Der Begriff „Confidential Computing“ umfasst diverse Aspekte der Datensicherheit und des Datenschutzes, die vor allem bei der Verarbeitung von Daten anfallen. Wie die zugehörigen Herausforderungen vor allem von Cloud Service Providern gemeistert werden können, steht in diesem Beitrag.
Cloud-Infrastrukturen und deren Anbieter haben eines verstanden: Wie sie die Daten ihrer Kund:innen sowohl bei der Speicherung als auch beim Transfer von A nach B bestmöglich mithilfe geeigneter Verschlüsselungsmechanismen schützen können. Doch wie sieht es mit der Verarbeitung von Cloud-Daten aus? Welche Maßnahmen stehen hierfür zur Verfügung? Über das und mehr spricht Gerhard Lesch von Intel im verlinkten Podcast, dessen wesentliche Aussagen ich in diesem Blogpost zusammenfasse.
Ganz vorne steht bei dem Thema Datensicherheit in der Cloud ein durchgängiges Konzept, wie Gerhard das nennt. Dazu gehört unter anderem, dass Cloud Service Provider stets bestrebt sein sollten, die neueste Hard- und Software in ihren Cloud-Rechenzentren einzusetzen. Dazu gehört aber auch die Verschlüsselung von Daten und ihren Transportwegen. Jedoch, und hier kommt das Thema Confidential Computing ins Spiel, bleiben nach wie vor Fragen offen, was die Sicherheit beim Verarbeiten der Daten in der Cloud betrifft.
[irp posts=“158703″ name=“So schützt die Prozessortechnik Intel SGX hochsensible Daten und mehr“]
Confidential Computing hat mit dem Isolieren von Code und Daten zu tun
Zunächst einmal gilt es, den Begriff Confidential Computing ein wenig genauer zu beleuchten. Dabei steht das Isolieren von Programmcode und Anwenderdaten im Vordergrund. Dies geschieht vor allem innerhalb des Arbeitsspeichers eines Rechners, woraus sich ein effektives Abschirmen von Daten und Code ergibt. Daraus resultiert ein sogenanntes Trusted Execution Environment (TEE), was im Wesentlichen als Synonym für Confidential Computing genutzt werden kann. Auf diesen Bereich eines Computers können dann nur noch ausgewählte Benutzer:innen und Anwendungen zugreifen.
Rein technisch gesehen wird das unter anderem mithilfe der Software Guard Extensions (Intel SGX) erreicht, die Teil der skalierbaren Intel Xeon Prozessoren der dritten Generation sind. Hierbei erstellt der Prozessor selbst eine sogenannte Enklave, in der Daten und Programmcode Hardware-basiert verschlüsselt werden, um somit Zugriffe von außen unmöglich zu machen. Das geht soweit, dass selbst Cloud-Administratoren oder andere privilegierte Anwender:innen keinerlei Zugriff auf diese per Intel SGX geschützten Enklaven haben.
Banken, Finanzbehörden und das Gesundheitswesen profitieren von Intel SGX
Gerade in datensensiblen Branchen wie dem Finanz- und Bankensektor, oder auch dem Gesundheitswesen spielt das Beachten und strikte Einhalten von Compliance-Regeln in der Cloud eine wesentliche Rolle. Daher scheuen viele Unternehmen und Behörden aus diesen Bereichen immer noch den Gang in die Cloud.
Ob das die strengen Regeln der DSGVO betrifft oder die Notwendigkeit eines lokalen Rechenzentrums auf deutschem Boden: Diese und weitere Vorgaben erschweren den Umzug in die Cloud. Doch, und da zeigt sich Gerhard im Podcast sehr zuversichtlich, wird das Thema Confidential Computing resp. Intel SGX seinen Teil zu mehr Cloud-Anwendungen bei Banken, Versicherungen und Co. beitragen.
Das hat die ePatientenakte mit Intel SGX zu tun
Sieht man sich die Anforderungen in Sachen Datenschutz und Datensicherheit genauer an, ist vor allem das Gesundheitswesen hierbei ein markantes Beispiel. Denn es wird mit äußerst sensiblen Daten hantiert, die keinesfalls in die falschen Hände geraten dürfen. Daher nennt Gerhard zwei Beispiele aus diesem Bereich. Die Rede ist von der elektronischen Patientenakte der AOK und dem elektronischen Rezept. Die ePatientenakte wurde bereits vor rund zwei Jahren eingeführt, das eRezept ist erst seit kurzem verfügbar und soll landesweit ab dem nächsten Jahr einer breiten Anwenderschar zugänglich sein.
Mit der elektronischen Patientenakte wurde etwas geschaffen, was so vor noch gar nicht allzu langer Zeit unter dem Aspekt des Datenschutzes undenkbar war. So kann auf Basis der ePatientenakte einer klar definierten Benutzergruppe innerhalb medizinischer Einrichtungen der Cloud-basierte Zugriff auf Patient:innen-Daten gewährt werden. Dies geschieht mithilfe geeigneter Tools, die dem Confidential Computing zugeordnet werden. Ein Teil davon ist die Intel SGX-Technologie.
Die Anwendungsfälle, gerade was das Gesundheitswesen betrifft, scheinen schier unendlich. Ob das einen Arztwechsel betrifft, bei dem vorhandene Patient:innendaten über die Cloud ausgetauscht werden können, oder medizinische Forschungsunternehmen, deren geistiges Eigentum höchst schützenswert ist – Confidential Computing und Intel SGX werden künftig verstärkt ihren Anteil zu mehr Sicherheit und Schutz bei der Verarbeitung von Daten in der Cloud beitragen.
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogbeitrags hat mich die Firma Intel beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.