Alles spricht von Artificial Intelligence, Zero Trust, Identity und Cyber Resilience, da werden die beiden unscheinbaren Konzepte Confidential Computing und Digital Provenance zum Nebenschauplatz. Doch richten wir unseren Fokus für einmal auf diesen vermeintlichen Nebenschauplatz.
Was ist Confidential Computing?
Confidential Computing, einfach ausgedrückt, ist eine Technologie, die Daten während der Verarbeitung schützt. Ziel ist die durchgängige Sicherheit der Daten während ihrer Verarbeitung, beispielsweise in der Cloud.
Man kann sich das anhand eines wissenschaftlichen Experiments vorstellen:
| Wissenschaftliches Experiment | Confidential Computing |
|---|---|
| Probe | Daten |
| Experiment | Berechnung / Analyse |
| Laborbetreiber | Cloud-Anbieter |
| Messprotokoll | Anwendungscode |
| Prüfzertifikat | Attestation (Beglaubigung) |
| Versiegelte Versuchskammer | Trusted Execution Environment |
Tabelle 1: Gegenüberstellung Wissenschaftliches Experiment und Confidential Computing
Bei der normalen Datenverarbeitung würde das Experiment von einem Wissenschaftler selbständig, beispielsweise in einem Reagenzglas, durchgeführt. Im Vergleich dazu würde er beim Confidential Computing das Experiment in einer versiegelten Versuchskammer durchführen, auf welche niemand Zugriff hat und auch niemand hineinsehen kann. Der Outcome davon wäre dann ein Prüfzertifikat als Attestation.
Der wichtige Aspekt dabei ist die sichere Prüfkammer. Bei der Verarbeitung ist der Zugriff auf die Daten nur einem speziell autorisierten Programmcode vorbehalten, sodass kein anderes Programm oder kein Mensch auf die Daten Zugriff hat, auch nicht die Cloud-Anbieter.
Die Thematik Confidential Computing ist nichts Neues. Das Confidential Computing Committee wurde bereits 2019 gegründet. Jedoch erlebt es aktuell einen starken Aufschwung, da hybride Unternehmensinfrastrukturen salonfähig geworden sind und auch die letzten Nachzügler in der Cloudwelt ankommen.
Die Tücken des Confidential Computing sind unter anderem Side-Channel Attacken, komplexes Schlüsselmanagement, das Attestation-Management und nicht zuletzt das Vertrauen in die Hardware. Daher ist es wichtig das Confidential Computing mit weiteren Methoden wie Zugriffskontrollen, Auditierung, Verschlüsselung sowie der Einsatz eines digitalen Provenienz -System zu kombinieren. Doch was ist digitale Provenienz?
Was ist Digital Provenance?
Digital Provenance bedeutet digitale Herkunft. Dieses Konzept wird nicht nur in der IT verwendet, sondern auch im Bereich der Medien, Forschung oder auch der Kunst. Es hat zum Ziel die Integrität, Authentizität und Nachvollziehbarkeit von Informationen zu gewährleisten. Dem Prinzip liegt die vollständige Dokumentation der Herkunft, der Entstehung und Nutzung der Daten sowie deren Veränderungen über den gesamten Lebenszyklus zu Grunde. In der Informatik wird dieses Konzept auf die Software, Daten oder KI-generierte Inhalte angewendet.
Zu den Tücken der Digital Provenance gehören:
- die Vertrauenswürdigkeit der Quelle
- die Speicherung von Daten und deren langfristigen Verfügbarkeit
- die Vollständigkeit der Erfassung, sodass keine Informationslücken entstehen
- die Skalierbarkeit der Datenmengen
- der Datenschutz
Also anders gesagt, kann digitale Herkunft allein aussagen, dass die Daten von System A erzeugt wurden und mit der Methode B bearbeitet wurde. Sie kann jedoch keine Aussage dazu machen, ob die Daten während der Bearbeitung eingesehen oder manipuliert wurden.
Confidential Computing & Digital Provenance
Das Confidential Computing und die Digital Provenance sind zwei sich ergänzende Konzepte. Während die Digital Provenance die Vertrauenswürdigkeit der Datenhistorie dokumentiert, so stellt Confidential Computing den Schutz der Daten in der Verarbeitung sicher.
In der heutigen Welt von Fake News, KI-generierten Inhalten und der Verwendung von vielen Open-Source-Komponenten in Software, erhalten diese Trends unbewusst mehr Gewicht. Gerade bei den Software Bill of Materials ist man mehr und mehr darauf angewiesen, dass die Herkunft und der Inhalt der Komponenten nachgewiesen, überprüft sowie verifiziert werden kann. Digitale Provenienz hilft, die Sicherheit und Verlässlichkeit von Software-Lieferketten zu gewährleisten.
Doch gerade hier klafft aktuell noch eine Lücke zwischen Theorie und Anwendung in der Praxis. Die Erstellung und Pflege der digitalen Nachweise ist noch sehr fehleranfällig und auch können die beiden Konzepte die Tücken des anderen Konzepts nicht vollständig ausmerzen. Dafür sind weitere Bausteine notwendig wie beispielsweise digitale Signaturen, Audit Logs, Attestation, Datenqualität, Identitäts- und Zugriffsmanagement oder Governance.
Wenn wir es uns nun also genauer ansehen, sind das keine Nebenschauplätze der Security Trends, sondern vielmehr die versteckten zu Grunde liegenden Bausteine davon.
Weiterführende Links:
Cloud Security – AVANTEC
Privileged Access Management – AVANTEC
Supply Chain Risk Management: Warum die grösste Cyber-Schwachstelle ausserhalb des eigenen Unternehmens liegt – Tec-Bite
NIS2-Anforderungen: Die 10 wichtigsten Massnahmen für Unternehmen – Tec-Bite
hammy
hammy ist Senior Security Engineer bei AVANTEC. Er hat einen Abschluss in Informationssicherheit und interessiert sich insbesondere für technologische Trends und Ethik. Zu seinen Lieblings-Lösungen gehören Zscaler, SEPPmail und IronPort.
