Hardware-basierte Sicherheitslösungen und die durch sie gebotenen Sicherheitsgarantien bilden die Basis zum Schutz moderner Softwaresysteme. Durch die Isolation von Systemkomponenten durch Hardwaremechanismen können die Größe und Komplexität des Gesamtsystems als auch der individuellen Komponenten reduziert werden. Somit sorgt Isolation für eine Verbesserung der Systemsicherheit, denn eine Reduktion der Komplexität führt in der Regel gleichzeitig zu einer Reduktion der Wahrscheinlichkeiten von Schwachstellen in der Software. In herkömmlichen Computerarchitekturen hängt die Sicherheit einer Anwendung von der Sicherheit aller privilegierten Systemkomponenten, wie etwa dem Betriebssystem, ab. Das Konzept von Trusted Execution Environments (TEEs) überwindet diese Abhängigkeit, d.h. sicherheitskritische Systemkomponenten sind nicht mehr von der Sicherheit des Gesamtsystems abhängig. TEEs stellen isolierte Bereiche innerhalb eines einzelnen Systems bereit, diese erlauben die abgeschottete Ausführung der individuellen Komponenten eines Systems. Das Enclave Computing Paradigma entwickelt das TEE Konzept weiter und bietet in sich geschlossene Isolationsbereiche für Systemkomponenten und Anwendungen. Somit erfüllt es die Anforderungen moderner Software. Es ermöglicht neuartige Anwendungsfälle, da viele parallele, wechselseitig isolierte TEE-Instanzen geschaffen werden, ohne auf komplexe privilegierte Komponenten angewiesen zu sein. Die durch die Industrie entwickelten und aktuell verfügbaren TEE-Lösungen folgen unterschiedlichen Ansätzen und leiden unter verschiedenen Nachteilen. ARM TrustZone, das in vielen mobilen Systemen integriert ist, hat die zentrale Einschränkun, dass es nur eine einzige Isolationsdomäne bietet. Intel Software Guard Extensions (SGX) bietet hingegen viele, wechselseitig isolierte Ausführungsumgebungen, die Encalves genannt werden. Allerdings werden SGX-Enclaves von schwerwiegenden Schwachstellen bedroht, die ihre Sicherheitsgarantien zunichtemachen können. Vor allem Angriffe, die Seitenkanäle ausnutzen, bedrohen SGX. Eine generelle und effiziente Lösung zu finden, die Seitenkanalangriffe auf Enclaves verhindern kann, stellt dabei ein nicht-triviales Problem dar. Trotz ihrer Probleme ermöglichen diese bereits verfügbaren TEE-Lösungen viele neue Anwendungen. Bei der Konzeptionierung und Entwicklung von TEE-Anwendungen müssen allerdings die spezifischen Eigenschaften der jeweiligen TEE-Architekturen berücksichtigt werden. Bei Sicherheitsarchitekturen für eingebettete Systeme ergeben sich zusätzliche Herausforderungen, die überwunden werden müssen. Dies ist bislang weder der Industrie noch der akademischen Forschung gelungen, da diese Sicherheitsarchitekturen die funktionalen Eigenschaften des zugrundeliegenden Systems erhalten müssen. Vernetzte eingebettete System werden zunehmend in sicherheitskritischen Bereichen, etwa in der Industrieautomatisierung oder in der Fahrzeugsteuerung, eingesetzt. Deshalb sind hier Sicherheitsarchitekturen, die Funktionalität und Sicherheit gleichermaßen gewährleisten, von entscheidender Bedeutung. Remote Attestation (RA) ist ein Sicherheitsmechanismus, der auf den Isolationsgarantien von TEEs aufbaut. RA ist besonders wichtig im Kontext vernetzter eingebetteter Systeme. Es erlaubt den Aufbau von Vertrauensverhältnissen zwischen Systemen und ermöglicht so die verlässliche Kollaboration dieser in weitvernetzten Anlagen. Allerdings sind viele Aspekte von RA, etwa zur Skalierbarkeit in großflächigen Netzwerken oder zur Anwendbarkeit in autonomen Systemen, noch unerforscht. In dieser Dissertation stellen wir neue Isolationsarchitekturen vor, die das Enclave-Konzept für Mobilsysteme und eingebettete Systeme umsetzen. Wir präsentieren die erste Sicherheitsarchitektur für kleine eingebettete Systeme, die isolierte Ausführungsumgebungen ermöglicht und gleichzeitig Echtzeitgarantien bietet. Für mobile Systeme präsentieren wir eine neuartige Sicherheitsarchitektur, die viele unabhängige TEE-Instanzen auf TrustZone-basierten Systemen ermöglicht, und somit die zentrale Einschränkung von TrustZone überwindet. Weiterhin betrachten wir die Verwundbarkeit von Intel SGX durch Seitenkanalangriffe. Wie demonstrieren die Ernsthaftigkeit von Angriffen, welche die Speicherzugriffsmuster einer SGX-Enclave überwachen. Zur Abwehr von Seitenkanalangriffen präsentieren wir Lösungen, die sowohl den Zugriff einer Enclave auf externen Speicher wie auch die Zugriffsmuster im Enclave-eigenen Speicher verbergen. Wie präsentieren zwei TEE-Anwendungen, die unterschiedlichen Konzepten folgen, dabei nutzen sie die spezifischen Möglichkeiten von Intel SGX bzw. ARM TrustZone. Wir stellen eine Cloud-basierte Lösung für maschinelles Lernen vor, die Privatsphäreschützende Spracherkennung durch die Nutzung von Enclaves ermöglicht. Zudem zeigen wir die Grenzen des Enclave Computing Paradigmas anhand einer Lösung auf, die ortsabhängige Nutzungsregeln für Mobilgeräte durchsetzen kann, welche jedoch nur mit einer isolierten Ausführungsumgebung mit erhöhten Privilegien umsetzbar ist. Darüber hinaus entwickeln wir neue RA Mechanismen, die wichtige Aspekte betrachten, die vor allem im Kontext von künftigen vernetzten Systemen hohe Relevanz haben. Wir entwickeln Lösungen, die den Missbrauch von Remote Attestation für Dienstverweigerungsattacken (Denial-of-Service) verhindern, und wir präsentieren das erste Protokoll zur effizienten gleichzeitigen Attestierung vieler Geräte. Weiterhin führen wir das Konzept der Datenintegritätsattestierung ein, welches die verlässliche und effiziente Kollaboration von autonom interagierenden Geräten ermöglicht.