KRITIS-Gesetz: Confidential Computing als Schlüsselelement für den IT-Schutz

Anfang 2026 tritt für die Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland das Dachgesetz für den Schutz und die Resilienz von Anlagen und Systemen in Kraft. Insbesondere bei der IT-Infrastruktur erwartet die betroffenen Unternehmen ein herausfordernder Balanceakt. Denn: Wer künftig mit Cloud-Technologien die geschäftliche Nutzung seiner sensiblen Daten vorantreiben möchte, muss ein gesundes Gleichgewicht zwischen Datendemokratisierung und möglichst umfassender Sicherheit nach dem Stand der Technik herstellen.

Vom KRITIS-Gesetz betroffen sind unter anderem Unternehmen aus dem Telekommunikationssektor (Foto: Telefónica Deutschland).

IT-Pflichten für KRITIS-Betreiber

KRITIS-Betreiber sind mit Inkrafttreten des Gesetzes gefordert, selbstverantwortlich alle erforderlichen Maßnahmen zu ergreifen, um potenziellen Gefahren aus der Cyberwelt mit Nachdruck zu begegnen. Zu den Pflichten zählen:

• IT-Sicherheit: Die Betreiber müssen geeignete organisatorische und technische Schutzmaßnahmen umsetzen und regelmäßige Risikoanalysen sowie Resilienzpläne erstellen.
• Angriffserkennung: Es sind leistungsfähige Systeme zur Erkennung von IT-Sicherheitsvorfällen zu schaffen.
• Meldepflicht: Erhebliche IT-Störungen oder Beeinträchtigungen sind unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
• Nachweispflichten: Alle zwei Jahre müssen die getroffenen IT-Sicherheitsmaßnahmen durch Audits oder Prüfungen nachgewiesen werden.

Bei Verstößen gegen diese Vorgaben drohen Bußgelder und behördliche Anordnungen bis hin zu Einschränkungen des Betriebs – ganz abgesehen vom Vertrauensverlust und Imageschaden, den Sicherheitsvorfälle mit sich bringen.

Digitale Souveränität als Zielbild

Es ist offensichtlich: Je mehr Mitarbeitende über Cloud-Dienste in die unternehmensweite Datenanalyse involviert werden, desto größer ist die Gefahr von Sicherheitslücken bzw. -verstößen – womit sich auch die Einhaltung der KRITIS-Vorschriften zunehmend anspruchsvoll gestaltet. Schließlich können sich die Unternehmen bei der Übermittlung und Analyse personenbezogener Daten nicht mehr auf das Privacy-Shield-Rahmenwerk berufen, das vormals den Datentransfer zwischen den EU-Ländern und in den USA ansässigen Cloud-Providern regelte.

KRITIS-Betreiber sind folglich gefordert, eine möglichst umfassende digitale Souveränität anzustreben. Ziel ist, sich eigenverantwortlich und unabhängig im digitalen Raum bewegen zu können. Es gilt, die volle Kontrolle über die eigenen Daten und die eigene Infrastruktur zu wahren. Ein Zugriff durch externe Dritte soll konsequent vermieden werden. Ein wichtiger Baustein kann hierbei Confidential Computing bilden – ein Sicherheitskonzept, das Daten nicht nur bei der Speicherung und Übertragung schützt, sondern auch während der Verarbeitung.

Umfassende Sicherheit für sensible Daten

Confidential Computing basiert auf sogenannten Trusted Execution Environments. Dabei handelt es sich um isolierte Bereiche auf vorhandenen Cloud-Datenplattformen, in denen die Nutzenden ihre Datenanalysen nur mit eigens bereitgestellten Sicherheitscodes durchführen können. Zusammen mit den gängigen Schutzmaßnahmen für die Datenspeicherung und -übertragung wird letztlich eine Ende-zu-Ende-Verschlüsselung ermöglicht, die unbefugte Zugriffe kategorisch ausschließt – Cloud-Provider inklusive. Der Betrieb von Anwendungen und der Einsatz auch von besonders sensiblen Daten findet in einem jederzeit vertrauenswürdigen Umfeld statt. Die digitale Souveränität wird gestärkt.

