Wie AWS für digitale Souveränität sorgen will

Wir trafen uns zuletzt an der AWS re:invent 2024 und sprachen unter anderem über Cyberhygiene und generative KI. Damals zeigten Sie sich optimistisch, "dass wir in den nächsten Jahren deutliche Fortschritte bei den grundlegenden Sicherheitsmassnahmen sehen werden". Wo stehen wir heute?

Die schrittweisen Verbesserungen setzen sich fort. Paradoxerweise hat die Ransomware-Welle diese Entwicklung beschleunigt. Früher waren viele Netzwerke leicht angreifbar, aber die Monetarisierung war unklar. Mit Ransomware und der Möglichkeit, über Kryptowährungen Zahlungen zu erhalten, entstand ein direkter Schaden. Das hat Investitionen bis auf Vorstandsebene ausgelöst. Vieles ist besser geworden, auch wenn es weiter Luft nach oben gibt. Auch die anhaltende Transformation von Legacy-Systemen trägt zur Sicherheit bei. In Kombination mit KI-gestützten Coding-Tools, die etwa statische Codeanalyse automatisiert ausführen, lassen sich Fehler reduzieren - perfekt ist nichts, aber die Fehlerquote sinkt.

KI eröffnet Chancen für die Verteidigung, schafft aber auch neue Angriffsflächen. Wie adressieren Ihre Produkte das?

Ich sehe die neuen Technologien als Katalysator. Sie verstärken menschliche Fähigkeiten – in beide Richtungen. Es bleibt ein Wettrüsten. Auf Angreiferseite steigt die Leistungsfähigkeit. Wenn die Verteidiger jedoch konsequent investieren, lässt sich das Gleichgewicht halten oder verbessern: weniger Fehler bereits beim Bau der Systeme, bessere Erkennung vor Produktionsgang, stärkere Penetrationstests. Wir investieren weiter in formale Methoden beziehungsweise Automated Reasoning, also softwaregestützte Beweise zur Korrektheit von Systemen. In Verbindung mit generativer KI entstehen Systeme, die von vornherein weniger Fehler aufweisen und damit leichter zu schützen sind.

AWS hat schon im Vorfeld zur Re:invent zahlreiche Neuerungen lanciert. Welche davon finden Sie im Bereich der Cybersicherheit besonders spannend?

Drei Beispiele. Erstens: Ein verbessertes Anmeldeverfahren für Entwickler an Konsole und CLI. Nach dem Login im Browser kann die AWS-CLI per "aws login" über OAuth und DPoP temporäre Tokens beziehen - inklusive Multi-Faktor-Authentisierung -, ohne langfristige Access Keys anzulegen. Zweitens: Der Security Token Service stellt nun Brücken zu externen APIs bereit. Läuft Compute in AWS und muss beispielsweise ein externer Dienst wie Google Cloud oder ein VoIP-Anbieter aufgerufen werden, lässt sich ein temporäres AWS-Credential über STS gegen ein OAuth-Token des Zielanbieters tauschen - auf Basis einer zuvor eingerichteten Vertrauensbeziehung. So kommen beide Seiten ohne langfristige Secrets aus. Drittens: Encrypted VPC. Eine VPC-Einstellung erzwingt, dass nur Services und EC2-Instanzen mit Hardware-Verschlüsselung auf Nitro-Basis eingesetzt werden. Ältere Instanztypen lassen sich dann nicht mehr starten; auch Dienste wie Transit Gateway oder Network Load Balancer nutzen entsprechend moderne Nitro-Instanzen. Damit ist jeder Hop im Netzwerk verschlüsselt, selbst wenn Anwendungen kein TLS sprechen. Laut Blackrock ermöglichte diese Funktion eine neue Version der Aladdin-Plattform, deren ältere Software-Komponenten nicht überall TLS einsetzen.

Sie arbeiten im CISO Office von AWS. Wie nutzen Sie Agentic AI intern?

Ein grosser Teil meiner eigenen Arbeit bleibt menschlich: Austausch mit Führungskräften und Kundschaft, Technologie erklären, Anforderungen verstehen. Wir betreiben etwa einen CISO Council mit CISOs wichtiger Kunden, die Rückmeldungen geben und Best Practices teilen. Ich nutze die neuen Tools, um technisch am Ball zu bleiben. Besonders stark verändert sich dagegen der Alltag in Teams wie Application Security, Proactive Security und Security Operations: mehr Automatisierung, mehr agentische Technologien.

