CW: Erklären Sie kurz, wie AWS und das Retail-Geschäft von Amazon zusammenhängen.
STEPHEN SCHMIDT: AWS ist als Dienstleister für das Retail-Geschäft von Amazon.com tätig. Wir stellen Speicher und IT-Services für den Shop bereit, verkaufen das Gleiche aber auch an die breite Öffentlichkeit. Eine beliebte Falschannahme ist, dass AWS Teile der IT-Infrastruktur des Retail-Geschäfts an Dritte vermiete. Das stimmt nicht. Unsere Systeme standen immer schon für sich allein.
CW: Von welcher Größenordnung sprechen wir?
SCHMIDT: Unser bekanntester Service, der Cloud-Speicher Amazon S3 (Simple Storage Service), verwaltet rund 835.000 Transaktionen pro Sekunde. In der S3-Cloud befinden sich insgesamt über 1,3 Billionen Objekte.
CW: Wie rechnen Sie die Services ab?
SCHMIDT: Nach Verbrauch pro Stunde. Weil die Kosten damit transparent sind, können auch kleine Unternehmen oder Privatpersonen unsere Dienste in Anspruch nehmen. Dieses Verbrauchsmodell setzt sich im Markt durch - viele unserer Security-Partner wie Symantec, Trend Micro, Sophos, Astaro, Citrix oder Riverbed, deren Lösungen Sie früher nur als Komplettpaket lizenzieren konnten, bieten ihre Services auf unseren Plattformen ebenfalls stundenbasiert an. Anwender sind damit flexibler. Wer ungefähr einschätzen kann, wie viel er verbraucht, kann auch sogenannte "reservierte Instanzen" buchen - die kosten einen einmaligen Sockelbetrag und einen zusätzlichen Stundenbetrag, der günstiger ist als der übliche Tarif.
CW: Abgesehen von der Skalierbarkeit - warum sollten Unternehmen auf Cloud-Services setzen?
SCHMIDT: Durch das Cloud Computing bekommt die IT eine ganz neue Sichtbarkeit. Beispiel Sicherheit: Die beginnt damit, zu verstehen, was ein Unternehmen besitzt. Sie können nichts schützen, von dem Sie nicht wissen, dass es da ist, um was es sich handelt, wo es sich befindet und wer es besitzt. Viele CIOs haben uns berichtet, dass in ihren traditionellen IT-Umgebung zumeist jährliche Inventuren vorgenommen werden. Dabei wird erfasst, welche Systeme innerhalb des Unternehmensnetzes vorhanden sind. Nicht bekannt ist aber, welche Computer unter jedem einzelnen Schreibtisch stehen oder welche mobilen Geräte im WLAN eingewählt sind. Ganz anders in der Cloud: Weil alles API-gesteuert ist, müssen Kunden uns ganz genau sagen, wo sie welche Daten hin haben möchten - beispielsweise in die Rechenzentren innerhalb der EU. Wir verteilen Informationen nicht einfach weltweit, wie es uns gerade passt, sondern benötigen detaillierte Anweisungen.
Granulare Einstellmöglichkeiten
Das Reporting über das IT-Inventar kann dann auf Wunsch wöchentlich, täglich, stündlich oder sogar minütlich erfolgen. Das vereinfacht übrigens auch den Auditing-Prozess. Auch die Zugriffsberechtigungen lassen sich häufig feiner einstellen als in On-Premise-Umgebungen. Wer Geschäftsunterlagen in Amazon S3 speichert, kann diese mit einem Ablaufdatum versehen, das die gesetzliche Aufbewahrungsfrist von beispielsweise sieben Jahren berücksichtigt, und die Daten anschließend automatisch in eine andere Speicherbereich verschieben lassen. Zudem ist es möglich, Informationen hinzuzufügen, nach denen nur eine ganz bestimmte Person diese Daten nach einer erfolgreichen Multi-Faktor-Authentifizierung löschen darf. Eine andere Einstellung könnte sein, dass nur Person A von seinem Dienstcomputer im Büro aus zwischen 9 und 17 Uhr auf die Information zugreifen darf. Derart granulare Kontrolleinstellungen sind in traditionellen IT-Systemen kaum möglich.
CW: Sind Daten bei AWS sicherer als im eigenen Unternehmen?
SCHMIDT: Viele Kunden berichten uns, dass sie bei uns mehr Möglichkeiten haben, ihre Sicherheitsvorstellungen durchzusetzen als in internen On-Premise-Umgebungen.
