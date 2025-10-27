Verantwortliche in IT‑Abteilungen von Unternehmen und Behörden sollten Verschlüsselung nicht als einzelne Maßnahme begreifen, sondern als durchgängiges Designelement, das über den gesamten IT‑Lifecycle hinweg Integrität, Vertraulichkeit und Souveränität gewährleistet. Dieser Artikel erklärt, wie Verschlüsselungssysteme, kryptographische Lieferkettenkontrollen und moderne Confidential‑Computing‑Ansätze in ein Life‑cycle‑orientiertes Betriebsmodell eingebettet werden, damit Daten während Ruhe, Transport und Verarbeitung unter der Kontrolle des Dateninhabers bleiben.

Designprinzipien und Governance

Die Grundlage ist eine klare Schlüsselhoheit: Organisationen definieren, wer Eigentümer kryptographischer Schlüssel ist, wer administrativen Zugriff hat und welche betrieblichen Notfallmechanismen gelten. Governance umfasst verbindliche Vorgaben für Algorithmus‑Profile, Schlüssellängen, Rotationstaktiken, Backup‑Strategien und die Bedingungen für Notfallentschlüsselung. Zero Trust bleibt der leitende Architekturgrundsatz, wobei Verschlüsselungs‑ und Attestationsanker die Delegation von Rechten und die Verknüpfung von Identität und Zugriff steuern. Audit‑ und Compliance‑Anforderungen werden durch unveränderliche Audit‑Trails und kryptographische Nachweise (Signaturen, Zeitstempel) abgebildet.

Verschlüsselung entlang des Lifecycles

Verschlüsselung muss in jeder Lifecycle‑Phase spezifisch operationalisiert werden:

Design / Requirements:

Kryptoregime, Schlüssel‑Lifecycle‑Policies und Attestationsanforderungen werden als nichtfunktionale Anforderungen in Architektur‑Dokumenten und Sourcing‑Verträgen festgelegt.

Reproduzierbare, signierte Builds (SLSA‑konform) verhindern Manipulationen in der Lieferkette; Secrets‑Management in CI/CD‑Pipelines trennt Entwicklungs‑ und Laufzeitgeheimnisse.

Testdaten werden pseudonymisiert oder innerhalb geschützter Enklaven verarbeitet; Attestationsergebnisse aus Staging‑Instanzen fließen in die Freigabeprozesse ein.

Schlüsselbereitstellung erfolgt mit Least‑Privilege; HSMs oder vHSMs speichern Root‑Secrets, und Hardware‑Attestation belegt die Integrität der bereitgestellten Laufzeitumgebung.

Laufende Schlüsselrotation, Überwachung von Zugriffsmetriken, Telemetrie zu Attestationen und automatisierte Alarmierung bei Anomalien sichern langfristig Vertraulichkeit und Nachweisbarkeit.

Sichere Schlüsselvernichtung, Widerruf von Zertifikaten und forensisch saubere Abschaltung von Enklaven schließen den Lifecycle und minimieren Wiederherstellungsrisiken.

Diese durchgängige Sicht verhindert Lücken, in denen Daten zwar »at rest« und »in transit« geschützt sind, aber während der Verarbeitung exponiert bleiben.

Technologien für Confidentiality, Integrity und Sovereignty

Drei Technologiefamilien sind heute zentral, um Sicherheit und Souveränität in Clouds zu operationalisieren:

Confidential Computing und Enklaven:

Hardwaregestützte Enklaven isolieren laufende Prozesse gegenüber hypervisor‑ oder Provider‑Kontrolle und ermöglichen datenschutzfreundliche Verarbeitung in gemischten Infrastrukturen. Hardware‑Attestation liefert überprüfbare Belege für die Integrität der Ausfü HSMs und vHSMs mit BYOK/Bring‑and‑Hold‑Your‑Own‑Key‑Fähigkeiten:

Physische oder virtuelle HSM‑Backends erlauben die Trennung von Schlüsselhoheit und Cloud‑ Kunden behalten Eigentum an Root‑Secrets, während Provider Laufzeitfunktionen zur Verfügung stellen. Kryptographische Lieferkettenkontrollen:

Signierte Artefakte, reproduzierbare Builds und SLSA‑Prüfungen erzeugen technische Nachweise, dass deployed Software nie unerkannt verändert wurde.

