enthält Werbung
Die Verschlüsselung sensibler Daten gilt als Grundpfeiler der IT-Sicherheit. Doch wer glaubt, dass damit sämtliche Risiken eliminiert sind, irrt gewaltig. Der Schutz digitaler Informationen endet nicht beim Speichern oder Transportieren – vielmehr beginnt eine kritische Phase genau dann, wenn Daten aktiv genutzt werden.
Werbung
Ob bei der Verarbeitung in Anwendungen, dem Teilen innerhalb von Teams oder dem Zugriff durch berechtigte Personen: In diesen Momenten sind Daten besonders angreifbar. Cyberkriminelle richten ihre Angriffe zunehmend auf genau diese Schwachstellen – etwa über kompromittierte Prozesse oder Schadsoftware, die sich gezielt im RAM einnistet. Klassische Verschlüsselung greift hier zu kurz, denn sie schützt lediglich ruhende oder übertragene Daten. Wer digitale Souveränität bewahren will, muss daher weiterdenken – bis hin zur Ebene der aktiven Nutzung.
Data-in-Use: Warum der Schutz aktiver Daten neue Ansätze erfordert
Daten durchlaufen in IT-Systemen verschiedene Zustände – sie ruhen auf Speichermedien („data at rest“), werden übertragen („data in transit“) oder befinden sich in aktiver Nutzung („data in use“). Genau letzterer Zustand stellt die größte Herausforderung dar, weil Daten in diesem Moment entschlüsselt und damit potenziell lesbar sind. Dies gilt sowohl für Rechenzentren als auch für Cloud-Anwendungen, in denen Daten von mehreren Instanzen gleichzeitig verarbeitet werden. Angreifer nutzen diesen Moment gezielt aus – beispielsweise durch Memory Scraping oder durch Angriffe auf laufende Prozesse, bei denen Inhalte aus dem Arbeitsspeicher extrahiert werden.
Der Schutz aktiver Daten erfordert daher Lösungen, die über klassische Firewalls und Verschlüsselung hinausgehen. Es geht um isolierte Rechenprozesse, Zugriffsschutz in Echtzeit und transparente Protokollierung. In vielen Unternehmen fehlt jedoch das Bewusstsein für diese Bedrohungslage. Erst wenn eine incident response nach einem Sicherheitsvorfall stattgefunden hat, wird klar, wie dringend Schutzmechanismen für die Datenverarbeitung selbst gebraucht werden. Entscheidend ist, die IT-Sicherheitsarchitektur so zu gestalten, dass sie Angriffe auch während der Nutzung erkennt und abwehrt – und nicht erst danach dokumentiert.
Confidential Computing: Hardwarebasierte Sicherheit auf dem nächsten Level
Confidential Computing stellt einen Paradigmenwechsel in der IT-Sicherheit dar. Statt Daten ausschließlich durch Softwaremechanismen zu schützen, verlagert sich der Fokus auf hardwarebasierte Isolation. Diese Technologie ermöglicht es, sensible Informationen in einem speziell geschützten Bereich des Prozessors zu verarbeiten – dem sogenannten Trusted Execution Environment (TEE). Dort bleiben selbst für Administratoren, Hypervisoren oder Betriebssysteme keinerlei Einsichten möglich.
Besonders relevant ist Confidential Computing für Unternehmen, die cloudbasierte Infrastrukturen nutzen. Denn dort laufen Anwendungen oft auf gemeinsam genutzter Hardware. Ohne zusätzliche Schutzmaßnahmen sind Daten in Nutzung potenziell für andere Instanzen einsehbar. Durch Confidential Computing wird dieser Zugriff konsequent unterbunden, selbst gegenüber privilegierten Nutzern. So entsteht eine neue Form der Datensouveränität, die klassische Verschlüsselung sinnvoll ergänzt.
