19. Mai 2022 | Artikel drucken |

Confidential Computing: Warum verschlüsselte Daten auch während der Verarbeitung geschützt sein müssen

1 Min. Lesezeit

Daten werden heute zuverlässig verschlüsselt – at rest und in transit. Doch während der Verarbeitung liegen sie ungeschützt im Arbeitsspeicher. Confidential Computing schließt diese letzte Lücke mit hardwarebasierten Enklaven. Intel SGX, AMD SEV und ARM CCA machen das Konzept produktionsreif.

Das Wichtigste in Kürze

  • Confidential Computing schützt Daten im RAM durch Hardware-Enklaven
  • Marktführer: Intel SGX, AMD SEV-SNP, ARM Confidential Compute Architecture
  • Google, Microsoft und AWS bieten Confidential VMs in der Cloud
  • Besonders relevant für Gesundheitswesen, Finanzbranche und KI-Training

Die letzte Verschlüsselungslücke

Die Kryptographie hat zwei von drei Zuständen gelöst: Data at Rest (AES-256 auf der Festplatte) und Data in Transit (TLS 1.3 über das Netzwerk). Doch bei der Verarbeitung müssen Daten entschlüsselt im RAM liegen – zugänglich für Betriebssystem, Hypervisor und potenziell für Angreifer mit Root-Zugriff.

Confidential Computing adressiert genau dieses Problem: Durch hardwarebasierte Trusted Execution Environments (TEEs) werden Daten in geschützten Enklaven verarbeitet, auf die selbst der Cloud-Provider keinen Zugriff hat.

Wie Hardware-Enklaven funktionieren

Intel SGX (Software Guard Extensions) reserviert verschlüsselte Speicherbereiche direkt im Prozessor. Der Schlüssel verlässt nie die CPU. Selbst ein kompromittiertes Betriebssystem kann die Daten in der Enklave nicht lesen.

AMD SEV-SNP geht einen Schritt weiter und verschlüsselt den gesamten VM-Speicher. Das macht den Schutz transparenter für Anwendungen – kein Code-Umbau nötig. ARM CCA bringt das Konzept auf mobile und Edge-Geräte.

Cloud-Angebote im Vergleich

Azure Confidential Computing nutzt Intel SGX und AMD SEV-SNP für Confidential VMs und Enklaven. Google Cloud bietet Confidential VMs auf AMD SEV. AWS hat Nitro Enclaves – einen eigenen Ansatz mit isolierten Compute-Umgebungen.

Für Unternehmen bedeutet das: Confidential Computing ist keine Zukunftsmusik, sondern heute verfügbar. Die Wahl der Technologie hängt vom Use Case ab – Enklaven für maximale Isolation, Confidential VMs für einfache Migration.

Use Cases: Wo Confidential Computing den Unterschied macht

Im Gesundheitswesen ermöglicht die Technologie die gemeinsame Analyse von Patientendaten mehrerer Kliniken, ohne dass die Rohdaten den geschützten Bereich verlassen. In der Finanzbranche können Betrugserkennungsmodelle auf Daten mehrerer Banken trainiert werden – Privacy-Preserving Machine Learning.

Auch für KI-Training auf sensiblen Daten ist Confidential Computing transformativ: Modelle können auf vertraulichen Datensätzen trainiert werden, ohne dass der Cloud-Provider Zugriff auf die Trainingsdaten hat.

Key Facts

Marktvolumen: 5,3 Milliarden USD bis 2028 (Everest Group)

Performance-Overhead: 2-8 Prozent bei AMD SEV-SNP, 5-15 Prozent bei Intel SGX

Adoption: Über 40 Unternehmen in der Confidential Computing Consortium (Linux Foundation)

Häufige Fragen

Ist Confidential Computing dasselbe wie Homomorphe Verschlüsselung?

Nein. Homomorphe Verschlüsselung erlaubt Berechnungen auf verschlüsselten Daten rein mathematisch – ist aber extrem langsam. Confidential Computing nutzt Hardware-Enklaven und ist performant genug für Produktions-Workloads.

Brauche ich spezielle Hardware?

Ja, auf eigener Infrastruktur. In der Cloud stellen die Provider die Hardware bereit – Azure, GCP und AWS bieten Confidential VMs, die auf entsprechenden Prozessoren laufen.

Schützt Confidential Computing vor Insider-Angriffen?

Ja, das ist einer der Kernvorteile. Selbst Administratoren mit Root-Zugriff auf den Host können Daten in der Enklave nicht lesen. Das schließt auch den Cloud-Provider selbst ein.

Verwandte Artikel

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Markus Spiske

Artikel drucken
Klaus Hauptfleisch

Hier schreibt Klaus Hauptfleisch für Sie

Mehr Artikel vom Autor

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH