25. Februar 2021, 10:36

Amazon im Chaos

Drei Amazon Angestellte, einer aus Europa, zwei aus den USA der “High-Level” Informationssicherheit wenden sich als Whistleblower an die Öffentlichkeit. Sie warnen vor schwerwiegenden, internen Missständen bei Amazon. Dem Nachrichten-Portal POLITICO1 liegen die Aussagen sowie interne Memos und Dokumente vor. Diesem Gang in die Öffentlichkeit ging offenbar ein längerer Weg durch die betrieblichen Eskalationsebenen bis zum obersten Management in Seattle voraus.

Im Ergebnis skizzieren die Drei aus unterschiedlichen Konzernbereichen unabhängig voneinander ein gemeinsames Bild. Amazon, Hauptakteur für Big-Data, Business-Intelligence, KI und Cloud-Computing, hat seine Daten nicht im Griff.

Amazon’s information technology general controls, considering my experience and where I’ve been in the past, would not have passed muster with most auditors, they were just poorly managed.

Ein internes Memo aus dem Jahr 2018 stellt sehr hohe, kritische, unternehmerische Risiken fest:

“very high” possibility of critical financial loss or reputational damage to the business because of the company’s “inability to identify adversarial events.

Diese Information ist für Anleger und die Börsen relevant sollte es zutreffen, dass diese unter Verschluss gehalten wurde. Amazon könne aufgrund seiner schieren Größe und Mitarbeiterfluktrationen nicht mehr sagen, welche Abteilung und welche Personen intern auf welche Daten zugreifen.

Amazon fails to properly control access to systems, and that, in a company whose workforce has grown to more than 1 million, reams of personal information are accessible to people who do not have the appropriate role or responsibility.

We found hundreds of thousands of accounts where the employee is no longer there but they still have system access.

Der Konzern habe Schwierigkeiten seine eigenen IT Systeme ordnungsgemäß zu betreiben und mit Sicherheitspatches und Updates aktuell zu halten. Nur 55 bis 70 Prozent der Systeme seien überhaupt auf einem aktuellen Stand der Technik. Sicherungssysteme seien “second to none” faktisch nicht existent.

Das würde nur die internen Systeme betreffen, nicht jedoch die AWS-Angebote, die unabhängig davon betrieben werden und wo jeder Kunde für seine eigene Informationssicherheit verantwortlich ist.

Die DSGVO sei bei Amazon unzureichend implementiert. Der Konzern würde bei der Umsetzung weit zurückliegen und gegen geltendes Recht verstoßen. Erst wenige Wochen vor der Inkraftsetzung im Jahr 2018 begann Amazon interne Arbeitsgruppen zu bilden. In zahlreichen Memos und Dokumenten an die Geschäftsführung, namentlich werden CEO Jeff Wilke und CFO Brian Olsavsky genannt, wurden seither bestehende Mängel und Verfehlungen nach oben eskaliert ohne jeweils behoben worden zu sein.

Aus DSGVO-Sicht schwerwiegend ist der Vorwurf, dass direkter Zugriff aus Seattle auf persönliche Daten von EU-Bürgern erfolgt sei, wo formal nur die EU-Entität und EU-Angestellte Zugriff haben dürften.

The term ‘personal data’ for instance means something different in the U.S. to Europe.

Die vorliegenden Belege und Dokumente reichen bis in die höchsten Management-Ebenen nach Seattle und umfassen sämtliche Vice Presidents, Senior Vice Presidents und Jeff Bezos persönlich.

Anstatt die Probleme anzugehen und an Lösungen zu arbeiten, sind die Mitarbeiter zum Schweigen verdonnert worden obwohl Sie aufgrund rechtlicher, vertraglicher und geltender Industriestandards zur Anzeige und Behebung der Probleme verpflichtet und persönlich haftbar waren.

Both former U.S.-based employees were told at one point by their direct management to “stop looking for problems,” even though they were required to do exactly that under multiple laws, regulations and industry requirements and despite the fact that they could be personally liable for issues.

Der ehemalige EU Mitarbeiter ergänzt:

I gave Amazon every chance to show me it wasn’t the case … by escalating to various internal control functions within the company, by escalating to the global risk-management committee of the company and finally by engaging formal procedures. They could have come back and said, ‘Hey look, we agree there’s a problem, we will work on solving it,' but they didn’t. Instead they asked me to leave the company,

Seine US-Kollegen berichten von einem systematischen Aussortieren (“systematic eradication”) von Menschen im Konzern, die als Überbringer schlechter Nachrichten galten. Das Prinzip: “Kill the Messenger” klingt jedem sehr vertraut, der in einem Unternehmen für Informationssicherheit verantwortlich ist.

Diese Story dürfte als “developing story” in den kommenden Tagen und Wochen auch in anderen Medien eskalieren. Nach Aussage von POLITICO bestreitet Amazon die Vorwürfe.


  1. https://www.politico.eu/article/data-at-risk-amazon-security-threat/ ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis