In den meisten Cloud-Umgebungen sind sensible Daten nicht verschlüsselt und damit praktisch ungeschützt. Unternehmen riskieren so kritische Datenlecks und kostspielige Compliance-Verstöße. Confidential Computing könnte durchgängigen Schutz bieten.
Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung.
Unternehmen und öffentliche Einrichtungen setzen heutzutage verstärkt auf Cloud-Lösungen oder planen, ihre Daten und Anwendungen in die Cloud zu migrieren. Mit der Verlagerung der Dienste in das Rechenzentrum des Providers geben sie aber immer auch ein Stück weit die Kontrolle über die Daten ab. Und das kann gefährlich werden: Da sich Daten mit traditioneller Verschlüsselung zwar im Ruhezustand und während der Übertragung, nicht aber bei der Verarbeitung schützen lassen, kann es zu unerwünschten Zugriffen von externen wie internen Angreifern oder auch seitens des Cloud-Providers kommen – der Compliance-Verstoß ist dann vorprogrammiert. Einen Ausweg aus diesem Dilemma bietet Confidential Cloud Computing.
Sichere Cloud-Umgebungen dank 3D-Verschlüsselung
Das Prinzip von Confidential Computing ist einfach: Mithilfe von Trusted Execution Environments (TEE), sogenannter Enklaven, werden Daten und Anwendungen auf der Prozessor-Ebene vom restlichen System logisch isoliert und auch während der Verarbeitung verschlüsselt. Diese Absicherung von Daten in allen drei Dimensionen (at rest, in transit, in use) lässt sich prägnant als „3D-Verschlüsselung“ beschreiben, die jeglichen nicht autorisierten Zugriff verhindert.
Um sicherzustellen, dass die Enklave und ihr Inhalt unverändert sind und nicht manipuliert wurden, wird auf Basis der Ausgangskonfiguration und des Codes innerhalb der Enklave zunächst ein kryptographischer Attestation Report erstellt, der anschließend von einem externen Attestation Service überprüft und validiert wird. Der Schutz der Enklaven fußt dabei auf starken Encryption Keys sowie einer sicheren Schlüsselverwaltung und -Verteilung.
Wirksamer Schutz gegen Cyberattacken
Dieser Ansatz erhöht die Cyberresilienz erheblich: In den Enklaven sind Daten und Anwendungen auch dann zuverlässig geschützt, wenn Angreifer auf dem gleichen Host Malware oder Rootkits einschleusen und virtuelle Maschinen (VMs) oder den Hypervisor kompromittieren. Angriffe auf den Arbeitsspeicher, etwa durch Memory- oder Cold-Boot-Attacken, sind wirkungslos, da die Daten verschlüsselt und damit nicht im Klartext lesbar sind. Und Man-in-the-Middle-Angriffe, bei denen sich Angreifer in die Kommunikationskette einklinken und Daten manipulieren, werden durch Ende-zu-Ende-Verschlüsselung praktisch ausgeschlossen – solange die Schlüssel sicher verteilt sind. So werden auch Insider-Bedrohungen konsequent verhindert, da weder privilegierte Nutzer wie Admins noch der Cloud-Provider Zugriff auf die Enklaven haben.
Stichwort Schlüsselverteilung: Die Zugriffskontrollen und Authentifizierungsmechanismen, die ein robustes Key Management bereitstellt, machen Confidential Computing darüber hinaus zu einem wichtigen Bestandteil einer unternehmensweiten Zero-Trust-Architektur.
Multiple Einsatzszenarien
Da Confidential Computing lediglich 2 bis 3 Prozent zusätzliche Rechenleistung erfordert, können im Grunde alle Unternehmen und Organisationen von der hohen Datensicherheit der Enklaven profitieren. Auch Software-Hersteller und Managed Service Provider können ihre SaaS-Anwendungen oder andere Dienstleistungen in sicheren Ausführungsumgebungen bereitstellen und so neue Geschäftsmodelle erschließen.
Besonders eignet sich der Ansatz für Unternehmen und öffentliche Einrichtungen in stark regulierten Branchen, da so selbst strenge Compliance-Vorschriften umsetzbar sind: Confidential Computing gewährleistet den durchgängigen Schutz personenbezogener Daten (DSGVO), eine starke Cyberresilienz (NIS2) und die verschlüsselte Verarbeitung von Finanzdaten in isolierten und geschützten Umgebungen (DORA). Dabei lassen sich sogar die großen Hyperscaler bedenkenlos nutzen, ohne die Datensouveränität zu gefährden: Durch den CLOUD Act können US-Behörden zwar theoretisch sämtliche Daten amerikanischer Unternehmen anfordern, aber da die Provider keinen Zugriff auf die Enklaven haben, können sie auch keine Daten weitergeben.
