Viele lange Nächte”: Zoom’s Compliance-Chef reflektiert über das Jahr, das die Pandemie war

Cyber Security News

Die Pandemie stellte Unternehmen jeder Größe und in allen Märkten auf die Probe. Doch einige Unternehmen sahen sich mit ungewöhnlichen Umständen konfrontiert. Zum Beispiel Zoom, das inmitten einer explodierenden Nachfrage mit Datenschutz- und Sicherheitskontroversen zu kämpfen hatte.

Zoom wurde vor einem Jahrzehnt gegründet, erreichte 2017 eine Bewertung von 1 Milliarde US-Dollar und den Status eines “Einhorns” und führte nur zwei Jahre später einen Börsengang durch. Am 30. April 2020, etwa einen Monat nachdem die Welt im Wesentlichen stillstand, wurde Zoom in den NASDAQ-100-Aktienindex aufgenommen – als eines der wenigen Tech-Unternehmen, die in der Lage sind, Unternehmen und Privatpersonen inmitten der Pandemie in Verbindung zu halten.

Aber mit schnellem Wachstum kommen auch Hürden. Innerhalb weniger Monate nach der Abschaltung kam es zu einer Reihe von Sicherheitskontroversen. Darunter die Entdeckung, dass die App nicht wie beworben Ende-zu-Ende-verschlüsselt war, und dass zwischen 2018 und 2019 ein “ZoomOpener”-Webservermodul auf Macs installiert wurde, das Apples Sicherheit umging.

Auf diese und andere Herausforderungen wurde schnell reagiert. Zoom kündigte eine Reihe neuer Sicherheitsmaßnahmen an: Es führte eine Ende-zu-Ende-Verschlüsselung ein, stellte den ehemaligen Salesforce-Manager Jason Lee als neuen Chief Information Security Officer ein und fügte Unterstützung für die Zwei-Faktor-Identifizierung hinzu. Zoom schloss außerdem einen Vertrag mit Bugcrowd ab, um ein Bounty-Programm durchzuführen, und ging eine Vereinbarung mit der Federal Trade Commission ein, um standardisierte Prozesse für die Benennung von Videodateien, die Löschung persönlicher Daten und die Untersuchung von Sicherheitsvorfällen zu befolgen.

Ist das Unternehmen aus all dem besser hervorgegangen? Aus geschäftlicher Sicht könnte man sagen, ja; Zoom wird jetzt mit mehr als 300 Dollar pro Aktie gehandelt. Aber die Ereignisse des letzten Jahres werfen auch ein gutes Licht auf die Unternehmenskultur, sagt Lynn Haaland, die im Januar 2020 als Chief Compliance and Ethics Officer zu Zoom kam – nur wenige Monate bevor die Pandemie ausbrach. SC Media sprach mit Haaland über die Herausforderungen und Lektionen, die sie in einem durch die Pandemie veränderten Jahr gelernt hat.

Sie kamen zu Zoom nur zwei Monate, bevor sich die Welt buchstäblich veränderte. Wenn Sie auf das vergangene Jahr zurückblicken, was war die wichtigste Veränderung, die das Unternehmen vornehmen musste, um den Kundenanforderungen gerecht zu werden, aber auch die hohen Standards der Kundensicherheit und des Datenschutzes einzuhalten?

Haaland: Der plötzliche Zustrom von Nutzern war der ultimative Drucktest für uns – und wir mussten schnell lernen und lernen immer noch, wie wir die Privatsphäre und Sicherheit dieser neuen Kunden am besten bedienen können.

Die Nutzung von Zoom stieg von 10 Millionen Meeting-Teilnehmern pro Tag im Dezember 2019 auf 300 Millionen im April 2020, und wir mussten rund um die Uhr arbeiten, um sicherzustellen, dass Unternehmen, Schulen und andere auf der ganzen Welt sicher, verbunden und betriebsbereit bleiben. Die zunehmende Beliebtheit von Zoom bei den Verbrauchern und der Wandel von einem primär auf Unternehmen ausgerichteten Produkt machten es natürlich zu einem größeren Ziel für böswillige Akteure, was uns dazu zwang, proaktive Schritte zu unternehmen, um das Benutzererlebnis für Verbraucher zu schützen (die nicht den Vorteil großer IT-Abteilungen haben, die ihnen bei der Optimierung ihrer Sicherheits- und Datenschutzpraktiken helfen).

