, dass es in vielen Fällen eine Naivität gibt, die Verschlüsselungsqualität zu beeinträchtigen, wenn die Leute nicht verstehen, dass dies für alle schädlich ist, wenn dies getan wird.

Ein Punkt, der hier bei Re:Inforce angesprochen wird, ist eine Warnung, dass die heutige Verschlüsselung in naher Zukunft durch technologische Fortschritte, insbesondere Quantencomputer, anfällig sein könnte. Ist das etwas, worüber Amazon jetzt nachdenkt?

Ja. Wir haben vor Jahren einen Prozess gestartet, in dem wir nach vorne blickten und sagten, dass es eine Zeit geben wird, in der Quantencomputer so weit voranschreiten, dass sie einige der bestehenden kryptografischen Systeme herausfordern können. Und wir wollen diesem Problem voraus sein. Also haben wir die Investitionen getätigt. Wir haben die Teams mit den Menschen und den richtigen Fähigkeiten vor Ort, und dies hat es uns ermöglicht, verschiedene Protokolloptionen zu entwickeln. Das Wichtigste dabei ist, dass viele der Systeme, die wir heute verwenden, diese Option zur Verfügung haben. Kunden können es jetzt testen und ausprobieren, bevor es zum Notfall wird.

Gibt es in diesem Quantenszenario normalerweise einen Bedrohungsakteur? Quantum Computing wurde immer als etwas charakterisiert, das wirklich nur Akteuren oder Einheiten mit großen Ressourcen zur Verfügung steht.

Ich denke, Quantencomputing steht derzeit nur Akteuren mit großen Ressourcen zur Verfügung. Aber man könnte vor vielen Jahren dasselbe über das Allzweck-Computing sagen, dass nur die Nationalstaaten darauf Zugriff hatten. Gehen Sie zurück zu den Anfängen der kryptografischen Angriffe. Denken Sie an die Enigma-Maschine und die deutschen kryptografischen Systeme im Zweiten Weltkrieg und die britische Regierung mit Alan Turing.

Auf der Re:Inforce-Bühne sprachen Sie über die Unterstützung von Amazon für belagerte ukrainische Institutionen und Zivilisten und hoben die Technologie des Unternehmens hervor, um ukrainischen Regierungs- und Bildungseinrichtungen zu helfen. Haben Sie dadurch Bedenken, ein Sicherheitsziel mit höherer Priorität für Russland zu werden, das ein sehr fähiger nationalstaatlicher Cyber-Akteur ist?

Wenn Sie im Internet arbeiten, unterliegen Sie ständig allen Nationalstaaten, die da draußen sind. Es gibt also kein neues Problem, das damit aufkommt. In der Ukraine gibt es eine Art moralischen Imperativ, den NGOs zu helfen, die versuchen, Menschen zu unterstützen, und Menschen zu helfen, die versuchen, andere zu ernähren. Wir wollen dort tun, was wir können. Wir wollen auch sicherstellen, dass wir zur Erhaltung der ukrainischen Zivilisation beitragen können.

Wie hat sich auf einer detaillierteren Ebene die kürzliche Einführung von kostenlosen Multifaktor-Authentifizierungstools für Kunden durch Amazon entwickelt? Und besteht die Möglichkeit, dass es außerhalb der USA auf Kundenkonten außerhalb der USA ausgeweitet wird?

Wir haben aus zwei Gründen in den USA getestet. Zum einen, weil mit dem Export von Verschlüsselungstechnologien, unter die die MFA-Token fallen, einige Regeln verbunden sind. Es ist also sehr einfach für uns, es hier auszurollen. Wir müssen über jede Gerichtsbarkeit, in die wir uns begeben, anders denken. Der andere Teil davon ist, dass wir sehen wollten, wie die Aufnahme aussieht, bevor wir es woanders anbieten, weil es nicht billig ist. Aber es war sehr gut. Und das freut uns sehr, denn ein physischer Sicherheitstoken als Identitätsanker macht dem Angreifer die Arbeit sehr schwer. Wenn Sie an Ransomware-Akteure und dergleichen denken, versuchen sie normalerweise, Ihre Identität für Ihre Systeme zu erlangen und nutzen diese, um Ihren Zugriff auf Informationen zu nutzen, indem sie Ihnen ein Hardware-Token geben, das für die Anmeldung erforderlich ist. Es unterbricht wirklich einen Großteil ihres Zugriffs Pfade. Wir betrachten dies also als Grundpfeiler eines guten Identitätsmanagements. Außerhalb der USA werden wir sehen, wie die Kundennachfrage in anderen Gerichtsbarkeiten ist, und natürlich vorbehaltlich der örtlichen Gesetze und Regeln zur Verwendung und Verteilung von kryptografischem Material prüfen.

Sie sprechen von der Integration von Sicherheit in Produkte und Dienstleistungen als Kernbestandteil der Entwicklung von Anfang an. Aber Unternehmen sprechen immer noch von einem Balanceakt zwischen Prioritäten, Zeit, Kosten und Aufwand. Was würden Sie dazu sagen?

Einer der Gründe, warum ich in meinem Job erfolgreich bin, ist, dass ich zuerst ein Entwicklungsteam besessen habe. Ich verstehe also, wie Bauherren darüber denken, wie sie Dinge bauen. Und das Sicherheitsteam kann sehr bewusste Entscheidungen treffen, die dazu beitragen, die Geschwindigkeit eines Bauprozesses zu verbessern. Überprüfen Sie beispielsweise den Code, um festzustellen, ob er den Sicherheitsstandards entspricht. Früher haben wir gewartet, bis der Code vollständig geschrieben war. Und dann würden wir es überprüfen und sagen, hier sind die Probleme, die wir haben. Weil wir Menschen sind, wollen wir es an diesem Punkt einfach versenden – hier ist dieses schöne Ding, das wir gerade konstruiert haben, richtig? Aber dann kommen diese Leute rein und sagen uns: „Das ist kaputt“. Es ist wirklich ein Wermutstropfen einer Situation für den Bauherrn. Aber es geht auch anders. Wir haben dieses Konzept von Code-Reviews. Wenn Sie also Software in Amazon schreiben, muss einer Ihrer Teamkollegen sie überprüfen, um zu sagen, dass sie für die Aufgabe geeignet ist, bevor Sie sie versenden können. Es gibt eine Reihe von Tools, die wir dazu verwenden. Wir haben unsere Sicherheitscode-Überprüfung in dieselben Tools integriert. Und das bedeutet, wenn Sie den Code-Review einreichen, suchen Sie als Mensch tatsächlich nach Feedback, um zu sehen, ob es funktioniert. Ihr Peer liefert das Feedback und das Sicherheitsteam liefert gleichzeitig das Feedback. Die Zufriedenheit des Bauherrn ist mit dem Feedback, das das Sicherheitsteam zu diesem Punkt gibt, so viel höher als zuvor. Der Unterschied ist unglaublich. Es wird auch schneller ausgeliefert, weil wir die Probleme erkennen und nicht in einem System feststecken, in dem wir herausfinden müssen, wie wir es ändern können.

Lassen Sie mich Sie jetzt nach Irland fragen. AWS hat ein sehr großes Büro in Dublin und dort ein großes Sicherheitsteam. Wie war das?

Es ist ein phänomenaler Rekrutierungsstandort für uns. Die EU-Beziehungen ermöglichen es uns, aus vielen verschiedenen Ländern zu rekrutieren, zu denen wir sonst nicht in der Lage wären. Und außerdem ist die Infrastruktur in Irland so, dass es ein sehr zuverlässiger Teilnehmer an unserem Unternehmen ist. Dublin hat eine gut ausgebildete Bevölkerung und lässt sich leicht in das Unternehmen integrieren. Es ist das Gravitationszentrum für uns in Europa.

Ich habe dich über das Buch von 1989 sprechen hören, Das Kuckucksei: Auf der Spur eines Spions durch das Labyrinth der Computerspionage. Betrachten Sie Sicherheit als eine allgemeine Reihe von Problemlösungen?

Ich tue. Grundsätzlich ist Neugier das Wichtigste für jemanden in der Sicherheit. Es fragt, warum etwas passiert ist, immer und immer wieder. Klippe Stoll [writer of The Cuckoo’s Egg who solved the first big computer hacking case] ist ein großartiges Beispiel dafür. Wenn bei Amazon etwas nicht so läuft, wie wir es uns wünschen, gibt es eine formalisierte technische Überprüfung, die mit einem Prozess namens Fehlerkorrektur durchgeführt wird. Und es geht darum, genau zu verstehen, was passiert ist, warum es passiert ist, und dann herauszufinden, wie wir verhindern können, dass es wieder passiert. Die Frage „Warum“ wird buchstäblich fünfmal am Ende des Formulars gestellt. Es soll die Menschen zwingen, tief nach der eigentlichen Ursache eines Problems zu suchen. Und diese Art von rekursiver Neugier ist unglaublich wichtig. Während wir sicherlich nach Leuten mit formaler Sicherheitsausbildung suchen, suchen wir auch nach Leuten, die von Natur aus neugierig sind, weil es viel schwieriger ist, Neugier zu lehren, als anderen beizubringen. Wir bevorzugen auch wirklich Leute, die selbst Entwickler sind, weil unsere Aufgabe im Bereich Sicherheit darin besteht, unseren Entwicklern zum Erfolg zu verhelfen. Es geht nicht nur darum, Dinge zu verhindern.

https://www.independent.ie/business/technology/adhd-can-be-a-useful-tool-an-interview-with-amazon-security-chief-steve-schmidt-41872830.html ADHS kann ein nützliches Werkzeug sein: ein Interview mit Amazon-Sicherheitschef Steve Schmidt

Fry Electronics Team

Fry Electronics.com is an automatic aggregator of the all world’s media. In each content, the hyperlink to the primary source is specified. All trademarks belong to their rightful owners, all materials to their authors. If you are the owner of the content and do not want us to publish your materials, please contact us by email – admin@fry-electronics.com. The content will be deleted within 24 hours.

Related Articles

Back to top button