Mit dem zunehmenden Einsatz von Cloud-Diensten rückt der Schutz von Unternehmens- und Personendaten immer stärker in den Fokus. Anbieter preisen sogenannte „Confidential Computing“-Technologien als Lösung an, um selbst hochsensible Daten in der Cloud sicher zu verarbeiten. Selbst der Cloud-Betreiber soll dann keinen Zugriff mehr haben. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich nun mit einer Entschließung vom 16.06.2025 kritisch zu solchen Confidential Cloud Computing Versprechen geäußert.
Was unter Confidential Computing zu verstehen ist
Confidential Computing ist laut der DSK kein einheitlich definierter Begriff. Verschiedene Anbieter fassen darunter unterschiedliche Maßnahmen, die vom Schutz einzelner Speicherbereiche über kryptografische Verfahren bis hin zu komplexen Virtualisierungslösungen reichen. Die DSK beschreibt es beispielhaft als „eine Verschlüsselung von Daten im Arbeitsspeicher oder aber auch eine reine Zugriffsbeschränkung auf reservierte Speicherbereiche“.
Unter „Confidential Cloud Computing“ wiederum werde vielfach die Idee vermarktet, dass die Datenverarbeitung in der Cloud sogar vor dem Zugriff des Betreibers selbst geschützt sei. Doch diese Behauptung greife zu kurz. Deshalb zielt die Entschließung der DSK darauf ab, die Werbeversprechen kritisch zu bewerten.
Die Grundidee stamme aus dem Szenario einer gemeinsam genutzten Cloud-Infrastruktur, in der sich mehrere eine physische Hardware teilen. Das vorrangige Ziel habe darin bestanden, die Daten verschiedener Kunden voneinander zu isolieren, auch im Fall von internen Angriffen durch kompromittierte Nutzerinstanzen. Sobald jedoch der Schutz vor dem Betreiber selbst im Raum steht, ändere sich das Bedrohungsmodell grundlegend und damit auch die Anforderungen an die Technik.
Zugriffsbeschränkung sorgt noch nicht für Confidential Computing
Cloud-Anbieter und seine Mitarbeiter haben weitreichenden physischen und technischen Zugang zu seiner Infrastruktur. Soll auch vor solchen internen Angreifern ein Schutz bestehen, erfordert dies außerordentliche Schutzmaßnahmen.
Die DSK stellt in ihrer Entschließung (abrufbar hier) klar, dass viele als Confidential Computing vermarktete Verfahren diese Anforderungen nicht erfüllen. Insbesondere sei eine Zugriffserschwerung gegenüber Mitarbeitern zwar wirksam und erforderlich, „solche Maßnahmen gehören aber nicht im engeren Sinne zum „Confidential Computing“. Das begründet sie damit, dass dann Mitarbeiter, wenn auch sehr eingeschränkt, stets weiterhin Zugriffsmöglichkeiten haben. Der Werbeslogan von der vollständigen Kontrolle der Nutzer über ihre Daten halte insofern einer Überprüfung regelmäßig nicht stand. Schon die Verfügbarkeit der Datenverarbeitung selbst sowie die Verhinderung der Löschung liege weiterhin beim Betreiber.
Reicht ein sorgfältiges Schlüsselmanagement
Zentraler Punkt für die Bewertung bleibt deshalb das Schlüsselmanagement. Vertraulichkeit gegenüber dem Betreiber sei nur gegeben, wenn dieser keinerlei Zugriff auf die zur Entschlüsselung erforderlichen Schlüssel hat und auch nicht technisch erlangen kann. Dies schließe neben der sicheren Schlüsselerzeugung und -aufbewahrung auch die Absicherung gegen Manipulationen an Hard- und Softwarekomponenten ein. So dürfe auch der Austausch von Sicherheitsmodulen oder Machine-in-the-Middle-Angriffe nicht einmal durch die Person mit den höchsten Zugriffsrechten möglich sein.
Übergänge als Schwachpunkte
Eine besondere Schwachstelle seien „die Übergänge zwischen den verschiedenen „Verschlüsselungsdomänen““. Beispielsweise könne beim Übergang von „data-at-rest“ zu „data-in-use“ eine „kurzfristige Entschlüsselung“ entstehen, die ein potenzielles Einfallstor für Angriffe oder Datenabflüsse darstellt. Eine weitere Hürde würden auch physikalische Angriffe etwa in Form von Seitenkanalattacken darstellen. Insofern sei bei der Bewertung von Marktingversprechen darauf zu achten, welche Annahmen die Cloud-Anbieter zugrunde legen.
Einordnung und Folgen für Unternehmen
Confidential Cloud Computing kann richtig eingesetzt laut der DSK ein wertvoller Bestandteil eines mehrstufigen Sicherheitskonzepts sein. Es helfe insbesondere dabei, sich gegen andere Nutzer auf derselben Infrastruktur oder gegen vereinzelte Angriffe von Innentätern innerhalb des Betreibers zu schützen. Als alleinige oder gar absolute Maßnahme zur Absicherung personenbezogener Daten sei es jedoch weder geeignet noch zu empfehlen. Die DSK erklärt auch, dass bei der Ausarbeitung von Sicherheitskonzepten insbesondere darauf zu achten sei, ob und in welchem Maß den Werbeaussagen und den zugrunde gelegten Angreifermodellen vertraut werden kann. Je nachdem, wie diese Bewertung ausfällt müsse ein unterschiedliches Maß an weiteren zu ergreifenden Maßnahmen verwendet werden.
Fazit
Die Entschließung der DSK bietet eine wertvolle Hilfestellung für Unternehmen, die Confidential Cloud Computing Dienste nutzen oder dies planen. Verantwortliche sollten auf dieser Grundlage ihre eigenen technischen und rechtlichen Prüfungen vornehmen. Dazu gehört auch die nachvollziehbare Dokumentation der Sicherheitsannahmen, des eingesetzten Schlüsselmanagements sowie der konkreten Schutzmaßnahmen gegen plausible Angriffsvektoren. Wer in diesem Zusammenhang auf Lieferantenangaben angewiesen ist, sollte sich diese im Rahmen der vertraglichen Gestaltung umfassend zusichern lassen und deren Umsetzung regelmäßig überprüfen. Als Externe Datenschutzbeauftragte stehen wir Ihnen bei der Bewertung und datenschutzkonformen Implementierung von Cloud Computing Lösungen zur Seite.