Zu den Schritten, die wir unternommen haben, gehörten die Einstellung erfahrener Berater, die uns bei der Überprüfung und Sicherstellung von Best Practices für Verbraucher helfen sollten, die Aktualisierung der Standardeinstellungen, um mehr Sicherheitsfunktionen für Meetings standardmäßig zu aktivieren, und die Einführung von Funktionen, die Gastgebern einen einfacheren Zugriff auf die Sicherheitskontrollen in Meetings ermöglichen – einschließlich der Kontrolle der Bildschirmfreigabe, des Entfernens und der Meldung von Teilnehmern und des Sperrens von Meetings, neben anderen Maßnahmen. Wir haben auch große Anstrengungen unternommen, um die Nutzer direkt über die besten Sicherheitspraktiken für die Einrichtung ihrer Meetings aufzuklären, u. a. über Blogs, Videos und ein wöchentliches Webinar, um unsere Community über Datenschutz- und Sicherheitsupdates zu informieren.

Letztendlich waren all diese Änderungen nur der erste Schritt für uns, um unsere Benutzer besser zu bedienen. Wir sind mehr denn je dem Schutz der Privatsphäre und der Sicherheit verpflichtet und liefern gleichzeitig ein außergewöhnliches Produkt.

Wie wurden die unterschiedlichen Anforderungen der verschiedenen Branchen (Behörden, Unternehmen, Verbraucher) innerhalb eines ziemlich kurzen Zeitfensters bewältigt?

Eine Menge langer Nächte! Wie für viele Unternehmen war es auch für uns eine herausfordernde Zeit. Aber letztendlich war es eine lohnende Zeit, weil wir alle so eng zusammengearbeitet haben. Es kam darauf an, dass Zoom eine Kultur hat, die organisatorische Agilität, Flexibilität und Zusammenarbeit betont. Wir haben auch Hand in Hand mit unseren Kunden gearbeitet, darunter große Banken, Bildungseinrichtungen, Regierungsbehörden und unzählige andere, um ihre differenzierten Bedürfnisse zu erfüllen. Ich denke, wir waren alle besonders stolz darauf, dass wir so viele K-12-Schulen unterstützen konnten.

Worauf sind Sie am meisten stolz, wenn es um die Entwicklung geht, die Zoom im letzten Jahr genommen hat?

Am stolzesten bin ich auf die Fähigkeit von Zoom, sich den Herausforderungen zu stellen. Wir waren und sind in einer privilegierten Position, um helfen zu können, und ich bin sehr beeindruckt davon, wie unser Team mit dem massiven Zustrom neuer Nutzer und den neuen Sicherheits- und Datenschutzfunktionen und -ressourcen umgegangen ist, die wir implementiert haben, um diese erhöhte Akzeptanz zu unterstützen.Wo wir Raum für Verbesserungen hatten, haben wir unser Bestes getan, um transparent zu sein, zu lernen und uns zu verbessern. Transparenz ist ein Wert, den das Führungsteam hier bei Zoom vertritt. Zum Beispiel, als unser CEO Eric [Yuan] auf ein Problem stößt, spricht er es ehrlich an und sucht den Input von anderen, um gemeinsam eine Lösung zu entwickeln. Ich glaube, dass dieses kontinuierliche Engagement für Transparenz ein wesentlicher Faktor für unsere erfolgreiche Bewältigung der Pandemie war.

Ist der Datenschutz aus Ihrer Sicht ein internes Unterfangen (Sicherstellung, dass Zoom die Standards und Vorschriften einhält) oder ein kooperatives mit der Anwendergemeinschaft? Wie, wenn überhaupt, haben Ihr Team und Zoom als Unternehmen mit den Nutzern zusammengearbeitet, um den Datenschutz bei diesem rasanten Anstieg der Nutzung besser zu gewährleisten?

Beide Initiativen sind wichtige Teile unseres Ansatzes für den Datenschutz. Ganzheitlich gesehen geht es darum, Ihre Richtlinien konsequent auf mögliche Verbesserungsbereiche zu überprüfen und sicherzustellen, dass sie mit den sich entwickelnden Best Practices übereinstimmen. Außerdem ist es wichtig, dass Sie Ihre Richtlinien kontinuierlich so klar und transparent wie möglich kommunizieren.

