Confidential Computing schließt die letzte Cloud-Sicherheitslücke

Confidential Computing schließt die letzte Cloud-Sicherheitslücke

Confidential Computing ist gekommen, um zu bleiben – lässt sich damit doch die letzte große Sicherheitslücke bei der digitalen Zusammenarbeit in der Cloud schließen. In unserem Blogbeitrag erklären wir, was hinter dem Begriff Confidential Computing steckt, wie es funktioniert und wie sich die Technologie im Unternehmensalltag produktiv nutzen lässt.

Dieser Betrag wurde im August 2022 veröffentlicht und im Dezember 2023 aktualisiert.

Datenschutz und Datensicherheit sind nach wie vor die größten Fallstricke bei der kommerziellen bzw. professionellen Nutzung von Cloud-Diensten. Dabei ist die Cloud aus dem unternehmerischen Umfeld nicht mehr wegzudenken. Nahezu 97 Prozent der deutschen Unternehmen nutzen bereits erfolgreich Cloud-Dienste oder haben vor, dies in naher Zukunft zu tun. Das ist dem aktuellen Cloud-Monitor 2023 von Bitkom und KPMG zu entnehmen. In der Folge liegen immer weniger Daten auf den Endgeräten der Nutzer und immer mehr Daten (bis zu 60 Prozent) in sogenannten SaaS-Anwendungen (Software as a Service) – also in der Cloud. In fünf Jahren will bereits ein Großteil aller Unternehmen mehr als die Hälfte ihrer IT-Anwendungen aus der Cloud betreiben. Das bringt vor allem für die Sicherheitsverantwortlichen Probleme mit sich, und zwar in Form von Sicherheitslücken, die sich mit traditionellen Methoden nicht schließen lassen.

Zur Bearbeitung in der Cloud müssen Daten im Klartext vorliegen.

Denn auch, wenn sich die Anbieter in den letzten Jahren bemüht haben, das Sicherheits-Niveau in der Cloud anzuheben, bleiben dennoch erhebliche „Blind Spots“ bestehen. Das liegt daran, dass sich die Bemühungen der letzten Jahre vor allem um die Sicherung der Daten bei der Speicherung („data at rest“) und Übertragung („data in transit“) gedreht haben, nicht aber um die Sicherheit der Daten während ihrer Verarbeitung in der Cloud („data in use“). Das hat zur Folge, dass viele Unternehmen zwar Cloud-Dienste nutzen, aber nicht deren volles Potenzial ausschöpfen – etwa, indem sie auf bestimmte Arten der Datenverarbeitung in der Cloud verzichten – und somit versäumen, einen Mehrwert aus ihren Daten zu schaffen.

Die Lösung für das Cloud-Security-Dilemma?

Das Dilemma besteht darin, dass Daten für die Verarbeitung stets entschlüsselt im System vorliegen müssen. Zumindest beim derzeitigen Stand der Technik ist das der Fall; eine Verarbeitung verschlüsselter Daten ist zwar theoretisch möglich, aufgrund der benötigten Rechenleistung aber nicht wirtschaftlich. Im unverschlüsselten Zustand sind die Daten jedoch angreifbar – eine Horrorvorstellung für Unternehmen, vor allem, wenn es sich um sensible Daten (z.B. Vorverträge, Projekt-, Forschungs- oder Finanzdaten, Daten mit Personenbezug…) handelt. Genau diese Lücke der sicheren Datenverarbeitung zu schließen, ist die Aufgabe von Confidential Computing.

Confidential Computing – was ist das?

Confidential Computing beschreibt den Ansatz, Daten bzw. Code auch während der Verarbeitung gegen Zugriffe von außen zu schützen. Dazu erfolgt diese in sicheren, hardwarebasierten Enklaven, sogenannten „Trusted Execution Environments“ (TEEs). Innerhalb dieser gehärteten Enklaven ist eine isolierte, geschützte und überprüfbare Datenverarbeitung auch auf nicht vertrauenswürdigen Computersystemen möglich, beispielsweise auf virtualisierten Systemen oder einem Rechner in der Cloud.

So funktioniert´s: Die Technologie hinter Confidential Computing

Confidential Computing lässt sich auch auf Server-Ebene realisieren.
Confidential Computing lässt sich auch auf Server-Ebene realisieren.

Realisieren lässt sich Confidential Computing sowohl auf Prozessor- als auch auf Server-Ebene. Auf Prozessor-Ebene wird Code in TEEs innerhalb der speziell dafür ausgelegten Prozessoren verarbeitet. Die bekannteste Implementierung dieser Art ist Intel Software Guard Extensions (SGX). Hier werden alle direkten Zugriffe – auch von privilegierten Prozessen – auf die Daten in den TEEs durch die CPU kontrolliert bzw. verhindert.

