Selbst wenn Ihr Cloud-Anbieter Confidential Computing anbietet, bleiben Lücken. Hier erfahren Sie, was die Anbieter leisten, wo sie aufhören und warum Contrast und Privatemode AI das Bild vervollständigen.
Moritz Eckert
VP Product & Technology
Confidential Computing gegenüber dem Cloud-Anbieter (CSP) ist eine binäre Eigenschaft. Entweder können der CSP und seine Administratoren Ihre Daten strukturell nicht lesen, oder sie können es. Es gibt kein „größtenteils vertraulich“ und keine „teilweise Attestierung“. Der gesamte Zweck der Technologie besteht darin, den Cloud-Anbieter aus der Vertrauensgrenze zur Laufzeit zu entfernen. Und die Beweiskette, die das belegt, verläuft entweder über Parteien, die vom Anbieter unabhängig sind, oder eben nicht.
Ob das gelingt, hängt von der Verifikation ab. Sie müssen unabhängig und mit in Hardware verankerten Nachweisen belegen können, dass die Workload, die auf Ihren Daten läuft, exakt der von Ihnen vorgesehene Code ist und auf einer vertrauenswürdigen Laufzeitumgebung läuft. Cloud-Anbieter, sowohl die Hyperscaler als auch die wachsende Zahl regionaler und kleinerer Anbieter, die nun Confidential Computing vermarkten, liefern die Primitive auf Silizium-Ebene wie Confidential VMs und zunehmend Confidential Container. Sie liefern sie jedoch in einem Stack, in dem der Prüfer und die geprüfte Partei dieselbe sind und in dem der Quellcode, der zum Reproduzieren der Attestierungs-Referenzwerte nötig wäre, weder Kunden noch Auditoren zur Verfügung steht.
Jeder anbietereigene Attestierungsablauf hängt letztlich von genau diesem Anbieter ab, jeder Stack ist proprietär, und keiner integriert sich durchgehend in die Kubernetes- und Infrastructure-as-Code-Schicht, auf der produktive Cloud-Workloads tatsächlich laufen. Gemessen an der binären Sicht auf Confidential Computing steht das auf der falschen Seite der Linie: nicht vertraulich.
Die Produkte von Edgeless Systems sind so konzipiert, dass sie auf der richtigen Seite landen: unabhängige, vom Kunden überprüfbare Attestierung, verankert in quelloffenem, reproduzierbar gebautem Code und in Kubernetes integriert, so wie cloud-native Systeme gedacht sind.
Wenn Sie Confidential Computing in der Cloud einsetzen, beantworten Sie eine Frage: Wer darf diese Daten lesen? Der Kernzweck von Confidential Computing ist es, den CSP, sein Rechenzentrumspersonal, die Hypervisor-Betreiber und die gemeinsam genutzte Infrastrukturschicht vollständig von dieser Liste zu streichen, nicht nur teilweise. Die zugrunde liegende Technologie ist klar definiert: hardwaregestützte Trusted Execution Environments (AMD SEV-SNP, Intel TDX), Speicherverschlüsselung zur Laufzeit und Remote Attestation, die CSPs als Primitive anbieten. Die Technologie ist solide. Die Frage ist, ob die Art ihrer Bereitstellung die binäre Eigenschaft bewahrt, für die die Technologie geschaffen wurde, oder sie stillschweigend in eine schwächere Aussage verwandelt, für die der CSP weiterhin selbst bürgen kann.
Confidential Computing erfolgreich einzuführen ist allerdings keine Frage des Umlegens eines VM-Schalters. Die Entscheidung teilt sich in zwei schwierigere Fragen:
Die CSP-eigenen Angebote für Confidential Computing beantworten beide Fragen nur unzureichend. Die folgenden zwei Säulen erklären, warum.
Das Bedrohungsmodell, das Organisationen für Confidential Computing interessiert, beginnt mit einer Festlegung: Der CSP darf nicht Teil unserer Trusted Computing Base sein. Jede daraus folgende Aussage, ob Datenschutz, Souveränität, regulatorische Compliance oder Multi-Party-Trust, hängt davon ab.
Attestierung ist der Mechanismus, der diese Aussage überprüfbar macht. Eine Workload misst sich selbst, die Hardware signiert die Messwerte mit einem Schlüssel, den der CSP nicht fälschen kann, und der Dateneigentümer oder ein in seinem Auftrag handelnder Auditor prüft diese Messwerte gegen bekannte, korrekte Referenzwerte für den Code, der laufen soll. Die Vertrauenskette endet beim Silizium-Hersteller, nicht beim Cloud-Anbieter.
