{"id":348966,"date":"2025-08-20T15:45:17","date_gmt":"2025-08-20T15:45:17","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348966"},"modified":"2025-08-20T15:45:17","modified_gmt":"2025-08-20T15:45:17","slug":"confidential-computing-mit-schluessel-zur-digitalen-souveraenitaet","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/confidential-computing-mit-schluessel-zur-digitalen-souveraenitaet\/","title":{"rendered":"Confidential Computing: Mit Schl\u00fcssel zur digitalen Souver\u00e4nit\u00e4t?"},"content":{"rendered":"<p><strong>Verschl\u00fcsselt heisst nicht automatisch auch gesch\u00fctzt. Microsoft musste k\u00fcrzlich medienwirksam einr\u00e4umen, dass es den Zugriff von US-Beh\u00f6rden auf Kundendaten nicht vollst\u00e4ndig verhindern kann. <em>Confidential Computing<\/em> erlaubt es, Daten auch w\u00e4hrend der Bearbeitung zu verschl\u00fcsseln. Was hat es damit auf sich und kann mit <em>Confidential Computing<\/em> die Situation verbessert werden?<\/strong><\/p>\n<p>von <strong>Matthias Plattner <\/strong>und <strong>Esther Zysset<\/strong><\/p>\n<h4>Verschl\u00fcsselung sch\u00fctzt nicht immer vor Zugriff<\/h4>\n<p>Microsoft steht derzeit in der Kritik, weil das Unternehmen einger\u00e4umt hat, dass es den <a href=\"https:\/\/www.senat.fr\/compte-rendu-commissions\/20250609\/ce_commande_publique.html\">Zugriff von US-Beh\u00f6rden auf Kundendaten nicht vollst\u00e4ndig verhindern kann<\/a> \u2013 selbst dann, wenn diese verschl\u00fcsselt und auf Servern ausserhalb der USA gespeichert sind. Ein wesentlicher Grund daf\u00fcr ist, dass Microsoft bei vielen Cloud-Diensten die Schl\u00fcssel zur besseren Dienstleistungserbringung selbst verwaltet. Gesetzliche Vorgaben wie beispielsweise der US CLOUD Act k\u00f6nnen Microsoft zur Herausgabe von Daten und damit zur Nutzung dieser Schl\u00fcssel zugunsten von Beh\u00f6rden verpflichten.<\/p>\n<p>US-Unternehmen k\u00f6nnen sich derzeit unter dem US-CH Data Privacy Framework zertifizieren und damit vom Angemessenheitsbeschluss des Bundesrats profitieren. Die Bearbeitung von Personendaten durch \u00f6ffentliche Organe ist damit zwar nach dem DSG zul\u00e4ssig, jedoch verbleiben aus Sicht der Informationssicherheit Risiken aufgrund m\u00f6glicher Zugriffe. Auch ist das Weiterbestehen des Angemessenheitsbeschlusses <a href=\"https:\/\/publicsector.ch\/en\/make-privacy-great-again\/?utm_source=chatgpt.com\">nicht in Stein gemeisselt<\/a>. Zudem gilt der Beschluss des Bundesrats nicht ohne Weiteres auch in den Kantonen, die teilweise eigene Kriterien f\u00fcr die Daten\u00fcbermittlung ins Ausland vorsehen. Entsprechend wird vermehrt nach L\u00f6sungen gesucht, die den Zugriff durch die US-Anbieterinnen technisch verhindern. Zuweilen wird Confidential Computing als m\u00f6gliche L\u00f6sung angepriesen.<\/p>\n<h4>Was ist <em>Confidential Computing<\/em> und wie funktioniert es?<\/h4>\n<p>Zwar bieten Anbieterinnen wie Microsoft seit Jahren Verschl\u00fcsselungsdienste an, um Daten zu sch\u00fctzen. Allerdings werden die Daten herk\u00f6mmlicherweise nur im Ruhezustand (Data at rest) und bei der \u00dcbertragung (Data in transit) gesch\u00fctzt. Gerade die Verschl\u00fcsselung im Ruhezustand bringt bei SaaS-L\u00f6sungen aber Abstriche hinsichtlich der Funktionalit\u00e4ten und der Nutzerfreundlichkeit mit sich. <em>Confidential Computing<\/em> k\u00f6nnte diese L\u00fccke schliessen, indem Daten w\u00e4hrend der Bearbeitung (Data in use) verschl\u00fcsselt werden \u2013 unter gr\u00f6sstm\u00f6glicher Nutzung der Vorteile der lizenzierten Software aus der Cloud. Aber werden damit Datenschutz und Informationssicherheit verbessert und wie kompliziert ist die Umsetzung?<\/p>\n<p>Der Kern dieser Technologie liegt in der <a href=\"https:\/\/www.netzwoche.ch\/news\/2024-07-18\/so-funktioniert-confidential-computing\">Verwendung von sogenannten &#8222;Trusted Execution Environments&#8220; (TEEs) oder Enklaven<\/a>. In diesen Enklaven werden Daten und Anwendungen auf der Prozessor-Ebene vom restlichen System logisch isoliert. Damit bleiben sie auch w\u00e4hrend der Bearbeitung verschl\u00fcsselt.