Beim Confidential Computing auf Server-Ebene erfolgt die Datenverarbeitung auf vom Rest des Systems abgeschirmten Server-Segmenten. Diese verfügen außerdem über reduzierte Schnittstellen und gehärtete Betriebssystemen. Auch hier sind privilegierte Zugriffe (etwa durch Administratoren) auf die verarbeiteten Daten technisch ausgeschlossen. Beispielhaft wäre hier die Sealed Cloud zu nennen, die Technologie hinter dem hochsicheren Cloud-Collaboration-Dienst idgard.

Das Confidential Computing Consortium

Im Jahr 2019 haben sich mehrere große Anbieter – darunter Google, IBM, AMD, Intel, Microsoft und Alibaba – unter dem Dach der Linux Foundation zum Confidential Computing Consortium (CCC) zusammengeschlossen. Das Ziel: Die Definition von Standards und die Entwicklung von Strategien und quelloffenen Tools, um die Einführung des Confidential Computings voranzutreiben.

Aktuell arbeitet das Consortium an mehreren Frameworks bzw. Software Development Kits, die Entwicklern die Programmierung von Apps erleichtern sollen, die in verschiedenen Trusted Execution Environments lauffähig sind:

SGX SDK (Intel)
Open Enclave SDK (Microsoft)
Enarx (Red Hat)

Vorteile von Confidential Computing

Im Vergleich zur „klassischen“ Cloud-Nutzung bietet Confidential Computing einige entscheidende Vorteile:

  • Schutz sensibler Daten auch während der Nutzung
    In Verbindung mit einer geschützten Speicherung und Übertragung beseitigt Confidential Computing das größte Hindernis für die Verlagerung sensibler oder stark regulierter Daten in die Cloud.
  • Schutz geistigen Eigentums & Innovationsförderung
    Confidential Computing sorgt nicht nur für Datenschutz, sondern hilft auch dabei, Geschäftsgeheimnisse wie beispielsweise Analysen, Forschungsergebnisse oder Projektdaten zu schützen. So können Unternehmen einfacher neue Dienste und Geschäftsmodelle entwickeln, da sie vertrauliche Daten – auch in Zusammenarbeit mit anderen Parteien – sicherer und effizienter nutzen können, ohne die Vertraulichkeit der Daten zu gefährden.
  • Hilfe bei der Auswahl von Cloud-Anbietern
    Ein Unternehmen kann bedenkenlos einen Cloud-Dienst nutzen, der auf einen Confidential-Computing-Ansatz setzt, ohne sich Gedanken über die Speicherung und Verarbeitung von Kundendaten, geschützten Technologien und anderen sensiblen Werten machen zu müssen.
  • Compliance und Einhaltung von Regulierungen
    Unternehmen, die sich an strenge Datenschutzbestimmungen und branchenspezifische Vorschriften halten müssen, bietet Confidential Computing eine Möglichkeit, diese Standards zu erfüllen, da die Daten auch während der Verarbeitung geschützt bleiben.

Anwendungsgebiete für Confidential Computing

Confidential Computing hebt die Sicherheit bei der Verarbeitung sensibler Daten in der Cloud auf ein neues Level. Das wiederum eröffnet deutschen Unternehmen zahlreiche neue datengetriebene Anwendungsmöglichkeiten.

Secure Content Collaboration und hochsicherer Datenaustausch

Confidential Computing sichert die digitale Zusammenarbeit ab.
Confidential Computing sichert die digitale Zusammenarbeit ab.

Viele Unternehmen nutzen Cloud-Dienste für die Ablage und den Austausch von Daten sowie für die ortsunabhängige digitale Zusammenarbeit (Content Collaboration) mit Kollegen, Kunden und externen Partnern. Confidential Computing sichert in diesem Szenario auch sensible Daten auf höchstem Niveau ab. Das ermöglicht eine datenschutzkonforme Nutzung und Verarbeitung in der Cloud. Datenraum-Dienste wie idgard, die neben einem hohen Datenschutzniveau auch noch hilfreiche Teamwork-Funktionen bieten, erleichtern die Secure Content Collaboration. Konkrete Anwendungsbeispiele sind die Projekt- und Gremienarbeit, Mandanten- und Vorstandskommunikation, Due-Diligence-Prüfungen oder die gemeinsame regelbasierte Nutzung von Daten zwischen Parteien, die einander nicht vertrauen.

Mehr noch: Die Möglichkeit, sensible Kundendaten verarbeiten und gleichzeitig nachweisen zu können, dass niemand – auch nicht der Anbieter und seine Administratoren – sich unbefugten Zugang zu den Daten verschaffen kann, ermöglicht es auch datenschutzrechtlich streng regulierten Branchen, die Vorteile der Cloud endlich vollumfänglich zu nutzen!