Confidential Computing ermöglicht eine Ende-zu-Ende-Verschlüsselung, bei der sensiblen Daten jederzeit vor externen Zugriffen geschützt sind. (Grafik: ORAYLIS)

Vor dem Hintergrund der KRITIS-Gesetzgebung erfüllen die Betreiber kritischer Infrastruktur somit die folgenden Anforderungen:

• Umfassende IT-Sicherheit nach dem Stand der Technik
• Schutz der Infrastruktur vor unbefugten, externen Zugriffen
• Schutz sensibler, personenbezogener Daten bei der Cloud-Nutzung
• Nachweisbare technische Maßnahmen, wie etwa „Remote Attestation“

Azure Confidential Computing als bewährtes Konzept

Technische Lösungen für Confidential Computing werden gegenwärtig vielerorts entwickelt. Ein fertiges und in der Praxis bereits bewährtes Konzept bietet Microsoft in Kooperation mit Databricks. Ausgangspunkt für das „Azure Confidential Computing“ bildet ein modernes Data Lakehouse auf Grundlage von Azure Cloud Diensten, bei dem Databricks als Kernelement der Datenverarbeitung und -bereitstellung fungiert. In eine solche Lösungsarchitektur lassen sich nahtlos autonome Enklaven in Form von virtuellen Maschinen integrieren, die über eine aufwändige In-Memory-Verschlüsselung verfügen.

Beispielhafter Aufbau eines Azure Databricks Lakehouses mit Confidential Computing. (Grafik: ORAYLIS)

Gleichzeitig können alle KRITIS-relevanten Schutz- und Monitoring-Mechanismen schon in der Planung berücksichtigt und exakt auf die Ansprüche des betreffenden Unternehmens zugeschnitten werden. Sie fügen sich unmittelbar in die bereits bestehenden Sicherheits- und Compliance-Strukturen des Lakehouses ein, die unter anderem vom Unternehmen verwaltete Schlüssel für Daten im Ruhezustand sowie private Verbindung über sichere Protokolle vorsehen.

Organisatorische Pflichten erfordern Beratung

Durch dieses Vorgehen wird sowohl ein sicherer als auch effizienter Umgang mit sensiblen Daten bei der geschäftlichen Analyse ermöglicht. Unternehmen und deren Anwendende können sich die Vorteile und Potenziale ihrer cloudbasierten Data-&-AI-Plattform in vollem Umfang zu Nutze machen und nach Bedarf skalieren. Gleichzeitig haben die Verantwortlichen die Gewissheit, auf technologischer Ebene allen rechtlichen Verpflichtungen der KRITIS-Gesetzgebung nachzukommen.

Was die Implementierung von Confidential Computing nicht leisten kann, sind vor allem die organisatorischen Aspekte des KRITIS-Gesetzes. Hierzu zählen:

• Entwicklung sicherheitsrelevanter Rollen und Verantwortlichkeiten
• Aufbau von Meldestrukturen und -prozessen bei Störungen
• Entwicklung von Risikoanalysen und Resilienzkonzepten
• Management technischer Devices und Konfigurationen
• Notfallkonzepte zur Scherstellung der „Business Continuity“
• Maßnahmenkataloge zur Angriffserkennung

ORAYLIS betrachtet Sicherheitsthemen stets ganzheitlich. Wir unterstützen große Unternehmen und Konzerne nicht nur beim Aufbau von Azure Databricks Lakehouses, die mittels Confidential Computing höchsten Schutzstandards nach dem Stand der Technik erfüllen. Ebenso beraten wir Sie kompetent zu allen organisatorischen Fragestellungen. Sprechen Sie uns an, wenn Sie Ihr Unternehmen vollumfassend auf die KRITIS-Gesetzgebung vorbereiten wollen.