CW: Ist die eigene Private Cloud untern Anwendern nicht beliebter als die Public Cloud, wie AWS sie anbietet?
SCHMIDT: Nein. Schauen Sie sich beispielsweise unseren Kunden SAP an, der sehr viele Daten über unsere Cloud-Services verarbeitet und gerade erst seine komplette Software-Suite auf den AWS-Betrieb hat zertifizieren lassen. Das war kein Pappenstiel und zeigt, wie sehr der Konzern an uns glaubt. Kunden, die sich um Datenhaltung, Datensicherheit und Datentrennung sorgen, mögen sich unser Virtual-Private-Cloud-Produkt anschauen, das die Skalierbarkeit und Flexibilität von AWS mit der Funktionalität eines Inhouse-Rechenzentrums verknüpft. Hier können die Kunden ihre eigenen IP-Adressbereiche verwenden, mit bereits vorhandenen Management-Tools weiterarbeiten oder die auch für ihre On-Premise-Dienste festgelegten Firewall-Regelsets nutzen.
SLAs sind verhandelbar - und faktenfest
CW: Ein großes Hindernis für Anwender, in die Cloud zu gehen, stellen undurchsichtige und mutmaßlich unverhandelbare Service-Level-Agreements (SLAs) dar. Lassen Sie mit sich reden?
SCHMIDT: Es stimmt nicht, dass wir SLAs nicht verhandeln. Alle unsere großen Kunden werden Ihnen erzählen, dass wir gerne mit ihnen über die Verträge verhandelt haben. Wichtig ist uns folgende Feststellung: Unsere SLAs sind kein unbelastbares Marketing, wie es andere Cloud-Service-Provider häufig bevorzugen. Wir verwenden valide und nachprüfbare Zahlen und Fakten. So geben wir die garantierte Haltbarkeit von Daten, die in der S3-Cloud gespeichert werden, mit 99,999999999 Prozent an ("elf Neunen") - und eben nicht mit 100 Prozent. Das kommt daher, dass wir genau ausgerechnet haben, wie viele Bits auf wie vielen Laufwerken mit wie vielen Schnittstellen, Netzwerkkabeln für wie lange ausfallen dürfen, damit sie erhalten bleiben. Wir setzen keine SLAs auf, die nur gut aussehen - auf unsere SLAs können sich die Kunden verlassen.
CW: Wie sprechen Sie die deutschen und europäischen Anwender im Neukundengeschäft an?
SCHMIDT: Für unsere europäischen Kunden ist es wichtig, dass AWS Mitglied des Safe-Harbor-Programms der Europäischen Union ist. Damit ist für sie sichergestellt, dass wir uns als Cloud-Provider an bestimmte Regularien und Policies halten. Das betrifft die den EU-Datenschutzgesetzen entsprechende sichere und einheitliche Speicherung und Übertragung von Daten über das gesamte Unternehmen hinweg.
CW: Welche Szenarien bildet AWS in Europa ab?
SCHMIDT: Alle unsere Systeme wurden so entwickelt, dass sie die Daten der Kunden getrennt speichern. Anwender können den Zugriff so weit wie eben möglich eingrenzen oder auch völlig offen gestalten. Der Kunde entscheidet es ganz allein. Einige unserer Kunden aus der Spieleindustrie unterstützen Fernsehsendungen mit cloud-gestützten Gaming-Services, die so vielen Menschen wie möglich zugänglich gemacht werden sollen. Andere wie beispielsweise der Nürnberger Flughafen, der seine Passagierdaten über AWS verarbeitet, beschränken den Zugriff auf entsprechend privilegierte Nutzer.
CW: Wie läuft die Entwicklung neuer Services ab?
SCHMIDT: Dazu sind verschiedene Maßnahmen nötig. Zunächst kommt das Service-Design. Mein Team berät die Entwickler über die notwendigen Schritte, noch bevor eine einzige Zeile Code geschrieben wird. Nur so erreichen wir die Sicherheit der Daten, die Datentrennung zwischen verschiedenen Kunden und die Befehlswege, die für Zertifizierungen nötig sind. Wenn sie mit der Entwicklung von Softwarepaketen beginnen, nehmen wir regelmäßige Tests und Revisionen vor, damit beispielsweise Verschlüsselungstechnologie korrekt implementiert wird oder Zugangssysteme so funktionieren, wie sie sollen.
