Der Datenschutz fordert: Zu keinem Zeitpunkt sollen unbefugte Dritte auf die Daten in der Cloud zugreifen können, auch nicht der Cloud-Provider oder Nachrichtendienste in Drittstaaten. Confidential Computing verspricht den erforderlichen Lückenschluss im Schutz von Cloud-Daten. Doch liefert dies auch den angemessenen Datenschutz bei Datenübermittlungen in Drittstaaten?
Confidential Computing schützt die Daten in einer Public Cloud auch während der Verarbeitung – für die Umsetzung gibt es verschiedene Lösungsansätze.
(Bild: Ivan - stock.adobe.com)
Bei allen Erfolgen von Cloud Computing: Es gibt weiterhin Bedenken, dass unbefugte Dritte an die Daten in der Cloud gelangen könnten, das zeigen Umfragen wie der Cloud-Monitor von Bitkom und KPMG immer wieder. Doch Confidential Computing könnte hier gegensteuern und für das notwendige Vertrauen sorgen, so das Confidential Computing Consortium.
Mehr Vertrauen in Cloud Computing
Die Idee hinter Confidential Computing ist schnell erklärt: Heutzutage werden Daten häufig im Ruhezustand im Speicher und bei der Übertragung über das Netzwerk verschlüsselt, jedoch nicht während der Verwendung im Arbeitsspeicher. Außerdem ist die Fähigkeit, Daten und Code zu schützen, in einer herkömmlichen Recheninfrastruktur begrenzt, wie das Confidential Computing Consortium betont.
Organisationen, die mit vertraulichen Daten wie personenbezogenen Daten, Finanzdaten oder Gesundheitsinformationen umgehen, müssen Bedrohungen mindern, die auf die Vertraulichkeit und Integrität der Anwendungen und Daten im Systemspeicher abzielen.
Das leistet Confidential Computing
Confidential Computing schützt verwendete Daten, indem es Berechnungen in einer hardwarebasierten Trusted Execution Environment durchführt. Diese sicheren und isolierten Umgebungen verhindern den unbefugten Zugriff oder die Änderung von Anwendungen und Daten während der Nutzung und erhöhen dadurch die Sicherheitsgarantien für Organisationen, die sensible und regulierte Daten verwalten. Confidential Computing schützt Anwendungen und Daten vor Verstößen, böswilligen Akteuren und Insider-Bedrohungen und bietet gleichzeitig die Portabilität, um sensible Workloads zwischen lokalen Rechenzentren, der Public Cloud und dem Edge zu verschieben.
Während Confidential Computing viele Arten von Anwendungen und Daten schützen kann, bietet die Confidential Computing-Technologie zum Beispiel auch eine sichere Plattform für mehrere Parteien, um sensible Daten zu kombinieren, zu analysieren und daraus zu lernen, ohne die Daten oder maschinellen Lernalgorithmen der anderen Partei preiszugeben.
Fragen an Mitgründer und CTO von Enclaive, Prof. Sebastian Gajek
Die Enclaive GmbH in Berlin ist ebenfalls aktiv im Bereich Confidential Computing: „Enclaive verwandelt die Public Cloud in Ihre Private Cloud und hilft Ihrem Unternehmen, Datenhoheit zu erlangen und Daten während der Nutzung jederzeit sicher zu verarbeiten“, so der Anbieter. Confidential Containers von Enclaive sollen es Unternehmen ermöglichen, ihre Workloads mühelos in der Public Cloud auszuführen.
Prof. Dr. Sebastian Gajek ist CTO der Enclaive und Professor für IT-Sicherheit an der Universität Flensburg. Er arbeitet seit über zehn Jahren am „heiligen Gral der Computertechnik“: der Verarbeitung verschlüsselter Daten. Er war Chief Scientist bei NEC und trieb deren Sicherheitsinnovationen voran. Als Absolvent der Universität Tel Aviv promovierte er in Informationssicherheit am Horst-Görtz-Institut, einem führenden Institut für IT-Sicherheitsforschung in Deutschland. Prof. Dr. Sebastian Gajek hält außerdem mehr als zehn Patente im Bereich vertrauliche Datenverarbeitung.
Confidential Computing an sich ist ja nicht neu. Was ist das Besondere an Ihrem Ansatz?
