tadamichi - stock.adobe.com
Confidential Computing: Daten bei der Verarbeitung schützen
Confidential Computing schließt eine kritische Sicherheitslücke, indem es Daten während ihrer Nutzung verschlüsselt. Dies kann in einigen Anwendungsfällen die Risiken mindern.
Der Schutz von Daten während ihrer Nutzung – also von Informationen, auf die zugegriffen wird, die verarbeitet oder geändert werden – war bislang schwieriger als die Verschlüsselung von Daten während der Übertragung oder im Ruhezustand. Um diese Sicherheitslücke zu schließen, setzen Unternehmen zunehmend auf Confidential Computing.
Confidential Computing ist ein fortschrittlicher Ansatz zur Verschlüsselung von Daten während ihrer aktiven Nutzung – unabhängig davon, ob sie von einem Mitarbeiter gelesen und bearbeitet oder von einer Anwendung verarbeitet werden. Ohne Confidential Computing sind Daten in diesen Szenarien unverschlüsselt und somit anfällig für böswillige Insider, Fehlkonfigurationen und andere Bedrohungen. Diese Risiken steigen exponentiell, wenn sich die unverschlüsselten Daten in öffentlichen Cloud-Instanzen oder nicht vertrauenswürdigen Umgebungen befinden.
Grund genug Confidential Computing und typische Anwendungsfälle für Unternehmen einmal näher zu betrachten.
Wie Confidential Computing Daten während der Nutzung schützen soll
Confidential Computing schützt Daten während ihrer Nutzung durch die Schaffung sicherer Enklaven – hardwarebasierte Trusted Execution Environments (TEEs). Die Enklaven verschlüsseln Daten während des Zugriffs, der Verarbeitung oder der Änderung und halten sie so von Außenstehenden fern. Betriebssysteme, Hypervisoren, Hardware, Anwendungshosts, Systemadministratoren und Cloud Service Provider (CSPs) sowie andere nicht autorisierte Stellen können nicht auf Daten in einer Enklave zugreifen oder diese bearbeiten.
Anwendungsfälle für Confidential Computing
Betrachten Sie die folgenden sechs Anwendungsfälle, um zu erfahren, wie Enklaven Unternehmen dabei unterstützen, die Sicherheit der verwendeten Daten zu gewährleisten.
1. Schutz von Daten in nicht vertrauenswürdigen Umgebungen
Die Migration zu öffentlichen Cloud-Diensten erfordert, dass Unternehmen Daten aus ihren sicheren internen Systemen in Umgebungen der Cloud Service Provider (CSP) übertragen. Vertrauen ist seit langem eine Herausforderung in der Beziehung zwischen Kunden und CSPs: Kunden verlassen sich auf die Hypervisor-, Firmware- und allgemeinen Systemsicherheitsgarantien ihrer CSPs, oft ohne überprüfbare Garantien. Kunden sind Risiken wie Fehlkonfigurationen von CSPs, Herausforderungen durch Mehrmandantenfähigkeit und Probleme mit lauten Nachbarn (Noisy Neighbor) ausgesetzt.
Sichere Enklaven tragen dazu bei, diese Risiken zu mindern, indem sie Cloud-Workloads von anderen Mandanten und dem CSP selbst isolieren, unbefugten Zugriff verhindern und vor anderen Herausforderungen im Zusammenhang mit gemeinsam genutzter Infrastruktur schützen.
2. Datenhoheit ermöglichen
Datenhoheit ist das Konzept, das digitale Informationen den Gesetzen und Verwaltungsstrukturen der Länder unterliegen, in denen sie erstellt, verarbeitet und gespeichert werden. Unternehmen müssen wissen, wo sich ihre Daten befinden und welche Gesetze für sie gelten. Dies kann insbesondere in Cloud-Umgebungen eine Herausforderung darstellen, da diese oft über Rechenzentren weltweit verteilt sind.
Confidential Computing trägt zur Gewährleistung der Datenhoheit bei, indem Daten während ihrer Nutzung verschlüsselt bleiben, wodurch Manipulationen durch CSPs und andere unbefugte Parteien verhindert werden und Unternehmen die Anforderungen an die Datenhoheit erfüllen können.
3. Schutz von KI- und maschinellen Lernen-Datensätzen
Es ist wichtig, die Datensätze zu schützen, mit denen KI- und Machine-Learning-Algorithmen trainiert werden, da sie sensible Informationen enthalten können, wie beispielsweise Kunden- oder Patientendaten oder geistiges Eigentum von Unternehmen.
Da Confidential Computing Daten während ihrer Nutzung – beispielsweise beim Training von Algorithmen – verschlüsselt hält, verhindert es unbefugten Zugriff, Manipulationen und potenzielle Datenlecks. Außerdem trägt es dazu bei, böswillige Akteure daran zu hindern, KI-Modelle zurückzuentwickeln.
4. Zusammenarbeit mit Dritten
Unternehmen arbeiten mit verschiedenen Drittparteien zusammen, darunter Partner, Lieferanten und Auftragnehmer, die Zugriff auf sensible Unternehmensdaten benötigen. Dies ist zwar vorteilhaft, macht Unternehmen jedoch anfällig für Datenverluste und -verstöße sowie für Probleme im Zusammenhang mit Governance und Compliance und für Sicherheitsbedrohungen in der Lieferkette.
Confidential Computing ermöglicht es Unternehmen und ihren Drittanbietern, zusammenzuarbeiten, ohne direkten Zugriff auf die sensiblen Rohdaten zu gewähren. So können beispielsweise Finanzinstitute Kundendaten austauschen, ohne sensible Kundendaten preiszugeben, und Gesundheitsorganisationen können Patiententrends austauschen, ohne spezifische Patienteninformationen offenzulegen.
5. Schutz von IoT-Daten
IoT-Geräte können sensible Daten sammeln und übertragen – denken Sie beispielsweise an Smart-Home-Geräte, intelligente medizinische Geräte, Smart-City-Daten und Sicherheitsausweise in modernen Büros.
Durch die Ausführung von Workloads innerhalb von TEEs wird verhindert, dass IoT-Daten – darunter Sensordaten, Geräteanmeldedaten und Datenanalysen – offengelegt oder manipuliert werden.
6. Einhaltung von Vorschriften
Viele Branchenvorschriften oder gesetzliche Verordnungen, darunter die DSGVO, HIPAA und DORA, verlangen von Unternehmen die Einhaltung von Datenschutz- und Datensicherheitsvorschriften.
Da Confidential Computing sensible Daten während ihrer Nutzung schützt, eine sichere Zusammenarbeit und Datenfreigabe gewährleistet und Datenhoheit ermöglicht, ist es für Unternehmen hilfreich, um strenge Compliance-Anforderungen zu erfüllen und einzuhalten und mögliche Bußgelder oder Sanktionen zu vermeiden.
Apropos Datenschutz, insbesondere hinsichtlich dieses Aspektes heißt es die Angebote, die unter der Bezeichnung Confidential Computing laufen, genau unter die Lupe zu nehmen. Etwa im Hinblick auf das Schlüsselmanagement. Datenschutz ist nicht immer durch Confidential Computing zu lösen, die deutschen Aufsichtsbehörden liefern hierzu auch weitergehende Informationen.
