Der Ein­satz von KI-Sys­te­men in stark regu­lier­ten Berei­chen wie Gesund­heits­we­sen und Finanz­sek­tor schei­tert häu­fig an Sicher­heits- und Com­pli­ance-Anfor­de­run­gen. Forta­nix und NVIDIA haben eine Platt­form ent­wi­ckelt, die Con­fi­den­ti­al Com­pu­ting mit kryp­to­gra­fi­schem Schlüs­sel­ma­nage­ment kom­bi­niert. Die Lösung zielt dar­auf ab, die­se tech­ni­schen und regu­la­to­ri­schen Hür­den zu reduzieren.

Das Pro­blem: KI und Daten­schutz in regu­lier­ten Umgebungen

KI-Sys­te­me benö­ti­gen gro­ße Daten­men­gen für Trai­ning und Infe­renz. In Bran­chen wie dem Gesund­heits­we­sen, dem Finanz­sek­tor oder im öffent­li­chen Dienst unter­lie­gen die­se Daten jedoch stren­gen recht­li­chen Auf­la­gen. Daten­schutz­grund­ver­ord­nung, HIPAA, bran­chen­spe­zi­fi­sche Com­pli­ance-Vor­ga­ben und natio­na­le Daten­sou­ve­rä­ni­täts­an­for­de­run­gen erschwe­ren den Ein­satz cloud­ba­sier­ter KI-Lösun­gen erheblich.

Her­kömm­li­che Ver­schlüs­se­lungs­an­sät­ze schüt­zen Daten im Ruhe­zu­stand und wäh­rend der Über­tra­gung, nicht aber wäh­rend der Ver­ar­bei­tung. Genau hier setzt die gemein­sa­me Ent­wick­lung von Forta­nix und NVIDIA an^[1]Forta­nix and NVIDIA part­ner on AI secu­ri­ty plat­form for high­ly regu­la­ted indus­tries.

Tech­ni­sche Grund­la­gen: Con­fi­den­ti­al Computing

Die Platt­form basiert auf NVI­DI­As Con­fi­den­ti­al Com­pu­ting GPUs. Die­se nut­zen hard­ware­ba­sier­te Trus­ted Exe­cu­ti­on Envi­ron­ments (TEEs), die Berech­nun­gen in iso­lier­ten Spei­cher­be­rei­chen durch­füh­ren. Selbst pri­vi­le­gier­te Sys­tem­zu­grif­fe oder Hyper­vi­sor-Ope­ra­tio­nen kön­nen auf die­se Enkla­ven nicht zugreifen.

Forta­nix ergänzt dies durch zwei Soft­ware-Kom­po­nen­ten: Den Data Secu­ri­ty Mana­ger (DSM) für kryp­to­gra­fi­sches Schlüs­sel­ma­nage­ment und den Con­fi­den­ti­al Com­pu­ting Mana­ger (CCM) für die Orches­trie­rung siche­rer Workloads. Die Kom­bi­na­ti­on ermög­licht kryp­to­gra­fi­sche Attes­tie­rung – ein Ver­fah­ren, bei dem Code und Umge­bung vor der Aus­füh­rung veri­fi­ziert werden.

In der Pra­xis bedeu­tet dies: Daten wer­den ver­schlüs­selt gespei­chert, ver­schlüs­selt über­tra­gen und blei­ben auch wäh­rend der GPU-Ver­ar­bei­tung ver­schlüs­selt. Ent­schlüs­se­lung erfolgt aus­schließ­lich inner­halb der hard­ware­ge­schütz­ten Enklave.

Archi­tek­tur und Deployment-Optionen

Die Platt­form unter­stützt ver­schie­de­ne Bereitstellungsszenarien:

On-Pre­mi­ses: Voll­stän­di­ge Kon­trol­le über Hard­ware und Infra­struk­tur, für Orga­ni­sa­tio­nen mit strik­ten Datenlokalisierungsanforderungen.

Air-Gap­ped: Phy­sisch vom Inter­net getrenn­te Sys­te­me, rele­vant für Ver­tei­di­gungs­ein­rich­tun­gen und kri­ti­sche Infrastrukturen.

Cloud und Hybrid: Inte­gra­ti­on in bestehen­de Cloud-Umge­bun­gen mit erwei­ter­ten Sicherheitsgarantien.

Die Ska­lie­rung reicht von ein­zel­nen GPU-Sys­te­men bis zu gro­ßen Clus­tern. Unter­neh­men kön­nen bestehen­de KI-Workloads migrie­ren oder neue Infra­struk­tu­ren nach dem NVIDIA AI Fac­to­ry Refe­rence Design aufbauen.