Die Einhaltung von Datenschutzstandards und -vorschriften ist natürlich von entscheidender Bedeutung und etwas, das wir ständig auf globaler Basis überwachen und bei Bedarf anpassen. Und wir freuen uns immer über Perspektiven, die uns helfen, sowohl in Bezug auf die Richtlinien als auch auf die Transparenz über uns hinauszuwachsen, was auch das Einholen von Feedback aus der Community beinhaltet. Tatsächlich sind einige der Änderungen, die wir im Bereich Datenschutz vorgenommen haben, auf Vorschläge zurückzuführen, die wir von Branchenführern, gemeinnützigen Organisationen und anderen erhalten haben.

Einige sehen die Biden-Administration in der Lage, Datenschutzbestimmungen auf nationaler Ebene in Angriff zu nehmen. Was wäre Ihr Best-Case-Szenario in Bezug auf die Datenschutzregulierung, und was würden Sie als größere Herausforderung aus Sicht der Compliance betrachten?

Wie Sie vielleicht vermuten, werde ich nicht über die Politik der Regierung spekulieren, aber ich denke, dass wir im Allgemeinen eine anhaltende Bewegung – sowohl im Inland als auch im Ausland – in Richtung eines verbesserten Datenschutzes sehen. Dies ist etwas, das stark mit unserer Kultur bei Zoom übereinstimmt. Datenschutz und Sicherheit sind für uns von größter Wichtigkeit, daher sind wir generell für eine Politik, die die Nadel in Richtung von mehr Benutzerschutz und weniger unwichtiger Datenerfassung bewegt, während sie immer noch Innovationen zulässt.

Natürlich wird die größte Auswirkung solcher Regulierungen auf werbefinanzierte Unternehmen sein. Zoom verkauft keine Werbung. Sein Geschäftsmodell ist völlig anders – und darauf aufgebaut, Dienstleistungen an Unternehmen und Menschen zu verkaufen.

Sie haben vor Zoom eine ganze Weile bei PepsiCo gearbeitet. Ich kann mir vorstellen, dass die Prioritäten/Anforderungen an den Datenschutz ganz anders waren. Wie können Sie Ihre Erfahrungen und Schwerpunkte vergleichen und gegenüberstellen?

Der Hauptunterschied besteht darin, dass sich ein Großteil meiner Aufgaben bei Zoom darauf konzentriert, sicherzustellen, dass wir die Richtlinien und Funktionen zum Schutz der Daten und der Privatsphäre unserer Kunden und Nutzer haben. Bei PepsiCo konzentrierten sich meine Aufgaben mehr auf die traditionellen Elemente eines effektiven Compliance- und Ethikprogramms. Aber es gibt auch viele Gemeinsamkeiten – insbesondere das Engagement beider Unternehmen für eine Kultur des Mitspracherechts und lebenslanges Lernen.

Das Ansprechen ist ein wesentlicher Bestandteil der Kultur hier bei Zoom, und es ist in unserer Betonung von Fürsorge und Empathie verwurzelt. (Zoom’s Wert ist es, sich zu kümmern. Wir kümmern uns um unsere Kunden, Mitarbeiter, das Unternehmen, die Gemeinschaft und uns selbst.) Das Unternehmen ermutigt zu Feedback sowohl von innerhalb als auch von außerhalb der Organisation. Wenn jemand außerhalb des Unternehmens ein Problem hat, ist oft die erste Frage von Eric: “Haben wir sie angerufen und mit ihnen darüber gesprochen?” Und wenn ein Mitarbeiter eine Frage oder ein Anliegen hat, werden wir ermutigt, es über einen der vielen etablierten Kanäle im Unternehmen anzusprechen, aber auch offen miteinander. Teamwork und Zusammenarbeit sind das Herzstück einer Videokommunikationsplattform, und ein offenes Ohr für die Anliegen anderer ist entscheidend für den Erfolg in diesen Bereichen.

In Bezug auf lebenslanges Lernen sind sowohl PepsiCo unter Indra Nooyi als auch Zoom unter Eric starke Verfechter der Idee, dass unsere Reise als Studenten nie zu Ende ist. Speziell bei Zoom haben wir ein Rückerstattungsprogramm für Bücher, die wir kaufen, um unsere Fähigkeiten und Weltanschauungen zu erweitern. Es gibt Ermutigung und die Erwartung, weiter zu lernen, zu reflektieren und sich selbst zu pushen, um das Beste zu sein, was man sein kann.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com