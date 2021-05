Der Einsatz modernster Technologien kann die Bekämpfung der Covid-Pandemie erheblich unterstützen. So schreibt die EU-Kommission auf ihrer Webseite: „Tracking- und Warn-Apps können helfen, die Infektionskette zu durchbrechen. Sie können Leben retten, indem sie die manuelle Rückverfolgung ergänzen.“ SAP hat sich diesem Problem angenommen und gemeinsam mit Intel die Pandemic Cohort Management Suite entwickelt. Mit dieser Suite lassen sich Besprechungen, Veranstaltungen und ähnliche Zusammenkünfte sicherer durchführen. Die Kernfunktion der App besteht aus nachweisbaren Aufzeichnungen, sodass kritische Kontakte schnell und korrekt nachverfolgt werden können, um so die Infektionsketten zu durchbrechen. Auf diese Art unterstützt die Software Organisationen und Unternehmen bei ihrem Kampf gegen die Corona-Ausbreitung unter Mitarbeitern, Kunden und Geschäftspartnern.

SAP setzt die Suite inzwischen für sein Besucherzentrum ein. „Wir müssen dafür sorgen, dass sich unsere Kunden absolut sicher fühlen können, wenn sie uns besuchen. Dazu gehören nicht nur die üblichen Schutzmaßnahmen, sondern auch das Erfassen ihrer Daten in Übereinstimmung mit der DSGVO“, sagt Heather Morrison, Chefin des Global SAP Experience Centers. Damit spricht sie einen wichtigen Punkt an, denn eines der besonderen Probleme von Tracking-Apps ist der Datenschutz. So fordern die Bundesbehörden hierfür eine durchgehende End-to-End-Verschlüsselung. Das heißt, es muss sichergestellt sein, dass alle Daten auch während der Verarbeitung immer geschützt sind.

Auch bei der Stadt Heidelberg, einem weiteren Pilotanwender, hat der Datenschutz allerhöchste Priorität. „Die SAP-Lösung ist genau das, was wir brauchen, denn wir benötigen die Daten und sind auf der Suche nach geeigneten Tools, die uns den dafür erforderlichen Datenschutz bieten“, sagt Heidelbergs Bürgermeister Eckart Würzner über die von Intel und SAP entwickelte Lösung.

Confidential Computing: Höchstmöglicher Datenschutz

Um die hohen Anforderungen an den Datenschutz zu gewährleisten setzt SAP auf „Confidential Computing“, ein Datenschutz-Konzept, das vom gleichnamigen Konsortium entwickelt wurde. „Confidential Computing“ besteht im Wesentlichen aus einer vertrauenswürdigen Laufzeitumgebung (Trusted Execution Environment, TEE), in der Daten und Programme, einschließlich des Betriebssystems und des Cloud-Service-Stacks, isoliert und abgeschirmt verarbeitet werden. Damit erreicht der Schutz von Daten und Anwendungen eine neue Dimension, denn diese Schutzmechanismen sind so weitreichend, dass selbst Cloud-Provider keine Möglichkeit haben, auf die Daten während der Verarbeitung zuzugreifen. Deshalb setzen viele Cloud-Provider inzwischen verstärkt auf diese neuen Technologien.

Beispielsweise bietet Microsoft sein „Azure Confidential Computing“ mit den virtuellen Azure-Computern der DCsv2-Serie an, die mit den neuen Intel Prozessoren bestückt sind. Das gewährleistet die Kontrolle über die Daten während der gesamten Lebensdauer, den Schutz und die Überprüfung der Integrität von Code in der Cloud. Es stellt zudem sicher, dass die Daten und der Code des Cloud-Anwenders außerhalb des Zugriffs des Cloud-Anbieters bleiben.

Neuste Intel® Xeon® Prozessoren bieten Sicherheit und Performance

Die virtuellen Azure-Computer basieren auf den neuesten skalierbaren Intel® Xeon® Prozessoren der 3. Generation. Diese bieten eine sehr hohe Leistung sowie die native Unterstützung zahlreicher Security-Funktionen. Dazu gehören Crypto Acceleration mit integrierter Verschlüsselung für die schnellere Verarbeitung von Vector AES-, SHA- und RSA/DH-Protokollen, die Total Memory Encryption (TME) für die vollständige physische Speicherverschlüsselung sowie die Platform Firmware Resilience (PFR).

Ein besonders wichtiges Feature sind die Intel® Software Guard Extensions (Intel® SGX) mit einer Enklaven-Schutzfunktion von bis zu 1 TB. Das sind Bereiche innerhalb eines Prozesses, die speziell durch die CPU geschützt werden. Hier sind alle Zugriffe – auch die von privilegierten Prozessen – durch die CPU kontrolliert. Es gibt keine Möglichkeit, Daten oder Code innerhalb einer Enklave anzuzeigen - auch nicht mit einem Debugger. Sobald mit nicht vertrauenswürdigem Code versucht wird, den Inhalt im Arbeitsspeicher der Enklave zu ändern, wird die Umgebung deaktiviert und die Durchführung der Vorgänge verweigert.

Mit Hilfe von Intel SGX können die Entwickler ihre Software besser vor Manipulationen schützen, denn sogar auf bereits kompromittierten Betriebssystemen kann der Code sicher ausgeführt werden. Trotzdem bewirken diese umfangreichen Schutz- und Sicherheitsfunktionen keine Performance-Beeinträchtigung. „Normalerweise sind die Daten auf CPU-Ebene unverschlüsselt, doch bei den skalierbaren Intel Xeon Prozessoren mit Intel SGX bleiben die Daten auch hier verschlüsselt, damit bietet unsere Pandemic Cohort Management Suite einen besonders hohen Schutz“, sagt Kai Wussow, Leiter der digitalen Transformation bei SAP.