Mobile-Menu

openDesk Sicher in der Cloud: Confidential Computing

Von Nicola Hauptmann 3 min Lesedauer

Anbieter zum Thema

OSB Alliance Open Source Business Alliance e.V.
Edgeless Systems GmbH
BSI Bundesamt f. Sicherheit in der Informationstechnik
FAST LTA GmbH
SEPPmail - Deutschland GmbH
mehr weniger
Company-Flyout
FTAPI Software GmbH
weniger

Confidential-Computing-Lösungen gehören inzwischen zum Angebot der Cloudprovider, sind aber nicht ohne Weiteres nachprüfbar. Für openDesk steht nun eine Open-Source-Lösung zur Verfügung, die Fernattestierung bietet und Wechselfähigkeit unterstützt.

Dr. Felix Schuster, CEO der Edgeless Systems GmbH.(© Michael Schwettmann)
Dr. Felix Schuster, CEO der Edgeless Systems GmbH.
(© Michael Schwettmann)

Erst kürzlich hat das ZenDiS (Zentrum Digitale Souveränität) den Zuschlag für den Rahmenvertrag für Weiterentwicklung und Betrieb von openDesk an die B1 Systems erteilt: Die Open-Source-Officelösung für die öffentliche Verwaltung wird künftig als Enterprise Edition verfügbar sein und über die Cloud von Stackit auch als SaaS.

Zu den verfügbaren Features gehört auch eine Confidential-Computing-Lösung – die Möglichkeit, Daten auch während der Verarbeitung verschlüsselt zu halten. Dabei erfolgt die Verarbeitung in einer geschützten Umgebung innerhalb des Prozessors, auf die weder Systemadministratoren noch andere Software- und Hardwarekomponenten zugreifen können.

Da alle aktuellen AMD- oder Intelprozessoren dazu fähig sind, ist das technisch auch möglich. Aber warum ist es wichtig? Während in der Vergangenheit die Verschlüsselung von Speicher und Transport der Daten ausgereicht hätte, „muss in der heutigen Cloud-Welt auch eine Verschlüsselung während der Verarbeitung (at USE) sichergestellt werden, da auf gemeinsam genutzten Ressourcen potentiell Daten aus dem Hauptspeicher bzw. Prozessor von unbekannten und somit unautorisierten Personen ausgelesen werden können“, erklärt Stefan Zosel, stellvertretender Vorstandsvorsitzender der Open Source Business Alliance (OSBA) und VP Cloud Lead bei Capgemini. Er ist überzeugt: „Je mehr sensible Daten in der Cloud genutzt werden, desto mehr wird Confidential Computing Einzug in Cloud-Umgebungen halten und sich zu einem Standard entwickeln.“

Wie Thomas Caspers, Abteilungsleiter Technik-Kompetenzzentren im BSI, Security-Insider-Podcast erläutert, findet man Confidential Computing inzwischen auch bei allen Cloudanbietern.

Katharina Ramsauer, Public Sector Lead der Edgeless Systems GmbH.(© Katharina Ramsauer)
Katharina Ramsauer, Public Sector Lead der Edgeless Systems GmbH.
(© Katharina Ramsauer)

Doch ohne die Möglichkeit, das selbst technisch nachprüfen zu können, müssten Nutzer dem Anbieter vertrauen, gibt Katharina Ramsauer zu bedenken. Sie ist Public Sector Lead des Start-ups Edgeless Systems, das die Confidential-Computing-Anwendung für openDesk zur Verfügung stellt. Damit Anwender wirklich sichergehen könnten, dass die Daten in einer geschützten Umgebung verschlüsselt verarbeitet werden, brauche es eine Fernattestierung.

Dr. Felix Schuster, CEO von Edgeless Systems, vergleicht diese Attestierung mit dem Zertifikat einer Website, etwa beim Online-Datenaustausch mit einer Bank. Nur würde beim Online-Banking lediglich attestiert, dass die Webseite autorisiert sei, Inhalte für die jeweilige Bank zu liefern. Mit der Fernattestierung beim Confidential Computing dagegen erhielten Anwender vom Prozessor ein Zertifikat, das nicht nur die Echtheit des Prozessors ausweist, sondern auch transparent zeigt, welche Anwendung läuft und welche Schutzmechanismen herrschen. Bei einer einzelnen Anwendung sei das auch noch überschaubar, so Schuster, „doch sobald es um Anwendungen geht, die viele Dienste umspannen, etwa eine Datenbank, wird es sehr komplex.“

Auf openDesk trifft diese Beschreibung zu: Die Officelösung bestehe aus über 40 Einzelanwendungen, die gleichzeitig laufen. Dass die bei Edgeless Systems entwickelte Fernattestierung auch unter solchen Bedingungen funktioniert, beweist ihr Einsatz in der elektronischen Patientenakte. Es sei zudem gelungen, so Schuster, diese Fernattestierung einfach handhabbar und interpretierbar zu gestalten.

Wechselfähigkeit und Resilienz

Er weist aber noch auf einen weiteren Aspekt hin: Würden einzelne Apps, zum Beispiel Mail-Anwendungen, nur punktuell geschützt, fehlten die sicheren Kanäle zwischen ihnen. Angreifer könnten unbemerkt den Schutz für einzelne Dienste ausschalten: „Deshalb muss man es Ende-zu-Ende schützen“, so Schuster. Die Lösung des Start-ups ist daher so konzipiert, dass sich damit ein ganzer Kubernetes-Cluster, also eine komplette Anwendung, schützen lässt. „Ein Szenario, das wir im Kontext von openDesk diskutiert haben, ist das Beispiel der Ukraine, wo nach dem Angriff sehr schnell einzelne Anwendungen in die Public Cloud verschoben werden mussten“, erläutert Felix Schuster. Mit der Confidential-Computing-Anwendung für Kubernetes ist es möglich, Daten und Anwendungen schnell und sicher in ein anderes physikalisch sicheres Rechenzentrum zu verlagern.

Durchgehend umgesetzt, bietet Confidential Computing somit nicht nur Schutz durch Verschlüsselung, sondern unterstützt auch Wechselfähigkeit, Resilienz und Ausfallsicherheit.

(ID:50261879)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte