Confidential Computing schließt die letzte Cloud-Sicherheitslücke

Confidential Computing schließt die letzte Cloud-Sicherheitslücke

Confidential Computing ist gekommen, um zu bleiben – lässt sich damit doch die letzte große Sicherheitslücke bei der digitalen Zusammenarbeit in der Cloud schließen. In unserem Blogbeitrag erklären wir, was hinter dem Begriff Confidential Computing steckt, wie es funktioniert und wie sich die Technologie im Unternehmensalltag produktiv nutzen lässt.

Datenschutz und Datensicherheit sind nach wie vor die größten Fallstricke bei der kommerziellen bzw. professionellen Nutzung von Cloud-Diensten. Dabei ist die Cloud aus dem unternehmerischen Umfeld nicht mehr wegzudenken. Nahezu 97 Prozent der deutschen Unternehmen nutzen bereits erfolgreich Cloud-Dienste oder haben vor, dies in naher Zukunft zu tun. Das ist dem aktuellen Cloud-Monitor von Bitkom und KPMG zu entnehmen. In der Folge liegen immer weniger Daten auf den Endgeräten der Nutzer und immer mehr Daten (bis zu 60 Prozent) in sogenannten SaaS-Anwendungen (Software as a Service) – also in der Cloud. Das bringt vor allem für die Sicherheitsverantwortlichen Probleme mit sich, und zwar in Form von Sicherheitslücken, die sich mit traditionellen Methoden nicht schließen lassen.

Zur Bearbeitung in der Cloud müssen Daten im Klartext vorliegen.

Denn auch, wenn sich die Anbieter in den letzten Jahren bemüht haben, das Sicherheits-Niveau in der Cloud anzuheben, bleiben dennoch erhebliche „Blind Spots“ bestehen. Das liegt daran, dass sich die Bemühungen der letzten Jahre vor allem um die Sicherung der Daten bei der Speicherung („data at rest“) und Übertragung („data in transit“) gedreht haben, nicht aber um die Sicherheit der Daten während ihrer Verarbeitung in der Cloud („data in use“). Das hat zur Folge, dass viele Unternehmen zwar Cloud-Dienste nutzen, aber nicht deren volles Potenzial ausschöpfen – etwa, indem sie auf bestimmte Arten der Datenverarbeitung in der Cloud verzichten – und somit versäumen, einen Mehrwert aus ihren Daten zu schaffen.

Die Lösung für das Cloud-Security-Dilemma?

Das Dilemma besteht darin, dass Daten für die Verarbeitung stets entschlüsselt im System vorliegen müssen. Zumindest beim derzeitigen Stand der Technik ist das der Fall; eine Verarbeitung verschlüsselter Daten ist zwar theoretisch möglich, aufgrund der benötigten Rechenleistung aber nicht wirtschaftlich. Im unverschlüsselten Zustand sind die Daten jedoch angreifbar – eine Horrorvorstellung für Unternehmen, vor allem, wenn es sich um sensible Daten (z.B. Vorverträge, Projekt-, Forschungs- oder Finanzdaten, Daten mit Personenbezug…) handelt. Genau diese Lücke der sicheren Datenverarbeitung zu schließen, ist die Aufgabe von Confidential Computing.

Confidential Computing – was ist das?

Confidential Computing beschreibt den Ansatz, Daten bzw. Code auch während der Verarbeitung gegen Zugriffe von außen zu schützen. Dazu erfolgt diese in sicheren, hardwarebasierten Enklaven, sogenannten „Trusted Execution Environments“ (TEEs). Innerhalb dieser gehärteten Enklaven ist eine isolierte, geschützte und überprüfbare Datenverarbeitung auch auf nicht vertrauenswürdigen Computersystemen möglich, beispielsweise auf virtualisierten Systemen oder einem Rechner in der Cloud.

So funktioniert´s: Die Technologie hinter Confidential Computing

Confidential Computing auf Server-Ebene
Confidential Computing lässt sich auch auf Server-Ebene realisieren.