Kombiniert ergeben diese Technologien eine mehrschichtige Verteidigung: Verschlüsselung schützt Daten ruhend und unterwegs, Enklaven schützen Daten in Benutzung, HSMs sichern Schlüssel, und Lieferkettenkontrollen belegen die Integrität der Softwarebasis.

Operative Umsetzung und technische Integration

Praktische Implementierung folgt konkreten Maßnahmen:

Integrationspunkte in CI/CD:

Build‑Signaturen und automatische Attestation‑Checks sind Gatekeeper im Release‑ Deployment‑Orchestrierung muss Key‑Provisioning‑Workflows mit HSM‑Backends orchestrieren.

APIs für Key‑Lifecycle‑Operationen, Policies für Rotation und Rollback sowie auditierbare Key‑Access‑Logs sind Pflicht.

In Multi‑Cloud‑Szenarien synchronisieren föderierte Key‑Stores die Kontrolle ohne zentralen Single‑Point‑of‑

Attestationsergebnisse, Schlüsselzugriffe und Integritätsmetriken müssen in SIEM und AIOps‑Pipelines einfließen und eskalierbare Workflows für Incident‑Response auslö

Konkrete Playbooks für Key‑Kompromisse, rechtssichere Offenlegungspflichten und gerichtete Wiederherstellung sind zu testen.

Technische Entscheidungen sind an betrieblichen Rollen auszurichten: Security‑Teams definieren Policies, Plattform‑Teams implementieren technische Mechanismen, und Compliance/Legal validiert Auditnachweise.

Messgrößen und Risikokontrolle

Erfolg wird durch messbare Indikatoren gesteuert: Anteil der kritischen Workloads mit Confidential‑Computing‑Schutz, prozentualer Anteil von Schlüsseln unter eigener Hoheit, Zeit bis zur Schlüsselrotation, Anzahl attestierter Deployments pro Monat sowie Anzahl erfolgreicher Lieferkettenprüfungen. Risk‑Heatmaps verbinden Bedrohungsszenarien mit Kontroll‑Metriken und priorisieren Investitionen.

Empfehlungen für Entscheidende in Behörden und Unternehmen

Kurzfristig: Definieren Sie Schlüsselhoheit, integrieren Sie Signaturen in CI/CD und pilotieren Sie vHSM‑Backends für sensible Workloads. Mittelfristig: Führen Sie Confidential‑Computing‑Pilotprojekte ein, automatisieren Sie Attestation‑Checks und bauen Sie föderiertes Key‑Management für Multi‑Cloud‑Szenarien auf. Langfristig: Etablieren Sie einen Lifecycle‑zentrierten Governance‑Prozess, der kryptographische Lieferkettenkontrollen, Audit‑Beweisführung und organisatorische Verantwortlichkeiten dauerhaft verbindet.

Branchenerfahrungen und Partnerschaften zeigen, dass kombinierte Ansätze aus Software‑Integrität, hardwaregestützter Isolation und selbstbestimmtem Schlüsselmanagement ein hohes Maß an Nachweisbarkeit und Souveränität in Cloud‑Umgebungen erzeugen.

Souveränität in der Cloud entsteht nicht allein durch Technologie, sondern durch die konsequente Integration kryptographischer Prinzipien in Governance, Prozesse und Betriebsmodelle. Nur so bleiben Daten und Rechte dort, wo sie rechtlich und operativ hingehören.

Souverän in der Cloud: Adfinis und enclaive sichern die Software Supply Chain

Adfinis, ein international agierender IT-Dienstleister für Open-Source-Lösungen, und das deutsche Confidential-Computing-Unternehmen enclaive geben ihre neue Partnerschaft bekannt. Die Kooperation kombiniert moderne Verschlüsselungstechnologien mit einem durchgängigen IT-Lifecycle-Ansatz und stärkt die Sicherheit und Souveränität in Cloud-Umgebungen.