Sebastian Gajek: Bislang war es nötig, mittels eines SDKs eine Applikation in eine „enklavierte“ Applikation umzuschreiben. Unser Ansatz ist radikal anders. Mittels eines libOSes – quasi ein Mini-OS, welches die relevantesten Kernelfunktionen wie Multi-Threading oder Filesystem bereitstellt – sind wir in der Lage, jede Applikation einfach und schnell zu enklavieren, also in eine sichere Umgebung zu packen. Wir brauchen auch keinen Zugang zum Source Code, welches gerade bei proprietären Programmen ein No-Go sein kann. Wir laden einfach das Binary des Programms mittels des libOSes in der Enklave und führen es wie ein reguläres Programm aus. Unser Ansatz ist wie ein Schweizer Taschenmesser, also universell. Zudem nutzen wir unsere Technologie, um Confidential Container von gängigen Web-Applikationen bereitzustellen. Unsere Container sind kompatibel mit DevOps Best Practices (docker, k8s). Somit entlasten wir den Kunden von weiterer Komplexität. Er muss sich nicht einmal mit dem libOS beschäftigen. Um eine Confidential-Compute-Applikation in der Cloud auszurollen und zu nutzen, verwendet der Nutzer einfach unsere Container und betriebt die Anwendung wie gewohnt. Auch hier ist keine lange Einarbeitung notwendig. Entwickler können sich auf das Eigentliche konzentrieren: Die Entwicklung der Applikation.
Einer der Vorteile, die Sie auf Ihrer Website nennen, ist: GDPR Compliance (Store & share customer data in a GDPR-compliant way between different stakeholders and avoid security & data privacy fines). Würden Sie so weit gehen, dass das Problem mit den Datentransfers zu US-Cloud-Anbietern dadurch beseitigt werden könnte? Es geht ja u.a. darum, fremde Nachrichtendienste auszusperren.
Gajek: Eine sehr gute und wichtige Beobachtung. In der Tat ist einer der bedeutendsten Uses Cases unserer Confidential Cloud-Container-Technologie die Isolation der eigentlichen Applikation von der Infrastruktur. Weil die Applikation nun isoliert, quasi in einer Black Box läuft, kann der Cloud Provider und somit auch Regierungen keinen Einblick in die Container erhalten. Daten und Programm Code im Container sind vor fremden Regierungen geschützt. Man kann also Confidential Container wie ein neues „Privacy Shield“ betrachten. Im Kontext von DSGVO erhöht die Technologie zudem die Technisch Organisatorischen Maßnahmen (TOMs) signifikant. Dazu gibt es bereits ein erstes Gutachten, das wir Interessierten gerne zusenden.
In welchen Branchen, für welche Anwendungen sehen Sie Ihren Ansatz als besonders geeignet an und warum?
Gajek: Ganz klar Branchen, wo regulatorisch auf den Einsatz und das Prozessieren von Daten zugegriffen wird. Mit dem Export von Daten haben Sie ja bereits einen Use Case identifiziert. Aber auch innerhalb der nationalen Grenzen gibt es Bedarf. Hier ist beispielhaft der HR- oder eHealth-Sektor zu nennen. Aber auch der öffentliche Sektor (Krankenhäuser, Schulen, Ämter, Ministerien) sind geeignet. Denn auch hier werden personenbezogene Daten gespeichert und prozessiert, welche Regularien wie der DSGVO unterliegen.
Marktforscher sehen großes Potenzial
ResearchAndMarkets sieht die Größe des globalen Marktes für Confidential Computing bei rund 2.194 Millionen US-Dollar im Jahr 2021 und rund 2.726 Millionen US-Dollar im Jahr 2022, der Markt soll mit einer CAGR von 24,46 Prozent wachsen, um bis 2027 enorme 8.159 Millionen US-Dollar zu erreichen.
Die Marktforscher von Gartner sehen ebenfalls ein großes Potenzial: Indem kritische Informationen für Dritte, einschließlich des Hosts, unsichtbar gemacht werden, beseitigt Confidential Computing potenziell die verbleibende Barriere für die Einführung der Cloud für stark regulierte Unternehmen in den Bereichen Finanzdienstleistungen, Versicherungen und Gesundheitswesen. Beispielsweise könnten ein Einzelhändler und eine Bank Kundentransaktionsdaten auf potenziellen Betrug abgleichen, ohne der anderen Partei Zugriff auf die Originaldaten zu gewähren, so Gartner.
Obwohl Confidential Computing theoretisch sehr nützlich ist, ist es kein Plug-and-Play, wie Gartner betont. Gartner rechnete 2020 noch mit einer Wartezeit von fünf bis zehn Jahren, bevor es regelmäßig verwendet wird. Wie aktiv Confidential Computing inzwischen vorangetrieben wird, zeigt auch das Wachstum des Confidential Computing Consortiums: Anfang 2022 zählte die Community insgesamt 36 Firmenmitglieder wie Google, Microsoft, Intel, ARM, Meta und Red Hat, vier gemeinnützige Organisationen und sechs Projekte.
![Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])](https://cdn1.vogel.de/gpuvdH_vf3CSeVXMMjaq9DDP6t4=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/e5/8b/e58b57e5742e1cb77577828dfbbad52c/0115692375.jpeg "Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])")
![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/a0/af/a0afad7a288676ac94fc57a3f9e82fd7/0115293832.jpeg "Baramundi Remote Desk nutzt den Client des Technologiepartners AnyDesk. (Bild: Baramundi)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/71/d9/71d9fe279310ba6d6b4fe4abe6d6fdbd/0114053010.jpeg "Bisher gibt es hierzulande Handynetze der Deutschen Telekom, von Vodafone und von Telefónica Deutschland (O2), jetzt kommt das Netz von 1&1 dazu. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/17/02171279d4f3ec0eebb17c9d7330c20e/0115442143.jpeg "5G ermöglicht Vernetzung in Bereichen der Industrie, in denen WLAN aus technischen Gründen nicht eingesetzt werden kann. (Bild: © ART STOCK CREATIVE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/61/9a618f4ca0e23d8907f7da04cf200b79/0115598017.jpeg "Windows Server 2012/2012 R2 sind End of Life und erhalten keine Updates mehr – und ein Upgrade zu Windows Server 2019 ist nicht unbedingt die Lösung. (Bild: © Zsolt Biczó - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/9a/369ab1402e1750c6eec1113ad47d6986/0115333789.jpeg "Vor der dauerhaften Anwendung von PoE mit höheren Leistungspegeln sollte die gesamte Verkabelung eines LAN geprüft werden. (Bild: R&M)")
:quality(80)/p7i.vogel.de/wcms/28/04/2804aab069ecf363d4eab6def9770dfb/0115489895.jpeg "Der IDS-710CT bietet acht 10/100/1000-MBit/s-RJ45-Ethernet-Ports und zwei 1000-MBit/s-SC/ST-LWL-Ports. (Bild: Perle Systems)")
:quality(80)/p7i.vogel.de/wcms/6e/62/6e626b77c822ea5e5709311090406af1/0115316511.jpeg "Der Drucker ist ein Paradebeispiel für moderne Mobilitätsherausforderungen. (Bild: © – scharfsinn86 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/af/84af116a75193e0fde6f749327e02b40/0115409144.jpeg "Moderne Endpoint Management Programme wie Syspectr nutzt der IT-Administrator direkt aus einem Cloud-Service heraus. (Bild: Thomas Bär - O&O Software GmbH)")
:quality(80)/p7i.vogel.de/wcms/aa/50/aa50d165b2e85876a34d230dd5200be9/0115506351.jpeg "Laut Testbericht erzielte der Wi-Fi-7-AP von Huawei „die beste Einzelnutzerleistung ist, die Tolly bisher getestet hat“. (Bild: Huawei / Tolly Group)")
:quality(80)/p7i.vogel.de/wcms/7f/c3/7fc39d164018ede761cc46c9b3a693dc/0115316025.jpeg "Der Mobilfunkrouter Digi TX40 5G bietet zwei Gigabit-Ethernet-Ports, Wi-Fi 6, USB 3.0 und eine serielle Schnittstelle. (Bild: Bressner Technology)")
:quality(80)/p7i.vogel.de/wcms/09/e7/09e74326290a3bbe7e061488a6c7c1b4/0115334273.jpeg "Um die Folgen von Downtimes zu minimieren, müssen Firmen ihre Netzwerkresilienz erhöhen. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/11/d1117229fba07efd775762507eef9025/0114187597.jpeg "Unternehmen sollten die Datenportabilität unbedingt in ihr Cloud-Sicherheitsmodell integrieren, um potenzielle Datenverluste und Datensilos zu vermeiden. (Bild: frei lizenziert tookapic - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/9b/17/9b172b64e5c98d2dddd77a6bc9687122/0115274495.jpeg "Brandschutzübungen für den Ransomware-Ernstfall: Check Point gibt fünf Empfehlungen. (Bild: Canva / iz)")
:quality(80)/p7i.vogel.de/wcms/b8/eb/b8eb242798e302e33239560cd17b06cd/0115293814.jpeg "Arista und Zscaler vertiefen ihre Zusammenarbeit. (Bild: Arista / Zscaler)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/44/df/44dfe37c86dbc0914e8bda9b98f46553/0115371771.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/26/25261bdef48903ea330ead23ac5718f4/0115095196.jpeg "Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fa/48/fa481e2b0fd25b24f3f68d2ceceb79e2/0114153403.jpeg "Ende August gaben Ionos und VNC gemeinsame Entwicklungsarbeiten an einer neuen, souveränen und in Deutschland gehosteten Cloud-Lösung bekannt. Braucht es das? (Bild: frei lizenziert, Pexels / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/81/52/81524814befb0c8bc86dda85a677f34e/0108846441.jpeg "Gartner sagt die I&O-Top-Trends des Jahres 2023 voraus. (Bild: © – Egor – stock.adobe.com)")