Realisieren lässt sich Confidential Computing sowohl auf Prozessor- als auch auf Server-Ebene. Beim Confidential Computing auf Prozessor-Ebene wird Code in TEEs innerhalb der speziell dafür ausgelegten Prozessoren verarbeitet. Die bekannteste Implementierung dieser Art ist Intel Software Guard Extensions (SGX). Hier werden alle direkten Zugriffe – auch von privilegierten Prozessen – auf die Daten in den TEEs durch die CPU kontrolliert bzw. verhindert.

Beim Confidential Computing auf Server-Ebene erfolgt die Datenverarbeitung auf vom Rest des Systems abgeschirmten Server-Segmenten. Diese verfügen außerdem über reduzierte Schnittstellen und gehärtete Betriebssystemen. Auch hier sind privilegierte Zugriffe (etwa durch Administratoren) auf die verarbeiteten Daten technisch ausgeschlossen. Beispielhaft wäre hier die Sealed Cloud zu nennen, die Technologie hinter dem hochsicheren Cloud-Collaboration-Dienst idgard.

Das Confidential Computing Consortium

Im Jahr 2019 haben sich mehrere große Anbieter – darunter Google, IBM, AMD, Intel, Microsoft und Alibaba – unter dem Dach der Linux Foundation zum Confidential Computing Consortium (CCC) zusammengeschlossen. Das Ziel: Die Definition von Confidential-Computing-Standards und die Entwicklung von Strategien und quelloffenen Tools, um die Einführung des Confidential Computings voranzutreiben.

Aktuell arbeitet das Consortium an mehreren Frameworks bzw. Software Development Kits, die Entwicklern die Programmierung von Apps erleichtern sollen, die in verschiedenen Trusted Execution Environments lauffähig sind:

SGX SDK (Intel)
Open Enclave SDK (Microsoft)
Enarx (Red Hat)

Anwendungsgebiete für Confidential Computing

Confidential Computing hebt die Sicherheit bei der Verarbeitung sensibler Daten in der Cloud auf ein neues Level. Das wiederum eröffnet deutschen Unternehmen zahlreiche neue datengetriebene Anwendungsmöglichkeiten.

Secure Content Collaboration und hochsicherer Datenaustausch

Sicherer Datenaustausch
Confidential Computing sichert die digitale Zusammenarbeit ab.

Viele Unternehmen nutzen Cloud-Dienste für die Ablage und den Austausch von Daten sowie für die ortsunabhängige digitale Zusammenarbeit (Content Collaboration) mit Kollegen, Kunden und externen Partnern. Confidential Computing sichert in diesem Szenario auch sensible Daten auf höchstem Niveau ab. Das ermöglicht eine datenschutzkonforme Nutzung und Verarbeitung in der Cloud. Datenraum-Dienste wie idgard, die neben einem hohen Datenschutzniveau auch noch hilfreiche Teamwork-Funktionen bieten, erleichtern die Secure Content Collaboration. Konkrete Anwendungsbeispiele sind die Projekt- und Gremienarbeit, Vorstands- und Mandantenkommunikation, Due-Diligence-Prüfungen oder die gemeinsame regelbasierte Nutzung von Daten zwischen Parteien, die einander nicht vertrauen.

Mehr noch: Die Möglichkeit, sensible Kundendaten verarbeiten und gleichzeitig nachweisen zu können, dass niemand – auch nicht der Anbieter und seine Administratoren – sich unbefugten Zugang zu den Daten verschaffen kann, ermöglicht es auch datenschutzrechtlich streng regulierten Branchen, die Vorteile der Cloud endlich vollumfänglich zu nutzen!

Confidential Computing und Smart Mobility

Ein weiteres Anwendungsgebiet für Confidential Computing ist die Verarbeitung und Nutzbarmachung von Sensordaten aus Smart Cars und anderen digitalen Verkehrssystemen. Durch die Datenverarbeitung in sicheren Enklaven lässt sich sicherstellen, dass Diensteanbieter und Fahrzeughersteller ausschließlich Zugriff auf gefilterte Daten haben. Aus diesen lassen sich keine datenschutzrechtlich relevanten Rückschlüsse mehr auf einzelne Fahrzeuge oder Personen ziehen.