Das funktioniert nur, wenn zwei Voraussetzungen erfüllt sind:
Das Update 2026 des BSI-Kriterienkatalogs C5 (Cloud Computing Compliance Criteria Catalogue) führt explizite Kriterien für Confidential Computing ein. OPS-32 verlangt ein dokumentiertes technisches Rahmenwerk mit TEEs, Hardware-Attestierungen und Key-Management und hält ausdrücklich fest, dass „weder der Cloud-Anbieter noch eine andere unbefugte Partei in der Lage sein darf, auf die Daten des Cloud-Kunden oder die zu ihrem Schutz verwendeten Schlüssel zuzugreifen“ (OPS-32.03B). OPS-33 verlangt anschließend, dass Remote Attestation „auf kryptografischen Mitteln beruht, die in vertrauenswürdiger Hard- und Software verankert sind“ (OPS-33.02B), und dass der Cloud-Anbieter „eine Schnittstelle bereitstellt, über die der Kunde die Integrität der Remote Attestation überprüfen kann“ (OPS-33.03B).
OPS-33.01AC bewertet vier Betriebsszenarien danach, wo die Attestierungsnachweise verifiziert werden. Die Einstufung ist eindeutig:
| Betriebsszenario (C5:2026 OPS-33.01AC) | Vertrauensniveau |
|---|---|
| Der Kunde holt die Nachweise von der TEE und verifiziert sie in seiner eigenen vertrauenswürdigen Umgebung. | Very strong |
| Der Anbieter führt die Verifikation durch, der Kunde verifiziert die Nachweise jedoch erneut in seiner eigenen vertrauenswürdigen Umgebung. | Very strong |
| Der Kunde holt die Nachweise und sendet sie an einen Verifikationsdienst, dem er vertraut. | Strong |
| Der Anbieter holt und verifiziert die Nachweise und gibt dem Kunden nur ein Ergebnis zurück. | Weak |
Die meisten CSP-eigenen Umsetzungen von Confidential Computing fallen standardmäßig in Szenario 3 oder 4. Die C5-Einstufung verwendet abgestufte Begriffe, „weak“ und „strong“, doch die binäre Sicht ist schärfer: In Szenario 4 verifiziert sich der CSP selbst, und Sie können das Ergebnis nicht nutzen, um zu beweisen, dass der CSP Ihre Daten nicht lesen kann. Das Versprechen von Confidential Computing gegenüber dem CSP ist in diesem Szenario nicht teilweise erfüllt, es ist gar nicht erfüllt. Die Szenarien 1 und 2, die einzigen mit dem Ergebnis „very strong“, sind die einzigen, in denen die verifizierende Schicht unabhängig vom Anbieter ist. Genau das liefern Contrast und Privatemode AI strukturell: Nachweise, die direkt von der TEE abgerufen und vom Kunden verifiziert werden (oder vom Contrast Coordinator in seinem Auftrag, selbst eine vertrauliche, attestierbare Workload), gegen Referenzwerte, die der Kunde aus Open Source ableiten kann.
Confidential Computing, wie Cloud-Anbieter es heute bereitstellen, ist ein Primitiv: eine VM, die im Speicher verschlüsselt ist, mit Hardware-Attestierung. Doch Organisationen wechseln nicht wegen VMs in die Cloud. Sie wechseln wegen der Schicht darüber: Managed Kubernetes, Infrastructure as Code, Identity, Key-Management, Observability, GitOps. Eine vertrauliche Schicht, die diese Realität ignoriert, erzwingt eine unattraktive Wahl zwischen Sicherheit und Betreibbarkeit.
Durchgehender Schutz für ein cloud-natives Deployment erfordert mehr als eine Confidential VM. In der Praxis bedeutet das:
Die folgende Tabelle fasst zusammen, wo die Lücke liegt. Die CSPs liefern das Silizium und die VM. Was fehlt, ist die verifizierende, integrierende Schicht darüber. Ohne diese Schicht ist die Workload zwar im Speicher verschlüsselt, doch die binäre Sicherheitseigenschaft „der CSP kann diese Daten nicht lesen“ gilt nicht wirklich, weil der CSP weiterhin den Verifikationspfad kontrolliert, der das beweisen würde.