Darüber hinaus schützen Unternehmen mit Confidential Computing ihr geistiges Eigentum: Kunden und Partner erhalten zwar Zugang zu geschützten Anwendungen – aber nicht zum Source-Code –, für die unternehmensübergreifende Zusammenarbeit an Projekten lassen sich die eigenen Systeme kontrolliert öffnen, und die vertraulichen Ausführungsumgebungen ermöglichen das gefahrlose Testen von Neuentwicklungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein weiterer spannender Use Case ist die Übertragung von Anwendungen in die Cloud, ohne Architektur und Code anzupassen. Diese „Lift-and-Shift“-Migrationen haben häufig mit Leistungseinbußen oder Ausfällen zu kämpfen, da die alte On-Premises- und die neue Cloud-Infrastruktur sich zu sehr unterscheiden. Als dedizierte Umgebung lassen sich Enklaven dagegen mit den gleichen Merkmalen wie die alte Umgebung konfigurieren – und die Migration vorab wiederum ohne Risiko testen.
Ob Confidential Cloud Computing die Datensicherheit wirklich erhöht, hängt zu großen Teilen von der richtigen Implementierung ab: So bieten die großen Hyperscaler heute auch schon Confidential-Computing-Lösungen samt Key Management an. Daraus resultieren gleich zwei Probleme: Zum einen ein Vendor Lock-In, der den Wechsel zu einem anderen Anbieter erschwert und Abhängigkeiten erzeugt. Hier helfen Multi-Cloud Confidential Computing Broker (MCCCP), die anbieterneutrale und damit Multi-Cloud-fähige Lösungen anbieten.
Zum anderen hat der Cloud-Provider, wenn sowohl Enklaven als auch Schlüsselservice bei ihm liegen, theoretisch Zugriff auf die Enklave – was das gesamte Konzept ad absurdum führen würde. Deshalb braucht es eine Cloud-kompatible Bring-Your-Own-Key-Lösung (BYOK), damit Unternehmen ihre Schlüssel selbst generieren, speichern und verwalten können. Einige MCCCPs verfügen für diesen Fall über virtuelle Hardware-Security-Module (vHSM), eine Weiterentwicklung traditioneller HSMs, die die kryptographische Performance der Hardware mit der Flexibilität und Skalierbarkeit der Cloud kombinieren.
Zu guter Letzt sollte die Confidential Computing-Lösung vor allem einfach zu integrieren sein, sprich: No Code Deployment. Im Optimalfall müssen bestehende Infrastruktur, Workflows oder Code wenig bis gar nicht angepasst werden, was neben der offensichtlichen Aufwandsersparnis auch die Akzeptanz für das neue Security-Konzept erhöht.
Compliance durch verschlüsselte Verarbeitung in sicheren Enklaven
Confidential Cloud Computing bietet ein neues Level an Data Security in der Cloud, da Daten nun auch während der Verarbeitung in sicheren Enklaven verschlüsselt sind. Diese vertraulichen Ausführungsumgebungen erhöhen die Cyberresilienz, ermöglichen sichere Cloud-Migrationen und stellen echte Compliance mit den strengen Vorgaben des Gesetzgebers sicher – sogar bei der Nutzung der großen US-Hyperscaler, da auch die Provider keinen Zugriff auf die enklavierten Daten haben. Wer seine Confidential-Computing-Ressourcen dabei über einen Multicloud Confidential Computing Broker mit ganzheitlichem Ansatz bezieht, verhindert Vendor-Lock-Ins, behält die Kontrolle über sein Key Management und profitiert von einer einfachen Implementierung.
* Sebastian Gajek, Professor für Kryptographie & IT-Sicherheit an der Europa-Universität Flensburg und Co-Founder von Enclaive, forscht seit über zwei Jahrzehnten zur Verarbeitung verschlüsselter Daten. Zuvor war er unter anderem Chief Scientist bei NEC und leitete dort Innovationen im Bereich IT-Sicherheit.
Bildquelle: Enclaive
Confidential Cloud Computing „made in Germany“
Wie Multicloud-Confidential-Computing made in Germany aussehen kann, zeigt das Berliner Start-up Enclaive, das einen ganzheitlichen Security-Ansatz verfolgt: Über die Enclaive Multicloud-Plattform lassen sich 3D-verschlüsselte Virtual Machines, Kubernetes-Cluster und Databases bei Cloud-Anbietern wie AWS, Azure oder Google Cloud sowie mehreren europäischen Providern als auch im eigenen Rechenzentrum binnen Minuten einrichten.
Enclaive bietet mit seinem vHSM zudem die nötigen Trust Elemente wie Key Management und Workload Identity Management & Attestation Service als eigenständige Produkte. Und mit Garnet, einer confidential generative AI-Firewall, steht ein starker Schutzschild zur datensicheren Nutzung von KI-Tools wie ChatGPT bereit.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d2/0b/d20b2d90ffa1395c091a0652e088ae24/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/0a/d10af307e1e38d30037c7edb728451d1/0121195953v2.jpeg "Die EU plant, ihre Infrastrukturen gegen Gefahren aller Art zu stärken – mit einer Flut an Regularien. Dieser Beitrag hilft bei der Orientierung im Gesetzesdschungel. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/0b/d20b2d90ffa1395c091a0652e088ae24/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/47/2647f951ef5b9310e5894ff8f913fed1/0128174692v1.jpeg "Schlüssel als Sinnbild für digitale Souveränität: In Sovereign-Cloud-Umgebungen ist die Hoheit über Identitäten und kryptografische Schlüssel ein zentraler Sicherheitsfaktor. (Bild: frei lizenziert stevepb)")