Smart Mobility

Ein weiteres Anwendungsgebiet ist die Verarbeitung und Nutzbarmachung von Sensordaten aus Smart Cars und anderen digitalen Verkehrssystemen. Durch die Datenverarbeitung in sicheren Enklaven lässt sich sicherstellen, dass Diensteanbieter und Fahrzeughersteller ausschließlich Zugriff auf gefilterte Daten haben. Aus diesen lassen sich keine datenschutzrechtlich relevanten Rückschlüsse mehr auf einzelne Fahrzeuge oder Personen ziehen.

Das hilft Anbietern und Herstellern dabei, die gesetzlichen Vorschriften einzuhalten. Darüber hinaus könnte es die Akzeptanz für Datenerhebung in vernetzten Fahrzeugen bei den Verbrauchern erhöhen.

Industrie 4.0

Confidential Computing ist ideal für Industrie-4.0-Anwendungen.
Confidential Computing ist ideal für Industrie-4.0-Anwendungen.

„Industrie 4.0“ ist schon seit Jahren der Hype-Begriff in deutschen Industrieunternehmen. In der Theorie bedeutet Industrie 4.0, Fertigungsprozesse durch das Erheben und Analysieren von Daten zu optimieren. In der Realität aber hinken hiesige Hersteller hinterher – Grund dafür sind vielerorts Sicherheitsbedenken. Denn die gesammelten Daten enthalten nicht selten vertrauliche Unternehmensinformationen oder schützenswertes Know-how. In der Folge weigern sich die Unternehmen, ihre erhobenen Daten zu teilen oder sie in der Cloud zu verarbeiten. Confidential Computing kann hier für das nötige Schutzniveau sorgen und so die Bedenken der Unternehmen ausräumen. Das ebnet den Weg für verschiedene datengetriebene Industrieanwendungen wie Predictive Maintenance, digitale Zwillinge, Supply Chain Management und viele mehr.

Finanzwesen

Auch im Finanzsektor kann Confidential Computing die datenschutzkonforme Wertschöpfung aus sensiblen Daten enorm optimieren. Beispielsweise können Kreditkartenunternehmen und Händler Kunden- und Transaktionsdaten effektiver auf Betrugsversuche hin überprüfen, ohne dass eine der involvierten Parteien Schaden erleidet. RegTech- und FinTech-Provider profitieren ebenfalls von einer geschützten Datenverarbeitung in der Cloud, denn sie erleichtert die Einhaltung rechtlicher Vorgaben. Somit können sich die Anbieter im Kerngeschäft um die Entwicklung und Verbesserung neuer Services konzentrieren, ohne sich um Datenschutz und Compliance Sorgen machen zu müssen.

Fazit: Gekommen, um zu bleiben

Der Trend in deutschen Unternehmen geht klar weg von On-Premises-Lösungen und hin zu (Multi-)Cloud-Diensten. Doch erst durch die Möglichkeit der technisch geschützten Datenverarbeitung in sicheren Hardware-Enklaven wird die Cloud mit all ihren Vorteilen für alle Branchen nutzbar. Durch den Zusammenschluss der großen Chip- und Cloud-Anbieter zum CCC und deren Bemühungen, ihre Technologien quelloffen voranzutreiben, ist davon auszugehen, dass sich der Confidential-Computing-Ansatz auch in Zukunft weiter durchsetzen wird. Das Beste daran: Davon profitieren nicht nur die Unternehmen, sondern in letzter Instanz auch die Kunden.

Weitere Informationen rund um virtuelle Datenräume finden Sie in unserem kostenlosen Whitepaper „Anforderungen an einen virtuellen Datenraum“.

.

.

In diesem Whitepaper erfahren Sie:

  • was grundlegende Anforderungen an einen virtuellen Datenraum sind,
  • was Sie im Bereich Compliance beachten müssen und
  • wie Sie eine optimale Produktivität von Anfang an sicherstellen können.
Data Governance – wie gelingt der richtige Umgang mit Daten?
Data Governance in der Cloud – wie gelingt der richtige Umgang mit Daten? (Dieser Beitrag wurde im Mai 2022 veröffentlicht und im Juli 2022 aktualisiert.) In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance in der Cloud [...] Weiterlesen »
Darum spielt der Server-Standort eine Rolle
5 Gründe, warum der Server-Standort Deutschland eine Rolle spielt Spielt es eine Rolle, wo ein Cloud-Anbieter seine Server betreibt? Allerdings! Erfahren Sie, welche Vorteile der Server-Standort Deutschland bringt. Weiterlesen »
So funktioniert Secure Content Collaboration
Secure Content Collaboration: So geht digitale Zusammenarbeit heute! Secure Content Collaboration ist eine der zentralen Herausforderungen digitaler Zusammenarbeit. Wann und warum ist die Sicherheit beim Austauschen und gemeinsamen Bearbeiten von Dateien besonders wichtig? [...] Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.