In den meisten Cloud-Umgebungen sind sensible Daten nicht verschlüsselt und damit praktisch ungeschützt. Unternehmen riskieren so kritische Datenlecks und kostspielige Compliance-Verstöße. Confidential Computing könnte durchgängigen Schutz bieten.
Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung.
Unternehmen und öffentliche Einrichtungen setzen heutzutage verstärkt auf Cloud-Lösungen oder planen, ihre Daten und Anwendungen in die Cloud zu migrieren. Mit der Verlagerung der Dienste in das Rechenzentrum des Providers geben sie aber immer auch ein Stück weit die Kontrolle über die Daten ab. Und das kann gefährlich werden: Da sich Daten mit traditioneller Verschlüsselung zwar im Ruhezustand und während der Übertragung, nicht aber bei der Verarbeitung schützen lassen, kann es zu unerwünschten Zugriffen von externen wie internen Angreifern oder auch seitens des Cloud-Providers kommen – der Compliance-Verstoß ist dann vorprogrammiert. Einen Ausweg aus diesem Dilemma bietet Confidential Cloud Computing.
Sichere Cloud-Umgebungen dank 3D-Verschlüsselung
Das Prinzip von Confidential Computing ist einfach: Mithilfe von Trusted Execution Environments (TEE), sogenannter Enklaven, werden Daten und Anwendungen auf der Prozessor-Ebene vom restlichen System logisch isoliert und auch während der Verarbeitung verschlüsselt. Diese Absicherung von Daten in allen drei Dimensionen (at rest, in transit, in use) lässt sich prägnant als „3D-Verschlüsselung“ beschreiben, die jeglichen nicht autorisierten Zugriff verhindert.
Um sicherzustellen, dass die Enklave und ihr Inhalt unverändert sind und nicht manipuliert wurden, wird auf Basis der Ausgangskonfiguration und des Codes innerhalb der Enklave zunächst ein kryptographischer Attestation Report erstellt, der anschließend von einem externen Attestation Service überprüft und validiert wird. Der Schutz der Enklaven fußt dabei auf starken Encryption Keys sowie einer sicheren Schlüsselverwaltung und -Verteilung.
Dieser Ansatz erhöht die Cyberresilienz erheblich: In den Enklaven sind Daten und Anwendungen auch dann zuverlässig geschützt, wenn Angreifer auf dem gleichen Host Malware oder Rootkits einschleusen und virtuelle Maschinen (VMs) oder den Hypervisor kompromittieren. Angriffe auf den Arbeitsspeicher, etwa durch Memory- oder Cold-Boot-Attacken, sind wirkungslos, da die Daten verschlüsselt und damit nicht im Klartext lesbar sind. Und Man-in-the-Middle-Angriffe, bei denen sich Angreifer in die Kommunikationskette einklinken und Daten manipulieren, werden durch Ende-zu-Ende-Verschlüsselung praktisch ausgeschlossen – solange die Schlüssel sicher verteilt sind. So werden auch Insider-Bedrohungen konsequent verhindert, da weder privilegierte Nutzer wie Admins noch der Cloud-Provider Zugriff auf die Enklaven haben.
Stichwort Schlüsselverteilung: Die Zugriffskontrollen und Authentifizierungsmechanismen, die ein robustes Key Management bereitstellt, machen Confidential Computing darüber hinaus zu einem wichtigen Bestandteil einer unternehmensweiten Zero-Trust-Architektur.
Multiple Einsatzszenarien
Da Confidential Computing lediglich 2 bis 3 Prozent zusätzliche Rechenleistung erfordert, können im Grunde alle Unternehmen und Organisationen von der hohen Datensicherheit der Enklaven profitieren. Auch Software-Hersteller und Managed Service Provider können ihre SaaS-Anwendungen oder andere Dienstleistungen in sicheren Ausführungsumgebungen bereitstellen und so neue Geschäftsmodelle erschließen.
Besonders eignet sich der Ansatz für Unternehmen und öffentliche Einrichtungen in stark regulierten Branchen, da so selbst strenge Compliance-Vorschriften umsetzbar sind: Confidential Computing gewährleistet den durchgängigen Schutz personenbezogener Daten (DSGVO), eine starke Cyberresilienz (NIS2) und die verschlüsselte Verarbeitung von Finanzdaten in isolierten und geschützten Umgebungen (DORA). Dabei lassen sich sogar die großen Hyperscaler bedenkenlos nutzen, ohne die Datensouveränität zu gefährden: Durch den CLOUD Act können US-Behörden zwar theoretisch sämtliche Daten amerikanischer Unternehmen anfordern, aber da die Provider keinen Zugriff auf die Enklaven haben, können sie auch keine Daten weitergeben.