Wenn die Fertigstellung eines Services näher rückt, kommen Penetrationstests sowohl durch unser eigenes Expertenteam als auch durch externe Dienstleister hinzu. Letztere konzentrieren sich dabei auf zwei verschiedene Verfahren: Beim "White box testing" nehmen sie unsere internen Entwicklungsstufen samt Quellcode unter die Lupe, beim "Black box testing" agieren sie wie ein normaler Nutzer und versuchen, beispielweise per DoS-Attacke oder direkt über das Service-Interface in das System einzubrechen. Die Penetrationsverfahren werden auch nach dem Going-live eines Dienstes in regelmäßigen Intervallen wiederholt. Wir machen das nicht nur, um die Sicherheit unserer Kunden zu gewährleisten, sondern auch, um weltweit geltende Compliance-Vorschriften wie beispielsweise PCI DSS erfüllen zu können. Ein weiterer Grund ist, dass wir durch die Regierungen der USA und Großbritanniens zertifiziert worden sind, die ebenfalls regelmäßige Penetrationstests verlangen.
Einige EU-Staaten gefährlicher als US-Regierung
CW: Sie sprechen die US-Regierung an. Inwiefern bereitet es Ihnen im Marketing Schwierigkeiten, dass diese durch den Patriot Act unter gegebenen Umständen Zugriff auf Cloud-Daten nehmen darf?
SCHMIDT: Es gibt viele Missverständnisse, was den Patriot Act angeht. Die Frage ist, ob unsere Kunden davon überhaupt betroffen sind. Wir betreuen Kunden in 190 Ländern und keiner von denen hat den Eindruck, dass der Patriot Act für ihn oder sie eine Gefahr darstellt. Ohne richterlichen Beschluss darf die US-Regierung nämlich nichts machen. Was viele immer nicht sehen, sind die umfassenden Zugriffsrechte auf IT-Systeme, die sich die Regierungen vieler anderer Länder abseits der USA einräumen lassen. So gibt es beispielsweise innerhalb der EU einige Staaten, in denen eine behördliche Anweisung ausreicht, damit auf Cloud-Daten und IT-Systeme zugegriffen werden darf. Es sind EU-Staaten, die die weltweit umfangreichsten Zugriffsrechte auf Cloud-Daten durch die Behörden gesetzlich verankert haben.
CW: Das EC3 (European Cybercrime Centre) hat in diesem Jahr unter dem Dach von Europol in Den Haag seinen Betrieb aufgenommen, um Cyberkriminalität länderübergreifend zu bekämpfen. Inwieweit arbeitet AWS mit dieser Behörde zusammen?
SCHMIDT: Wie viele andere Cloud-Provider auch werden wir den Strafverfolgern das nötige Wissen darüber zu vermitteln versuchen, wie Cloud Computing forensische Untersuchungen verändert. Bald können sie keine Festplatten mehr untersuchen, wie das bisher der Fall war. Deshalb haben wir einen forensischen Prozess etabliert, mit dem Strafverfolgungsbehörden Daten aus der Cloud erhalten können, wenn ein richterlicher Beschluss vorliegt und der sie zudem mit dem nötigen Basiswissen ausstattet, wie die Daten zu analysieren sind.
CW: Für wie sinnvoll und nachvollziehbar halten Sie die strengen EU-Datenschutzregeln allgemein?
SCHMIDT: Datenschutz an sich ist eine vernünftige Sache. Das Problem sind die von Land zu Land unterschiedlichen Auslegungen der Datenschutzgesetze. Als Service-Provider müssen wir sehr viel Zeit damit verbringen, diese zu analysieren und uns ihnen jeweils anzupassen. Deshalb wäre ein universell geltendes Datenschutzrecht natürlich schön.
Datenschutzgesetze jedem Staat selbst überlassen
CW: Wie bringen sie sich in die laufende Diskussion um die EU-Datenschutzreform ein?
SCHMIDT: Wir sind daran interessiert, dass sich Staaten bemühen, ihren Bürgern den Zugang zu Technologie zu erleichtern und deren Nutzung effizienter zu gestalten. Es liegt nicht an uns, zu entscheiden, wie die EU ihre Gesetze verfasst und die einzelnen Staaten sie umsetzen. Wir können Regierungen aber helfen, potenzielle Veränderungen zu begreifen, die die Fähigkeit ihrer Bürger beeinflusst, neue Technologien zu ihrem Vorteil nutzen zu können.
CW: Wer sind Ihre wichtigsten Wettbewerber?