| Aspekt | CSP-eigenes Angebot | Edgeless Systems |
|---|---|---|
| Hardwaregestützte Speicherverschlüsselung (CVMs) | Ja | Ja (gleiche Hardware) |
| Attestierung unabhängig von der ausgeschlossenen Partei | Nein, CSP-kontrollierter Verifikationspfad | Ja, Nachweise vom Kunden abgerufen und verifiziert |
| Attestierung auf Workload-Ebene (pro Pod) | In der Regel nein, VM- oder Dienst-Ebene | Ja, jeder Pod wird vermessen und attestiert |
| Ausschluss des Anbieters (CSP und Cluster-Betreiber außerhalb des Datenpfads) | Nein, Verifikation hängt vom Anbieter ab | Ja, durchgesetzt per Hardware, Manifest und Runtime-Policy |
| Cloud-native K8s-Integration (RuntimeClass, IaC) | Teilweise; proprietäre SDKs und Abläufe | Drop-in, deklarativ; bestehende Helm/Kustomize/ArgoCD |
| Portabilität über CSPs hinweg und auf Bare Metal | Nein, CSP-spezifisch | Ja, dasselbe Modell über Clouds und on-prem |
| Verschlüsselung bei der Übertragung mit attestierten Workload-Identitäten | Nicht eingebaut | Eingebaut |
| Verschlüsselung bei Speicherung mit erst nach Attestierung freigegebenen Schlüsseln | Begrenzt; erfordert meist Zusatzdienste | Eingebaut; Schlüssel erst nach Attestierung freigegeben |
| BSI C5:2026 OPS-33 Attestierungsstärke | Typischerweise weak | Very strong |
Contrast: vertrauliches Kubernetes, durchgängig. Ein quelloffenes Confidential-Computing-Framework, das jeden Pod in seiner eigenen CVM ausführt, ihn gegen ein kryptografisches Manifest attestiert und ein Service Mesh mit mTLS bereitstellt, das in der Attestierung verankert ist. Bestehende Container laufen unverändert. Reproduzierbare Builds ermöglichen es jedem Auditor, Referenzwerte unabhängig zu ermitteln. Contrast läuft auf Bare Metal und auf Managed Kubernetes mit hybriden Bare-Metal-Knoten.
Privatemode AI: ein vertraulicher SaaS, gebaut auf Contrast. Es ist ein gehosteter GenAI-Inferenzdienst, den Kunden über eine OpenAI- und Anthropic-kompatible API nutzen. Es ist keine Kubernetes-Schicht, die Sie ausrollen, sondern ein SaaS, den Sie aufrufen. Das Besondere ist die vertrauliche Schicht darunter: Der gesamte Dienst läuft auf Contrast, jeder Inferenz-Worker wird vom Client einzeln attestiert, bevor ein Prompt gesendet wird, und Prompts und Antworten bleiben selbst vor Edgeless Systems und der zugrunde liegenden Infrastruktur vertraulich. Privatemode AI ist der Beleg dafür, dass mit Contrast als Fundament selbst ein SaaS-Anbieter von den Daten seiner eigenen Kunden ausgeschlossen werden kann.
Beide Produkte verfolgen denselben Ansatz bei der Attestierung: quelloffen, reproduzierbar gebaut, in Hardware verankert und vom Kunden überprüfbar. Contrast ist die cloud-native vertrauliche Schicht für Kubernetes-Workloads. Privatemode AI ist das, was diese Schicht für eine der Workloads ermöglicht, bei denen der Ausschluss des Anbieters nicht länger optional ist: GenAI-Inferenz.
Confidential Computing ist eine binäre Eigenschaft. Die Vertraulichkeitszusage gilt entweder auf eine Weise, die der Kunde verifizieren kann, unabhängig von den Parteien, die die Workload betreiben, oder sie gilt nicht. Cloud-Anbieter stellen die zugrunde liegenden Primitive bereit, können aber nicht zugleich die Partei sein, die sie verifiziert. Und die Angebote, die sie darüberlegen, selbst die, die weiter oben im Stack ansetzen, sind proprietär und an eine einzige Cloud gebunden, was Verifikation und Portabilität wieder in die Hände des Anbieters legt. Beide Lücken zu schließen, Verifikation und Integration, dafür sind die Produkte von Edgeless Systems gebaut. Um auf der überprüfbaren Seite dieser Linie zu landen und es einem Auditor, einer Regulierungsbehörde oder einem Kunden zu beweisen, muss jedes Glied der Verifikationskette unabhängig von den Parteien sein, die Sie ausschließen wollen: vom verifizierten Code über die Referenzwerte, gegen die er geprüft wird, bis zum kryptografischen Nachweis selbst.