Das hilft Anbietern und Herstellern dabei, die gesetzlichen Vorschriften einzuhalten. Darüber hinaus könnte es die Akzeptanz für Datenerhebung in vernetzten Fahrzeugen bei den Verbrauchern erhöhen.

Confidential Computing und Industrie 4.0

Confidential Computing und Industrie 4.0
Confidential Computing ist ideal für Industrie-4.0-Anwendungen.

„Industrie 4.0“ ist schon seit Jahren der Hype-Begriff in deutschen Industrieunternehmen. In der Theorie bedeutet Industrie 4.0, Fertigungsprozesse durch das Erheben und Analysieren von Daten zu optimieren. In der Realität aber hinken hiesige Hersteller hinterher – Grund dafür sind vielerorts Sicherheitsbedenken. Denn die gesammelten Daten enthalten nicht selten vertrauliche Unternehmensinformationen oder schützenswertes Know-how. In der Folge weigern sich die Unternehmen, ihre erhobenen Daten zu teilen oder sie in der Cloud zu verarbeiten. Confidential Computing kann hier für das nötige Schutzniveau sorgen und so die Bedenken der Unternehmen ausräumen. Das ebnet den Weg für verschiedene datengetriebene Industrieanwendungen wie Predictive Maintenance, digitale Zwillinge, Supply Chain Management und viele mehr.

Confidential Computing im Finanzwesen

Auch im Finanzsektor kann Confidential Computing die datenschutzkonforme Wertschöpfung aus sensiblen Daten enorm optimieren. Beispielsweise können Kreditkartenunternehmen und Händler Kunden- und Transaktionsdaten effektiver auf Betrugsversuche hin überprüfen, ohne dass eine der involvierten Parteien Schaden erleidet. RegTech- und FinTech-Provider profitieren ebenfalls von einer geschützten Datenverarbeitung in der Cloud, denn sie erleichtert die Einhaltung rechtlicher Vorgaben. Somit können sich die Anbieter im Kerngeschäft um die Entwicklung und Verbesserung neuer Services konzentrieren, ohne sich um Datenschutz und Compliance Sorgen machen zu müssen.

Fazit: Gekommen, um zu bleiben

Der Trend in deutschen Unternehmen geht klar weg von On-Premises-Lösungen und hin zu (Multi-)Cloud-Diensten. Doch erst durch die Möglichkeit der technisch geschützten Datenverarbeitung in sicheren Hardware-Enklaven wird die Cloud mit all ihren Vorteilen für alle Branchen nutzbar. Durch den Zusammenschluss der großen Chip- und Cloud-Anbieter zum CCC und deren Bemühungen, ihre Technologien quelloffen voranzutreiben, ist davon auszugehen, dass sich der Confidential-Computing-Ansatz auch in Zukunft weiter durchsetzen wird. Das Beste daran: Davon profitieren nicht nur die Unternehmen, sondern in letzter Instanz auch die Kunden.

Data Governance – wie gelingt der richtige Umgang mit Daten?

Data Governance – wie gelingt der richtige Umgang mit Daten?
(Dieser Beitrag wurde im Mai 2022 veröffentlicht und im Juli 2022 aktualisiert.) In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance unverzichtbar. Sie regelt, [...] Weiterlesen
Darum spielt der Server-Standort eine Rolle

5 Gründe, warum der Server-Standort Deutschland eine Rolle spielt
Spielt es eine Rolle, wo ein Cloud-Anbieter seine Server betreibt? Allerdings! Erfahren Sie, welche Vorteile der Server-Standort Deutschland bringt. Weiterlesen
So funktioniert Secure Content Collaboration

Secure Content Collaboration: So geht digitale Zusammenarbeit heute!
Secure Content Collaboration ist eine der zentralen Herausforderungen digitaler Zusammenarbeit. Wann und warum ist die Sicherheit beim Austauschen und gemeinsamen Bearbeiten von Dateien besonders wichtig? [...] Weiterlesen