SCHMIDT: Unsere Kunden, weil sie uns am stärksten fordern. Sie verlangen ständig nach neuen Features oder Benutzeroberflächen. Auf sie müssen wir als allererstes hören.
CW: In erster Linie wollen Ihre Kunden ihre Compliance-Vorgaben erfüllen. Wie unterstützen Sie sie im Auditing?
SCHMIDT: Unser Auditing-Prozess muss weltweit einsetzbar sein. Es gilt, diverse Standards zu erfüllen, die von Land zu Land unterschiedlich sind. In Europa geht es meist um ISO/IEC 27001 samt der ISO-27002-Kontrollmechanismen. In den USA sind es SSAE 16, SOC1 und SOC2, in Japan gibt es eine Serie von JAE-Standards und Singapur wiederum hat eigene Compliance-Regelungen. Wir bewahren sämtliche Standards in einer Art Master-Control-Set auf. Wenn ein Audit ansteht, suchen wir den jeweils zu erfüllenden Standard heraus und übergeben die dazu passenden Informationen und Belege an den Auditor, damit dieser die nötigen Tests vornehmen kann. Das Vorgehen und die Häufigkeit der Tests ist überall auf der Welt verschieden: Während eine Zertifizierung nach ISO 27001, die jeweils für drei Jahre gültig ist, einen Audit pro Jahr voraussetzt, gilt beim US-Standard SOC1 eine Testfrequenz von drei Monaten.
CW: Wie fällt Ihr Vergleich zwischen europäischen und amerikanischen Standards aus?
SCHMIDT: ISO 27002 beispielsweise definiert ganz genau, welche Kontrollmechanismen bestehen müssen - alle haben sich daran zu halten. SSAE 16 ermöglicht es Service-Providers hingegen, ihre eigenen Kontrollmechanismen einzubringen. Da aber viele unserer Kunden nach ISO zertifizieren lassen, können wir uns das nicht aussuchen.
IT-Abteilungen müssen effizienter werden
CW: Wir beobachten, dass es zunehmend die Fachabteilungen sind, die an der IT-Abteilung vorbei Services aus der Cloud einkaufen und nutzen. Wie schätzen Sie diesen Trend ein?
SCHMIDT: Unsere Kunden werden immer den effizientesten Weg finden, ihr Geschäft am Laufen zu halten. Wir sprechen viel mit den IT-Abteilungen in den Unternehmen, um ihnen klarzumachen, was die Fachabteilungen - ihre "internen Kunden" - mit AWS eigentlich tun. Wir wollen den IT-Abteilungen helfen, wieder effizienter zu werden.
CW: Um noch einmal auf Ihre Partnerunternehmen zurückzukommen - plant AWS, beispielsweise Security-Services demnächst auch selbst anzubieten?
SCHMIDT: Unsere Kunden entscheiden, was wir entwickeln. Derzeit besteht kein Bedarf an solchen Services, weil die Kunden bereits feste Produkte haben, die sie auch in der Cloud weiterbenutzen möchten. Das gilt übrigens auch für Datenbank-Software von IBM, Oracle oder MySQL, die wir über AWS unterstützen - die meisten davon ebenfalls als stundenbasierte Services.
CW: Abschließende Frage - wie sieht ein typischer Arbeitstag im Leben des Stephen Schmidt aus?
SCHMIDT: Jeder Morgen beginnt mit der Analyse von Metriken. Amazon ist ein extrem metrikorientiertes Unternehmen, wir beobachten sehr genau das Verhalten innerhalb unserer direkten Umgebung - sowohl auf Seiten der Technik als auch des Personals. Ich schaue mir genau an, wie wir performen. Wie funktionieren die einzelnen Services, wie die IT-Mitarbeiter? Anschließend geht es an die strategische Entwicklung neuer Features. Das ist auch der Grund, warum ich bei AWS arbeite - um neue Dinge zu kreieren, neue Software und neue Services zu entwickeln. Wir "Amazonians" bewegen uns in komplett neuen Gefilden innerhalb der IT-Branche. Das ist das Spannendste.
Über Stephen Schmidt
Bevor er zu Amazon kam, arbeitete Stephen Schmidt zehn Jahre lang in verschiedenen Positionen für das FBI, die bundespolizeiliche Ermittlungsbehörde der US-Justiz. Er leitete dort unter anderem eine Einheit, die Fälle von unerlaubtem Eindringen in IT-Systeme untersuchte. Bei AWS war er zunächst für den Aufbau einer Virtual Private Cloud zuständig, bevor er vor rund zwei Jahren zum CISO aufstieg.