Cyberattacken zielen immer häufiger auf die Software-Lieferkette: Angreifer schleusen Backdoors, Malware oder Schwachstellen in Open-Source-Komponenten ein, um sich später Zugang zu einer ganzen Reihe von Systemen zu verschaffen, Ransomware zu implementieren oder sensible Daten im laufenden Betrieb auszuspähen. Daher verpflichtet der Cyber Resilience Act Hersteller auch ab 2027 dazu, Nachweise über die Sicherheit ihrer Software-Lieferkette zu erbringen. Adfinis begegnet diesen Herausforderungen proaktiv mit ihrem Secure Supply Chain Management – und verstärkt den Schutz nun mit enclaive’s Confidential Computing. Ob in As-a-Service-Lösungen wie GitLab as a Service, kombiniert mit dem SLSA Framework oder beim souveränen Betrieb von Applikationen in Hyperscaler-Clouds, setzt Adfinis auf diese Technologie. So entsteht der neue Service Confidential Supply Chain.

Confidential Supply Chain: Mathematisch nachweisbare Datenintegrität

Confidential Computing schützt nicht nur Data at rest und Data in transit, sondern auch Data in use über die Verschlüsselung in hardwarebasierten Enklaven, deren Unversehrtheit lässt sich wiederum durch kryptografische Attestation beweisen. enclaive ermöglicht Unternehmen über sein virtuelles Hardware Security Module (vHSM) zudem ein unabhängiges Schlüsselmanagement (Bring and Hold Your Own Key). Anwender behalten damit jederzeit die vollständige Kontrolle über ihre Schlüssel und selbst privilegierte Insider oder Cloud-Provider haben somit keinen Zugriff auf Daten und Code innerhalb der Enklave.

»Confidential Computing ist ein echter Gamechanger für die Sicherheit in der Cloud – und enclaive ist hier mit innovativen Technologien wie dem virtuellen HSM der perfekte Partner für uns. Die Verschlüsselung auf Hardware-Ebene bietet unseren Kunden ein bislang unerreichtes Sicherheitsniveau und lässt sich praktisch überall integrieren. Damit schaffen wir die Basis, dass Unternehmen neue digitale Services entwickeln und betreiben können, ohne Kompromisse bei Sicherheit oder Compliance eingehen zu müssen.«

– Sascha Zimmer, Field CTO bei Adfinis

Adfinis kombiniert diese Technologie im Rahmen ihres Secure Supply Chain Managements mit SLSA-Level-3-konformen Pipelines, die Manipulationen in der Software-Lieferkette durch kryptografisch signierte Builds verhindern. Damit wird die Integrität von Code und Daten erstmals vollumfänglich mathematisch nachweisbar – die Verwirklichung einer vertrauenswürdigen, regulatorisch belastbaren Lieferkette. Unternehmen profitieren so von einer Sicherheitsarchitektur, die nicht nur die Entwicklung, Bereitstellung und den Betrieb von Software zuverlässig schützt, sondern auch die Grundlage für lückenlose Compliance und digitale Souveränität schafft. Adfinis ergänzt dies um ihre 24/7 Managed Services, die auf über 25 Jahren Erfahrung im Open-Source-Umfeld beruhen.

»Open Source ist für Innovation unverzichtbar. Um zunehmende Supply-Chain-Angriffe und steigende regulatorische Anforderungen erfolgreich zu meistern, braucht es Experten wie Adfinis, die Unternehmen sicher durch den gesamten Lifecycle begleiten. Wir freuen uns, mit unseren Confidential-Computing-Lösungen hier einen wertvollen Beitrag zu leisten. Gemeinsam schaffen wir eine nachweislich integre Software-Lieferkette, die gerade für kritische Infrastrukturen enorme Vorteile bringt – von der Einhaltung strenger gesetzlicher Vorgaben bis hin zu echter digitaler Souveränität.«

– Norbert Müller, Chief Strategy Officer bei enclaive

Premiere auf der Smart Country Convention

Adfinis und enclaive stellten die Confidential Supply Chain erstmals vom 30. September bis 2. Oktober 2025 auf der Smart Country Convention in Berlin vor. Gemeinsam mit WX-ONE, nach höchsten Sicherheitsstandards zertifizierter deutscher Cloud-Anbieter, präsentieren die Partner den ersten Cloud-Stack, mit dem sich Souveränität, Vertraulichkeit und Datenintegrität mathematisch wie rechtlich nachweisen lassen.

Wer mehr über die gemeinsame Lösung, Supply Chain Security und Cloud-Souveränität erfahren will findet weitere Informationen zu Adfinis unter https://www.adfinis.com/de-de sowie zu enclaive unter https://www.enclaive.io

______________________________________________

