Confidential Computing: Schutz von Daten während ihrer Verarbeitung

Confidential Computing schützt Daten in der Cloud, sogar vor dem Cloudbetreiber. Wir erklären, wie die Technik funktioniert und wo ihre Grenzen liegen.

Artikel verschenken

29.04.2026, 16:30 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

David Knichel

Confidential Computing: Schutz von Daten während ihrer Verarbeitung
- In den Safe gesteckt
Grundbausteine von Confidential Computing
Ein anderes Vertrauensmodell
Fazit

Verschlüsselung ist heute an vielen Stellen üblich und oft fast unsichtbar. Daten liegen verschlüsselt auf Datenträgern (Verschlüsselung von „data at rest“), und sie werden verschlüsselt über Netzwerke übertragen („in transit“). Lange blieb aber eine Lücke technisch ungelöst: der Moment der Verarbeitung („data in use“). Typischerweise liegen Daten im Klartext im Arbeitsspeicher, sobald eine Anwendung mit ihnen arbeitet – und sind damit dem Serverbetreiber oder dem Betriebssystem zugänglich.

An dieser Stelle setzt „Confidential Computing“ an. Die Idee ist, heikle Daten in einer per Hardware geschützten Umgebung zu verarbeiten, sodass selbst ein Administrator und idealerweise auch der Betreiber des Rechenzentrums oder Servers nicht auf sie zugreifen können.

Confidential Computing schützt Daten auch während ihrer Verarbeitung.
Zwar rechnet die CPU auf unverschlüsselten Daten, doch im (D)RAM liegt ausschließlich Chiffrat.
Confidential Computing verlagert Vertrauen hin zum Hardwarehersteller.

„Data in use“ zu verschlüsseln, ist schwierig, weil mit verschlüsselten Daten typischerweise nicht gearbeitet werden kann – unter anderem genau dafür wird Verschlüsselung eingesetzt. Es gibt zwar spezielle, „homomorph“ genannte Verschlüsselungsverfahren, die Rechenoperationen auf verschlüsselten Daten ermöglichen, doch diese sind äußerst aufwendig und für viele große Workloads noch zu ineffizient. Gerade in Cloud-Umgebungen ist das problematisch, weil dort viele Schichten zwischen Anwendung und Hardware liegen: Host-Betriebssystem, Hypervisor, Management-Software und privilegierte Benutzer. Sobald eine einzige dieser Schichten kompromittiert wird, sind sensible Daten gefährdet. Confidential Computing verkleinert diese Angriffsfläche.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Mit Bild-KIs kann man schnell und kostenlos einfache Spiele-Charaktere entwickeln.

Wie man ein Browserspiel mit eigenen Spielfiguren vibecodet

Mit Bild- und Coding-KIs kann man an einem Nachmittag ein Spiel für den Browser entwickeln. Wir zeigen einen Workflow mit individuell anpassbaren Grafiken.

Linux-Distribution Ubuntu Desktop 26.04 LTS im Test

Canonical stellt Sicherheit in den Mittelpunkt: Rust-Werkzeuge, TPM-Verschlüsselung und Berechtigungsprompts prägen das neue Ubuntu-LTS-Release.

52-Zoll-Display Dell U5226KW im Test: Thunderbolt 4, USB-Dock und vierfach-PBP

Dells riesiger Ultrasharp U5226KW hat viele Anschlüsse und zeigt das Bild von bis zu vier Rechnern gleichzeitig an, KVM-Funktion inklusive. Wer braucht das?

Rauschende Erinnerungen: So retten Sie analoge Fotos und Videos

Wer analoge Videos und Fotos digitalisieren will, braucht das richtige Werkzeug und etwas Zeit. Wir vergleichen Geräte, Software und Kosten für Dienstleister.

EUDI-Wallet: Welche Rolle PID und PID-Provider im EUDI-Wallet-Ökosystem spielen

Die PID (Person Identification Data) macht den Personalausweis zur digitalen Kernidentität. Ein Überblick, wie die Herausgabe über die Bundesdruckerei abläuft.

iFlytek AI Note 2: E-Ink-Tablet mit Android, GPT-5 und Transkription im Test

E-Ink-Display, digitaler Notizblock, Übersetzer und Android-Tablet in einem: Das AI Note 2 will mehr als seine Mitbewerber bieten – und setzt dafür auf viel KI.