Der Schutz sensibler Daten, damit beschäftigen sich vor allem IT-Admins von Krankenhäusern, Anwaltskanzleien und anderen Einrichtungen, in denen der Datenschutz an vorderster Stelle steht. Da Intel als Chiphersteller in diesem Bereich unter besonderer Beobachtung steht, macht sich das Unternehmen aus Santa Clara, Kalifornien, regelmäßig Gedanken über das „Wie“ der absoluten Datensicherheit. Ein Ergebnis der zugehörigen Überlegungen nennt sich Intel SGX.
Ausgeschrieben steht Intel SGX für „Software Guard Extensions“, und das erklärt im Grunde schon, worum es bei diesem Sicherheitsfeature geht. Denn mit Extensions sind spezielle Programmierfunktionen gemeint, die Software-Entwicklern die Möglichkeit geben, den Programmcode einer Anwendung so zu gestalten, dass er direkt verschlüsselt mit individuellem Key aus dem Hauptspeicher heraus ausgeführt wird.
[irp posts=“168661″ ]
Intel SGX sorgt für Hochsicherheitstrakte im Arbeitsspeicher
Diese verschlüsselten Speicherbereiche werden als Secure Enclaves bezeichnet und sind Teil des regulären Arbeitsspeichers des Rechners, in dem die Anwendung ausgeführt wird. Die Verschlüsselung dieser Enklaven findet auf Hardware-Basis, also auf Prozessorlevel statt, und versteckt die Schüssel selbst vor Betriebssystemen, Hypervisoren und anderen Mandanten einer Cloud-Plattform. Damit sind diese RAM-Bereiche bestmöglich geschützt vor Kompromittierungsversuchen, auch aus diesen Quellen.
Die Anwendungen, die von Intel SGX profitieren, sind nahezu unerschöpflich. Zu den wichtigsten zählen Cloud-Services mit hohen Sicherheitsanforderungen, aber auch Blockchain-Services und -Anwendungen zählen dazu.
Mehr Infos zu Intel SGX bietet das verlinkte englischsprachige Video
Anwendungs- und Datenschutz auf Prozessorebene seit 2015
Intel SGX ist beileibe keine brandneue Entwicklung. Diese Erweiterung der Intel-CPUs wurde bereits 2015 mit der Einführung der Skylake-Mikroarchitektur und den Core i3, i5 und i7-Prozessoren der 6. Generation vorgestellt. Seitdem kommt dieses Sicherheitsfeature zum Einsatz, also auch in der aktuellen dritten Generation der skalierbaren Intel Xeon-Prozessoren, die unter anderem in Cloud-, Edge- und IoT-Umgebungen ihren Dienst leisten. Denn gerade dort ist der Schutz der Daten ein hohes Gut. Daher investiert Intel nach wie vor in die Weiterentwicklung der Intel SGX.
[irp posts=“168611″ ]
Zahlreiche Lösungen und Services setzen auf Intel SGX
Auf der zugehörigen Intel-SGX-Seite werden zahlreiche Lösungen und Dienste rund um das Prozessorfeature vorgestellt. Dazu gehört unter anderem AMI True Trusted Environment Platform, die Cloud-Software Adjuna und Decentriq für den sicheren Datenaustausch in der Cloud. Diese und weitere Services eint der gemeinsame Gedanke des „Confidential Computing“. Damit sollen Anwendungen so abgesichert wie möglich in einer vertrauenswürdigen und verschlüsselten Laufzeitumgebung ausgeführt werden.
Dies kann in der eigenen Cloud-Infrastruktur genutzt werden oder auf zahlreichen Public-Cloud-Plattformen, die sich der Intel-SGX-Technik bedienen. Dazu zählen Public Cloud Provider wie Microsoft mit Azure Confidential Computing genauso wie IBM mit ihrer Lösung Cloud Data Shield und der französische Anbieter OVH Cloud.
Leistungsfähige Hybrid-Cloud-Infrastrukturen mit Intel und Google
Mit Intel SGX transferiert die AOK sensible Patientendaten in hochsichere Patientenakten
Mit der Einführung der elektronischen Patientenakten in diesem Jahr ist der AOK ein wichtiger Schritt in Richtung Digitalisierung gelungen. Mithilfe der ePA haben Mediziner, Psychotherapeuten und andere Personen der Healthcare-Branche auf allerlei Daten ihrer Patienten Zugriff. Dazu gehören unter anderem medizinische Behandlungsdaten, Arztbriefe, elektronische Medikationspläne oder Notfalldatensätze.
Klar, dass solch eine digitale Lösung unter höchster Beobachtung seitens der zuständigen Stellen steht. Eine davon ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI genannt. Deren Auflagen zu erfüllen, war kein einfaches Unterfangen seitens der entwickelnden IT-Firmen. Die zudem dafür sorgen sollten, dass die ePA möglichst einfach zu nutzen ist und zudem eine App bereit steht, mit der sich die elektronische Akte seitens der Anwender intuitiv bedienen lässt.
Außerdem sollen sämtliche Dokumente auf den Servern der AOK verwaltet werden können. Um dies möglichst einfach zu realisieren, werden die Daten unverschlüsselt auf Prozessorebene verarbeitet, und das innerhalb einer auf Intel SGX basierenden Laufzeitumgebung. Denn damit lassen sich die besonders sensiblen Patientendaten vom Rest der AOK-Server trennen, sodass diese selbst im Falle eines Cyberangriffs unantastbar bleiben. Ein weiteres Beispiel dafür, wie Intel seinen Beitrag zum Thema Confidential Computing leistet.
[irp posts=“158275″ name=“Darum sind Intel und die Cloud ein gutes Team“]
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogbeitrags hat mich die Firma Intel beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.