Die Zukunft der Cloud-Sicherheit

So funktioniert Confidential Computing

Uhr
von Tim Geppert, Dozent für Wirtschafts­informatik, ZHAW School of Management and Law

Confidential Computing verbessert die Cloud-Sicherheit, indem es Daten während ihrer Verarbeitung schützt. Dieser Beitrag beleuchtet, wie diese Technologie die Akzeptanz von Cloud-Technologien erhöhen und deren breitere Nutzung in verschiedenen Industrien ermöglichen kann.

Confidential Computing beschreibt eine innovative Technologie im Bereich der IT-Sicherheit. Sie wurde entwickelt, um den Schutz sensibler Daten während der Verarbeitung im Arbeitsspeicher zu gewährleisten. Davon profitieren insbesondere stark regulierte Branchen wie das Gesundheitswesen und der Bankensektor, aber auch alle Firmen, die personenbezogene Daten besser schützen wollen. Das Confidential Computing Consortium, gegründet unter anderem von Microsoft, Google und Intel, spielt eine wesentliche Rolle bei der Förderung und Standardisierung dieser Technologie. Dieser Beitrag beleuchtet die wichtigsten Aspekte von Confidential Computing und zeigt auf, warum sich IT-Entscheiderinnen und -Entscheider mit diesem Thema auseinandersetzen sollten.

Was ist Confidential Computing?

Confidential Computing setzt auf die Verschlüsselung des Arbeitsspeichers von virtuellen Maschinen. Diese Umgebungen werden auch Enklaven beziehungsweise Trusted Execution Environments (TEEs) genannt und können zur Erhöhung der Sicherheit im Cloud Computing genutzt werden. Enklaven isolieren bestimmte Teile einer virtuellen Maschine (App Enclave) oder die gesamte virtuelle Maschine (Confidential Virtual Machine) und führen datenbezogene Berechnungen in verschlüsselten Arbeitsspeicherbereichen aus. Dadurch wird sichergestellt, dass die Daten auch während der Nutzung – selbst vor dem Cloud-Anbieter – geschützt sind.

Herkömmliche virtuelle Maschinen können Daten nur im Ruhezustand oder während der Übertragung verschlüsseln, während Enklaven die gesamte Maschine während der Verarbeitung schützen. Zur Erzeugung von Enklaven muss die Hardware, wie Intel SGX oder AMD SEV, entsprechende Sicherheitseigenschaften bereitstellen, die vom Nutzer über kryptografische Beweise (Attestierungen) verifiziert werden können. Dies kann durch direkte Abfragen an den Hardwarehersteller oder durch zertifizierte Drittanbieter-Services erfolgen.

Eine Grafik zeigt die Funktionsweise von Confidential Computing - eine sogennante App Enclave oder eine Confidential Virtual Machine liegt zwischen dem Hypervisor und der Cloud.
App Enclave oder Confidential Virtual Machine beziehen ihre Sicherheitsgarantien über die Hardware (TEE) und deren Zertifizierung beim jeweiligen Hardwarehersteller.

 

Wofür kann Confidential Computing genutzt werden?

Confidential Computing wird in verschiedenen Bereichen eingesetzt. Der wichtigste Anwendungsbereich ist der Schutz sensibler Daten in der Cloud. In regulierten Branchen wie dem Gesundheitswesen können durch den Einsatz von Enklaven Daten mit höheren Sicherheitsstandards in der Cloud verarbeitet werden. Dies ist besonders wichtig für Anwendungen, bei denen Datenschutz eine grosse Rolle spielt, wie etwa in klinischen Studien. Unternehmen können des Weiteren vertrauliche Geschäftsdaten sicher austauschen und gemeinsam nutzen, um beispielsweise umfassendere Datenanalysen durchzuführen.

Dies ist besonders wertvoll für Branchen wie die Finanzwirtschaft: Hier nutzen Banken Confidential Computing, um Preise digitaler Währungen sicher auszutauschen. Ebenso können Unternehmen ihre analytischen Modelle externen Partnern zur Verfügung stellen, ohne die zugrunde liegenden Daten preiszugeben. Dies ist besonders nützlich für die Pharma­industrie, den E-Commerce oder Versicherungen, die Modelle zur Betrugserkennung oder Kundenempfehlungen entwickeln und teilen möchten.

Zusätzlich bietet Confidential Computing erhebliche Vorteile für das Marketing. Durch die Nutzung von Enklaven können Unternehmen "Data Clean Rooms" einrichten, in denen verschiedene Parteien ihre Daten zusammenführen können, ohne die Kontrolle über ihre eigenen Daten zu verlieren. Beispielsweise kann ein Unternehmen mithilfe eines Data Clean Rooms die anonymisierten Kunden­daten mit denen eines Werbepartners kombinieren, um gemeinsam präzisere Zielgruppenprofile zu erstellen, ohne sensible Informationen offenzulegen. Dies ermöglicht es Unternehmen, umfangreichere und genauere Analysen durchzuführen, um Kundenverhalten besser zu verstehen und gezielte Marketingkampagnen zu entwickeln.

Confidential Computing bietet so eine zusätzliche Sicherheitsebene, die es Unternehmen ermöglicht, sensible Daten selbst in ungeschützten Cloud-Umgebungen sicher zu verarbeiten. Dies kann die Akzeptanz von Cloud-Technologien in der Zukunft erhöhen, da die Public Cloud so zur Confidential Cloud werden kann. Dies ist besonders für kleine und mittlere Unternehmen von Vorteil, die möglicherweise nicht über die Ressourcen verfügen, um eigene sichere IT-Infrastrukturen aufzubauen.

Welche Herausforderungen sind für Unternehmen zu beachten?

Trotz der vielversprechenden Möglichkeiten von Confidential Computing stehen Unternehmen vor einigen Herausforderungen. Unternehmen in regulierten Branchen müssen sicherstellen, dass der Einsatz von Confidential Computing den regulatorischen Anforderungen entspricht. Laut einer Studie von Geppert et al. aus dem Jahr 2021 besteht insbesondere in regulierten Sektoren ein hoher Bedarf an klaren Richtlinien, wie beispielsweise Vorgaben der Finma, um die Einführung neuer Technologien wie Confidential Computing zu erleichtern.

Zudem kann die Implementierung von Enklaven technisch anspruchsvoll sein und erfordert spezielles Know-how. Unternehmen müssen möglicherweise in neue Kompetenzen investieren, da geschultes Personal aktuell in der Schweiz noch rar ist. Zudem muss in die notwendige Hardware und Software investiert werden, um die Technologie erfolgreich zu nutzen. In der Schweiz müssen Unternehmen sicherstellen, dass auch beim Einsatz von Confidential Computing weiterhin die Vorgaben des revidierten Datenschutzgesetzes (DSG) eingehalten werden. Dies umfasst unter anderem die sichere Verarbeitung personenbezogener Daten und den Nachweis der Datensicherheit durch geeignete technische und organisatorische Massnahmen.

Zukunftsaussichten und Fazit

Die rasante Entwicklung im Bereich Confidential Computing wird durch die kontinuierliche Verbesserung der Hardware- und Softwarelösungen vorangetrieben. Grosse Hardwareanbieter wie Intel, AMD und Apple investieren in die Weiterentwicklung von Confidential Computing und deren Integration in Cloud-Plattformen von Microsoft Azure, Amazon Web Services (AWS) und Google Cloud. Diese Fortschritte tragen dazu bei, die Barrieren für die Implementierung von Confidential Computing zu senken und die Technologie einem breiteren Markt zugänglich zu machen. Microsoft Azure bietet beispielsweise Azure Confidential Computing, Amazon Web Services hat AWS Nitro Enclaves im Angebot und Google Cloud bietet Confidential VMs.

Unabhängig von eingesetzten Cloud-Anbietern lässt sich also schon heute eine hardwarebasierte Isolation für sensible Daten erreichen. Diese Produkte zeigen aus­serdem das Engagement der grossen Cloud-Anbieter, ihren Kunden sichere Lösungen zu bieten. Die fortlaufende Forschung und Entwicklung im Bereich Confidential Computing verspricht zudem eine noch höhere Sicherheit und Leistungsfähigkeit. In der Schweiz gibt es bereits erfolgreiche Forschungsprojekte an Institutionen wie der ZHAW oder EPFL, die aktiv an der Weiterentwicklung von Confidential Computing arbeiten. Schweizer Banken nutzen beispielsweise bereits Azure Confidential Computing für sichere Finanztransaktionen. 

Confidential Computing stellt eine vielversprechende Technologie dar, da sie das Vertrauen in Cloud-Technologien erhöht und deren breitere Nutzung ermöglicht. Trotz bestehender Herausforderungen wie regulatorischen Unklarheiten und der Komplexität der Implementierung bieten sich zahlreiche Möglichkeiten für den Schweizer Markt. Als USP verspricht Confidential Computing, sensible Daten sicher in Cloud-Umgebungen nutzbar zu machen.

Gleichzeitig stellt allerdings der Arbeitskräftemangel eine Herausforderung dar. Die Implementierung von Enklaven erfordert spezialisiertes Know-how, das auf dem Schweizer Arbeitsmarkt knapp ist. Unternehmen müssen daher in die Weiterbildung ihrer Mitarbeitenden investieren. Unternehmen können auf Schulungsprogramme von Hochschulen zurückgreifen, die Weiterbildungen im Bereich Datenschutz und IT-Sicherheit anbieten. Auch Kooperationen mit IT-Beratungsfirmen können helfen, das notwendige Know-how aufzubauen. Mit der fortschreitenden Entwicklung und Verbreitung von Confidential Computing ist zu erwarten, dass diese Technologie der zukünftige Normalzustand für die sichere Verarbeitung von Daten in der Cloud sein wird.

Webcode
KGt25zc6