Der Aufwand für die Implementierung ist überschaubar – viele Cloud-Anbieter stellen bereits entsprechende Umgebungen bereit. Wichtig ist jedoch, dass auch die Softwarearchitektur diese neuen Möglichkeiten gezielt nutzt. Unternehmen, die bereits Erfahrungen mit incident response gemacht haben, erkennen hier schnell den Mehrwert: Angriffe auf Daten in Nutzung lassen sich so präventiv ausschließen, statt sie im Nachgang mühselig analysieren zu müssen.
Trusted Execution Environments (TEE) im Unternehmenseinsatz verstehen und nutzen
Trusted Execution Environments (TEE) sind abgeschottete Ausführungsbereiche innerhalb eines Prozessors, die ausschließlich für autorisierte Anwendungen zugänglich sind. Innerhalb dieses isolierten Bereichs können Daten verarbeitet werden, ohne dass das Hauptbetriebssystem oder andere Prozesse Zugriff erhalten. Das bedeutet konkret: Selbst wenn ein System kompromittiert wird, bleiben die Informationen im TEE vor Zugriffen geschützt.
Für Unternehmen ist der Einsatz von TEE besonders interessant bei der Verarbeitung hochsensibler Daten – etwa bei Finanztransaktionen, medizinischen Informationen oder geistigem Eigentum. Anwendungen, die in diesen geschützten Umgebungen laufen, profitieren nicht nur von technischer Isolation, sondern auch von einem deutlich geringeren Angriffsvektor. Ein gezielter Einbruch in den Arbeitsspeicher – ein häufiges Ziel vieler Attacken – bleibt bei Einsatz eines TEE wirkungslos.
Die Integration solcher Umgebungen ist eng an die eingesetzte Hardware gebunden. Moderne CPUs bieten standardisierte TEE-Funktionen, etwa Intel SGX oder ARM TrustZone. Entscheidend ist, dass IT-Abteilungen die verfügbaren Optionen gezielt bewerten und in ihre Sicherheitsstrategie einbinden. Wer dies frühzeitig umsetzt, kann im Ernstfall eine incident response auf ein Minimum reduzieren, weil kritische Daten nie außerhalb des gesicherten Bereichs sichtbar werden.
Sichere Datenverarbeitung im Team: Wie Zugriffskontrolle und Rechtevergabe zusammenspielen
Sicherheit bei der Datenverarbeitung endet nicht bei der Technologie – sie beginnt mit der organisatorischen Kontrolle. Gerade in kollaborativen Arbeitsumgebungen, in denen mehrere Mitarbeitende gleichzeitig auf sensible Informationen zugreifen, ist eine feingranulare Rechtevergabe essenziell. Wer darf welche Daten sehen, bearbeiten, weitergeben oder löschen? Diese Fragen müssen nicht nur technisch, sondern auch strategisch beantwortet werden.
Zugriffskontrollsysteme wie Role-Based Access Control (RBAC) oder Attribute-Based Access Control (ABAC) bieten hier differenzierte Möglichkeiten. Sie ermöglichen es, Berechtigungen nicht nur auf Abteilungs- oder Funktionsbasis, sondern auch abhängig von Zeit, Ort und Kontext zu vergeben. Ergänzend sollten Zugriffsvorgänge lückenlos protokolliert werden – nicht als Kontrollmaßnahme, sondern zur Nachvollziehbarkeit im Sinne der Compliance.
Fehlende Struktur bei der Rechtevergabe führt häufig zu vermeidbaren Sicherheitslücken. In vielen Fällen lassen sich Sicherheitsvorfälle auf übermäßige oder falsch vergebene Berechtigungen zurückführen. Eine professionelle incident response kann zwar aufklären, jedoch nicht rückgängig machen, was bereits kompromittiert wurde. Umso wichtiger ist es, den Schutz sensibler Daten über Prozesse abzusichern – mit klaren Regeln, regelmäßigen Audits und einer Kultur der Verantwortung.
Wer schreibt hier: Torsten Seidel
Gambio Shop-Einrichtung und Pflege
Mehr über den Autor...