Darüber hinaus schützen Unternehmen mit Confidential Computing ihr geistiges Eigentum: Kunden und Partner erhalten zwar Zugang zu geschützten Anwendungen – aber nicht zum Source-Code –, für die unternehmensübergreifende Zusammenarbeit an Projekten lassen sich die eigenen Systeme kontrolliert öffnen, und die vertraulichen Ausführungsumgebungen ermöglichen das gefahrlose Testen von Neuentwicklungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein weiterer spannender Use Case ist die Übertragung von Anwendungen in die Cloud, ohne Architektur und Code anzupassen. Diese „Lift-and-Shift“-Migrationen haben häufig mit Leistungseinbußen oder Ausfällen zu kämpfen, da die alte On-Premises- und die neue Cloud-Infrastruktur sich zu sehr unterscheiden. Als dedizierte Umgebung lassen sich Enklaven dagegen mit den gleichen Merkmalen wie die alte Umgebung konfigurieren – und die Migration vorab wiederum ohne Risiko testen.
Die richtige Umsetzung
Ob Confidential Cloud Computing die Datensicherheit wirklich erhöht, hängt zu großen Teilen von der richtigen Implementierung ab: So bieten die großen Hyperscaler heute auch schon Confidential-Computing-Lösungen samt Key Management an. Daraus resultieren gleich zwei Probleme: Zum einen ein Vendor Lock-In, der den Wechsel zu einem anderen Anbieter erschwert und Abhängigkeiten erzeugt. Hier helfen Multi-Cloud Confidential Computing Broker (MCCCP), die anbieterneutrale und damit Multi-Cloud-fähige Lösungen anbieten.
Zum anderen hat der Cloud-Provider, wenn sowohl Enklaven als auch Schlüsselservice bei ihm liegen, theoretisch Zugriff auf die Enklave – was das gesamte Konzept ad absurdum führen würde. Deshalb braucht es eine Cloud-kompatible Bring-Your-Own-Key-Lösung (BYOK), damit Unternehmen ihre Schlüssel selbst generieren, speichern und verwalten können. Einige MCCCPs verfügen für diesen Fall über virtuelle Hardware-Security-Module (vHSM), eine Weiterentwicklung traditioneller HSMs, die die kryptographische Performance der Hardware mit der Flexibilität und Skalierbarkeit der Cloud kombinieren.
Zu guter Letzt sollte die Confidential Computing-Lösung vor allem einfach zu integrieren sein, sprich: No Code Deployment. Im Optimalfall müssen bestehende Infrastruktur, Workflows oder Code wenig bis gar nicht angepasst werden, was neben der offensichtlichen Aufwandsersparnis auch die Akzeptanz für das neue Security-Konzept erhöht.
Compliance durch verschlüsselte Verarbeitung in sicheren Enklaven
Confidential Cloud Computing bietet ein neues Level an Data Security in der Cloud, da Daten nun auch während der Verarbeitung in sicheren Enklaven verschlüsselt sind. Diese vertraulichen Ausführungsumgebungen erhöhen die Cyberresilienz, ermöglichen sichere Cloud-Migrationen und stellen echte Compliance mit den strengen Vorgaben des Gesetzgebers sicher – sogar bei der Nutzung der großen US-Hyperscaler, da auch die Provider keinen Zugriff auf die enklavierten Daten haben. Wer seine Confidential-Computing-Ressourcen dabei über einen Multicloud Confidential Computing Broker mit ganzheitlichem Ansatz bezieht, verhindert Vendor-Lock-Ins, behält die Kontrolle über sein Key Management und profitiert von einer einfachen Implementierung.
* Sebastian Gajek, Professor für Kryptographie & IT-Sicherheit an der Europa-Universität Flensburg und Co-Founder von Enclaive, forscht seit über zwei Jahrzehnten zur Verarbeitung verschlüsselter Daten. Zuvor war er unter anderem Chief Scientist bei NEC und leitete dort Innovationen im Bereich IT-Sicherheit.
Bildquelle: Enclaive
Confidential Cloud Computing „made in Germany“
Wie Multicloud-Confidential-Computing made in Germany aussehen kann, zeigt das Berliner Start-up Enclaive, das einen ganzheitlichen Security-Ansatz verfolgt: Über die Enclaive Multicloud-Plattform lassen sich 3D-verschlüsselte Virtual Machines, Kubernetes-Cluster und Databases bei Cloud-Anbietern wie AWS, Azure oder Google Cloud sowie mehreren europäischen Providern als auch im eigenen Rechenzentrum binnen Minuten einrichten.
Enclaive bietet mit seinem vHSM zudem die nötigen Trust Elemente wie Key Management und Workload Identity Management & Attestation Service als eigenständige Produkte. Und mit Garnet, einer confidential generative AI-Firewall, steht ein starker Schutzschild zur datensicheren Nutzung von KI-Tools wie ChatGPT bereit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/46/9b/469be584a115dcf10699809b594f5bf4/0112150345v1.jpeg "Confidential-Computing-Lösungen befinden sich derzeit noch in der Entwicklung. Es gibt auch einige wenige Anbieter, die ihren Quellcode offenlegen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/59/c7/59c7b27ad6fd9fab75d21cd3337cc1d5/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/b1/58b1423fef97ccb17e5c30f7112da433/0128174692v1.jpeg "Schlüssel als Sinnbild für digitale Souveränität: In Sovereign-Cloud-Umgebungen ist die Hoheit über Identitäten und kryptografische Schlüssel ein zentraler Sicherheitsfaktor. (Bild: frei lizenziert stevepb)")