Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Mit Stethoscope soll die Sicherheit verbessert werden. (Bild: Netflix)

Kein zentraler Datenspeicher

Stethoscope läuft auf einem Python-Backend und mit einem React-Frontend. Die Webapplikation hat keinen eigenen Datenspeicher, sondern erhebt die gewünschten Informationen direkt von den notwendigen Quellen. Diese Daten werden nur für die Anzeige zusammengeführt. Die Daten auf den Clients werden auf Windows durch Landesk, auf Macs durch Jamf und bei Mobilgeräten durch Google MDM bereitgestellt.

Nutzer sollen möglichst wenig mit Benachrichtigungen belästigt werden. Studien haben ergeben, dass zu viele Sicherheitshinweise und Nachrichten bei Nutzern nur dazu führen, dass diese ungelesen weggeklickt werden. Stethoscope zeigt Pop-Up-Nachrichten daher nur an, wenn Nutzer konkret etwas tun sollen, etwa bestätigen, dass ein bestimmter Login tatsächlich von ihnen selbst durchgeführt wurde.

Netflix setzt auf Vertrauen zu den Mitarbeitern

Netflix schreibt, dass es zur Unternehmenskultur gehöre, den Mitarbeitern auch in Fragen der Sicherheit zu vertrauen: "Wir glauben, dass Netflix-Mitarbeiter grundsätzlich das Richtige tun wollen, und als Unternehmen geben wir den Menschen die Freiheit, die Dinge so zu tun, wie sie es für richtig halten." Diese Freiheit müsse auch durch die Systeme, Werkzeuge und Verfahrensabläufe respektiert werden.

Daher seien insbesondere personalisierte Nachrichten mit konkreten Handlungsempfehlungen geeignet. Wer Stethoscope selbst in seinem Unternehmen ausprobieren will, kann das tun. Der Quellcode ist bei Github verfügbar, zu Testzwecken gibt es auch eine fertige Docker-Konfiguration.

Übersicht über die Datenstruktur von Stethoscope (Bild: Netflix)

Die Software wird aktiv weiterentwickelt, Netflix sucht gezielt nach Personal. In Zukunft sollen weitere Datenquellen hinzukommen. So soll das von Facebook entwickelte Osquery demnächst integriert werden.

Netflix stellt immer wieder Eigenentwicklungen aus dem Bereich Security und Serververwaltung frei, etwa zum Auffinden von Cross-Site-Scripting-Lücken. Das Unternehmen führt auch zufällige Stresstests der eigenen Infrastruktur durch.