Vertraulichkeit garantiert: So funktioniert Confidential Computing in der Cloud 

In diesem Artikel lesen Sie,

• wie Confidential Computing Vertraulichkeit sicherstellt,
• welche Anwendungsmöglichkeiten es gibt
• und wie Confidential Computing teure Hardware Security Module ersetzt.

Confidential Computing ist eine Technologie, die die Sicherheit und Vertraulichkeit der Verarbeitung sensibler Daten in Cloud-Umgebungen gewährleistet. Confidential Computing steuert eine weitere Sicherheitskomponente bei, die u.a. wirkungsvoll den möglichen Zugriff des Providers auf die Daten unterbindet. Dies ist nicht zuletzt in regulierten Umfeldern wie der Gesundheitsbranche ein erforderlicher Sicherheitsstandard. Krankenkassen nutzen beispielsweise die Technologie, um sichere digitale Identitäten für ihre Versicherten zu realisieren.

Unternehmen, die sensible personenbezogene Daten in der Cloud speichern, stellen mit Confidential Computing den Schutz dieser Daten auch während der Verarbeitung sicher. Durch die Verwendung von Technologien wie „Secure Enclaves“ können Daten verschlüsselt und in isolierten Bereichen des Prozessors verarbeitet werden, wodurch der Zugriff auf die Daten selbst für den Cloud-Anbieter verhindert wird. Eine Enklave ist dabei vergleichbar mit einem Tresor, zu dem nur der Nutzer Zugang hat, nicht aber der Cloud-Provider oder unbefugte Dritte. Mit Confidential Computing werden Verschlüsselungsmöglichkeiten ergänzt um eine Verschlüsselung zur Laufzeit. Das umfasst die im Hauptspeicher (RAM) laufende Software und die im Prozessor verarbeiteten Daten. Die Grundlage dafür sind Prozessoren, die in der Lage sind, Intels Software Guard Extension (SGX) zu nutzen.

Verschlüsselte Datenbanken nutzen

Verschlüsselte Datenbanken gehören in vielen Unternehmen zum Tagesgeschäft. Mit Confidential Computing kommt hinzu, dass die Daten auch während des Verarbeitungsvorgangs verschlüsselt werden. Somit wird sichergestellt, dass Daten auch während der Bearbeitung und Auswertung nicht für Unbefugte, sondern nur für den definierten User einsehbar sind. Dank der „in use“-Verschlüsselung erübrigen sich zudem Schlüsselrotation oder Double-Encryption, was die Prozesse vereinfacht.

Cloud-KI und maschinelles Lernen ohne Einblicke ermöglichen

Fortschrittliche KI- und maschinelle Lernmodelle brauchen umfangreiche Datenmengen für ihr Training. Dazu werden bisweilen auch – je nach Anwendungsfall – personenbezogene Daten oder Intellectual Property genutzt. Das Unternehmen, das die Daten dem trainierenden Unternehmen bereitstellt, will dabei aber sicher sein, dass die Daten nicht abfließen oder von diesem Unternehmen eingesehen werden können. Der Einsatz von Confidential Computing kann das ermöglichen. Gleiches gilt auch für beispielsweise Analysen, in denen Daten aus verschiedenen privaten Quellen zusammenfließen.

Ablösung von teuren Hardware Security Modulen

In der IT-Sicherheit setzte man bislang auf den Einsatz von Hardware Security Module (HSM) für die Ablage von kryptographischen Schlüsseln. Mit Confidential Computing kann diese vergleichsweise teure Methode ersetzt werden. Anstelle von HSM sind nun software-basierte Enklaven für die Ablage der Schlüssel zuständig. Dies ist durch die freie Skalierbarkeit kostengünstiger, da auf einer SGX-Hardware eine hohe Anzahl von HSMs abgebildet werden können.

Anwendungsfall: digitale Identitäten in der Gesundheitsbranche

Deutsche Krankenkassen müssen als Betreiber einer Identifizierungs- und Authentifizierungslösung für ihre Patienten und deren Daten per Gesetz eine technische Lösung vorweisen, die den Zugriff auf alle personenbzogenen medizinischen Daten unmöglich macht. Der Zugriff bleibt allein den Versicherten und von ihnen Legitimierten vorbehalten. Mit ihrer digitalen Identität authentifizieren sich Patienten, um beispielsweise Einblick in Ihre Patientenakte zu nehmen oder ihre E-Rezepte zu nutzen.

Dazu aber reicht eine Verschlüsselung der abgelegten Daten nicht aus! Während der Verarbeitung müssen diese entschlüsselt werden – was einem Provider theoretisch Zugriff auf die Klardaten ermöglichen würde. Aufsichtsbehörden ist die Gefahr dafür zu groß. Sie fordern technische Maßnahmen, die genau das verhindern. Confidential Computing ermöglicht dies Krankenkassen und ihren Patienten.

Den hohen Sicherheitsanforderungen regulierter Branchen mit ihren strengen gesetzlichen Auflagen wird T-Systems mit einer abgestimmten Lösung gerecht: Für das Confidential Computing in der Open Telekom Cloud stellt T-Systems das „Confidential Execution Environment“ zur Verfügung – auf physisch isolierten Servern. Die Open Telekom Cloud verfügt dabei über einen Pool von Intel-Prozessoren, mit denen der Betrieb von Intels Software Guard Extension (SGX) möglich ist. Damit bietet die Open Telekom Cloud eine breite Palette von Anwendungsmöglichkeiten in der Cloud und ermöglicht es Unternehmen vieler Branchen, sensibelste Daten sicher zu speichern, zu verarbeiten und auszutauschen. Die Integration dieser Technologie stärkt das Vertrauen in die Cloud-Computing-Infrastruktur und bietet die gebündelten Vorteile von Skalierbarkeit, Compliance und Kosteneffizienz.