Com­pli­ance-Mecha­nis­men

Für regu­lier­te Bran­chen sind nach­weis­ba­re Com­pli­ance-Eigen­schaf­ten ent­schei­dend. Die Platt­form imple­men­tiert meh­re­re Mechanismen:

Rol­len­ba­sier­te Zugriffs­kon­trol­le (RBAC) beschränkt Berech­ti­gun­gen nach dem Need-to-Know-Prin­zip. Audit-Logs doku­men­tie­ren alle Zugrif­fe auf Daten und Model­le. Das Schlüs­sel­ma­nage­ment ent­spricht FIPS 140–2/3‑Standards. Die Attes­tie­rungs­funk­ti­on pro­to­kol­liert, in wel­cher veri­fi­zier­ten Umge­bung Berech­nun­gen stattfanden.

Die­se Funk­tio­nen sind nicht nach­träg­lich auf­ge­setzt, son­dern in die Archi­tek­tur inte­griert. Das redu­ziert den Auf­wand für Zer­ti­fi­zie­run­gen und regu­la­to­ri­sche Audits.

Post-Quan­tum-Kryp­to­gra­fie

Forta­nix hat Post-Quan­tum-Ver­schlüs­se­lungs­ver­fah­ren inte­griert. Der Hin­ter­grund: Aus­rei­chend leis­tungs­fä­hi­ge Quan­ten­com­pu­ter könn­ten gän­gi­ge asym­me­tri­sche Ver­schlüs­se­lungs­ver­fah­ren wie RSA oder ECC brechen.

Das Bedro­hungs­sze­na­rio “Store now, decrypt later” ist dabei rele­vant: Angrei­fer könn­ten heu­te ver­schlüs­sel­te Daten spei­chern und in eini­gen Jah­ren mit Quan­ten­com­pu­tern ent­schlüs­seln. Für Daten mit lang­fris­ti­ger Ver­trau­lich­keits­an­for­de­rung – etwa medi­zi­ni­sche For­schungs­da­ten oder Geschäfts­ge­heim­nis­se – ist dies ein rea­les Risiko.

Die ein­ge­setz­ten Ver­fah­ren basie­ren auf mathe­ma­ti­schen Pro­ble­men, die auch für Quan­ten­com­pu­ter als schwer lös­bar gel­ten, etwa git­ter­ba­sier­te Kryptografie.

Prak­ti­sche Anwendungsszenarien

Die Platt­form rich­tet sich an spe­zi­fi­sche Anwendungsfälle:

Im Gesund­heits­we­sen ermög­licht sie die Ana­ly­se von Pati­en­ten­da­ten für dia­gnos­ti­sche KI-Model­le, ohne dass Roh­da­ten das Kran­ken­haus ver­las­sen müs­sen. Im Finanz­sek­tor kön­nen Betrugs­er­ken­nung und Risi­ko­be­wer­tung auf sen­si­blen Trans­ak­ti­ons­da­ten lau­fen. Öffent­li­che Ein­rich­tun­gen kön­nen KI für Ver­wal­tungs­pro­zes­se ein­set­zen, ohne gegen Daten­schutz­auf­la­gen zu verstoßen.

Der Nut­zen liegt weni­ger in neu­en KI-Funk­tio­nen als in der Mög­lich­keit, eta­blier­te Ver­fah­ren auf bis­her unzu­gäng­li­che Daten­be­stän­de anzuwenden.

Bewer­tung und Einordnung

Die Forta­nix-NVI­DIA-Platt­form adres­siert ein rea­les tech­ni­sches Pro­blem: Die Lücke zwi­schen KI-Anfor­de­run­gen und Sicher­heits­auf­la­gen. Die Kom­bi­na­ti­on aus Hard­ware-TEEs und Soft­ware-basier­tem Schlüs­sel­ma­nage­ment ist tech­nisch fundiert.

Kri­tisch zu betrach­ten sind die prak­ti­schen Her­aus­for­de­run­gen: Per­for­mance-Over­head durch Ver­schlüs­se­lung, Kom­ple­xi­tät der Schlüs­sel­ver­wal­tung in gro­ßen Sys­te­men und die Not­wen­dig­keit, bestehen­de Work­flows anzu­pas­sen. Zudem blei­ben orga­ni­sa­to­ri­sche und pro­zes­sua­le Com­pli­ance-Anfor­de­run­gen bestehen – die Tech­no­lo­gie ver­ein­facht sie, eli­mi­niert sie aber nicht.

Die Prä­sen­ta­ti­on auf der NVIDIA GTC 2025 wird zei­gen, inwie­weit die­se Ansät­ze bereits in pro­duk­ti­ven Umge­bun­gen ein­ge­setzt wer­den. Ent­schei­dend wird sein, ob der zusätz­li­che tech­ni­sche Auf­wand durch mess­ba­ren Mehr­wert bei Sicher­heit und Com­pli­ance-Kos­ten auf­ge­wo­gen wird.

Die grund­sätz­li­che Rich­tung – Sicher­heit auf Hard­ware­ebe­ne statt aus­schließ­lich durch Soft­ware-Kon­trol­len – ent­spricht dem Stand der For­schung und dürf­te mit­tel­fris­tig zum Stan­dard in sicher­heits­kri­ti­schen KI-Anwen­dun­gen werden.