<\/p>\n<h4>Vorteile f\u00fcr die digitale Souver\u00e4nit\u00e4t, aber technisch anspruchsvoll<\/h4>\n<p>Wenn eine L\u00f6sung auf Verschl\u00fcsselung basiert, ist die zentrale Frage, wer das Schl\u00fcsselmanagement \u00fcbernimmt, um die verschl\u00fcsselten Inhalte lesbar machen zu k\u00f6nnen. Bereits heute bieten verschiedene grosse Hyperscaler <a href=\"https:\/\/www.cloudcomputing-insider.de\/confidential-computing-der-sichere-weg-in-die-cloud-a-a5f67173a327d838e46599b5251e781f\/\"><em>Confidential Computing<\/em>-L\u00f6sungen samt Schl\u00fcsselmanagement<\/a> an. Datenschutzrechtlich ist jede L\u00f6sung, in der die US-Cloud-Anbieterin nach wie vor \u00fcber die Schl\u00fcssel verf\u00fcgt, jedoch suboptimal. Je nach Kanton ist dies f\u00fcr besonders sensible Daten sogar durch die Aufsichtsbeh\u00f6rde untersagt. Solange sowohl die Enklaven als auch der Schl\u00fcsselservice bei der Anbieterin verbleiben, bestehen weiterhin die Zugriffsm\u00f6glichkeiten der Anbieterinnen und der Beh\u00f6rden, die ihnen Anordnungen geben k\u00f6nnen \u2013 womit auch die grundlegenden Probleme nicht behoben werden.<\/p>\n<p>Gelingt es, dass eine Organisation diese Verschl\u00fcsselung selbst vornimmt, kann die Cloud-Anbieterin auf die Daten nicht mehr zugreifen. Damit <em>Confidential Computing<\/em> tats\u00e4chlich einen Mehrwert f\u00fcr Datenschutz und Informationssicherheit bietet, ist daher eine konsequente Implementierung notwendig. Insbesondere ist eine Bring-Your-Own-Key-L\u00f6sung (BYOK) erforderlich, die es Organisationen erm\u00f6glicht, ihre Schl\u00fcssel selbst zu generieren, zu speichern und zu verwalten. Betrachtet man aber, wie anspruchsvoll die organisationsweite Umsetzung von BYOK-L\u00f6sungen bereits f\u00fcr Data at rest ausfallen kann, ahnt man, dass auch bei der Verschl\u00fcsselung von Data in use die <a href=\"https:\/\/www.security-insider.de\/ki-datenschutz-confidential-computing-loesung-a-d9a2b450d9f1d1cc409becff0975ccfe\/\">Implementierungskomplexit\u00e4t und die zus\u00e4tzlichen Kosten eine Herausforderung darstellen<\/a>.<\/p>\n<p>Mit wachsender Aufmerksamkeit und vor dem Hintergrund geopolitischer Entwicklungen k\u00f6nnte <em>Confidential Computing<\/em> k\u00fcnftig potentiell wortw\u00f6rtlich eine Schl\u00fcsselrolle spielen. Davon w\u00fcrden sowohl Anbieterinnen als auch Nutzer profitieren: Die Anbieterinnen k\u00f6nnten den <a href=\"https:\/\/dig.watch\/updates\/more-european-cities-move-to-replace-microsoft-software-as-part-of-digital-sovereignty-efforts?utm_source=chatgpt.com\">Verlust von Kundinnen<\/a> vermeiden, w\u00e4hrend die Nutzer mehr digitale Souver\u00e4nit\u00e4t und Sicherheit gewinnen. Die Nutzung bedingt jedoch eine fortgeschrittene IT und die Bereitschaft, mehr Kosten und Komplexit\u00e4t in Kauf zu nehmen.<\/p>\n<p>&nbsp;<\/p>\n<p><em>Blogposts direkt in die Inbox erhalten? <a href=\"https:\/\/web.swissnewsletter.ch\/e\/8701c9de30ebc427\/de\/form\/ec3745ce-01ea-47b1-b7bc-e83ee5822084.html\">HIER<\/a> k\u00f6nnen Sie sich f\u00fcr unseren Newsletter anmelden.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p><em>Bild: <\/em><em>Nerene Grobler on Unsplash<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Verschl\u00fcsselt heisst nicht automatisch auch gesch\u00fctzt. Microsoft musste k\u00fcrzlich medienwirksam einr\u00e4umen, dass es den Zugriff von US-Beh\u00f6rden auf Kundendaten nicht vollst\u00e4ndig verhindern kann. Confidential Computing erlaubt es, Daten auch w\u00e4hrend der Bearbeitung zu verschl\u00fcsseln. Was hat es damit auf sich und kann mit Confidential Computing die Situation verbessert werden? von Matthias Plattner und Esther Zysset [&hellip;]<\/p>\n","protected":false},"author":14,"featured_media":348968,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-348966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-andere"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/14"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=348966"}],"version-history":[{"count":1,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348966\/revisions"}],"predecessor-version":[{"id":348967,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348966\/revisions\/348967"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media\/348968"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=348966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=348966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=348966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}