Sie erwähnten gerade den Austausch mit CISOs grosser Unternehmen. Mit welchen Herausforderungen kämpfen diese Sicherheitsverantwortlichen aktuell am meisten?

Mit dem Einordnen und Integrieren der grossen Umbrüche. Seit Jahren raten wir, Software-Engineering-Kompetenzen in Security-Teams aufzubauen: Manuelle Aufgaben automatisieren, kleine Tiger-Teams aus Security- und Software-Engineers bilden, damit alle effizienter arbeiten. Zudem sollte Security den Entwicklungsteams Werkzeuge und Frameworks liefern - etwa vorgefertigte Konfigurationen, Templates und sichere Entwicklungsumgebungen, in AWS früher als Landing Zones bezeichnet. So wird regelkonformes Arbeiten der bequeme Standard. Das führt zu Fragen nach neuen Skills, Organisationswandel und Anreizen. Die gute Nachricht: In der Cybersecurity herrscht Fachkräftemangel. Agentische KI kann helfen, diese Lücke zu schliessen.

Entsprechende Prognosen gibt es einige. Sehen Sie diesen Effekt tatsächlich auch schon?

Es beginnt. Wir sind in einer frühen Phase grösserer Veränderungen, der Trend zeichnet sich ab.

Welche Cybersecurity-Aufgaben sind im vergangenen Jahr dagegen leichter geworden?

Es sind meist inkrementelle Schritte. Mit höherwertigen Services übernehmen wir mehr Aufgaben, was die Komplexität für Kunden reduziert. Ein Beispiel ist eine neue Lambda-Funktionalität: Functions-as-a-Service zum Beispiel können Workloads nun auf EC2-Instanzen im Kundenkonto ausführen. Das eröffnet Optionen wie den Einsatz von GPUs, bietet Kostenkontrolle über vorhandene EC2-Kapazitäten und übergibt zugleich Betriebssystem- und Container-Patching an den Service. Dadurch lassen sich Szenarien mit Lambda abdecken, die zuvor nicht möglich waren - inklusive Sicherheitsvorteilen durch den Managed-Betrieb.

In Europa ist digitale Souveränität ein dominantes Thema. Wie sichern Sie solche Umgebungen ab?

Wir bewegen Kundendaten nie automatisch zwischen Regionen. Kunden wählen ihre Regionen und können per Konfiguration den Einsatz ausserhalb dieser Regionen unterbinden. Zudem gibt es technische und organisatorische Zusicherungen, dass unsere Administratoren keinen Zugriff auf Kundendaten haben, und Dienste, bei denen dies technisch ausgeschlossen ist, etwa KMS oder Nitro-gestützte EC2-Instanzen. Wo administrativer Zugriff erforderlich ist, existieren kontrollierte, auditierte Prozesse. Noch weiter gehen wir mit unserem Angebot AWS European Sovereign Cloud. In der Vergangenheit wurden nämlich bestimmte Metadaten - zum Beispiel für Abrechnung und Kontenerstellung - in den Vereinigten Staaten verarbeitet. Die European Sovereign Cloud eliminiert diese letzten Berührungspunkte: vollständig europäische Abwicklung über den gesamten Lebenszyklus, Administration durch europäische Mitarbeitende und eine rechtliche Struktur, die die Einhaltung lokalen Rechts sicherstellt. Manche Kunden wechseln sofort, andere bleiben bei den europäischen Standard-Regionen, weil sie die dortigen Schutzmassnahmen für ausreichend halten.

Gibt es diese Nachfrage nach digitaler Souveränität auch in anderen Regionen, abseits Europas? Hat AWS auch eine Australian Sovereign Cloud?

Nein, ausserhalb Europas gibt es wenige Anfragen nach diesem Grad an Souveränität. China ist eine Ausnahme: Dort arbeiten wir mit lokalen Partnern als Seller of Record und betreiben die Infrastruktur unter besonderen Annahmen. Interesse gibt es auch an isolierten, nicht mit dem Internet verbundenen Umgebungen für Regierungen - das ist aber ein anderes Geschäftsmodell als die internetverbundenen kommerziellen Regionen.

Schon im Frühjahr 2025, im Rahmen der Reinforce-Konferenz, hat AWS neue Security-Funktionen vorgestellt. Mit Erweiterungen und Neuerungen bei Security Hub, AWS Shield und Guardduty will das Unternehmen aktuelle Cybersecurity-Herausforderungen adressieren, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.