BMBF-Bekanntmachung: "IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen"

Richtlinie zur Förderung von Forschungsvorhaben zum Thema "IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen" im Rahmen des Forschungsrahmenprogramms der Bundesregierung zur IT-Sicherheit "Digital. Sicher. Souverän.", Bundesanzeiger vom 02.06.2021

1 Förderziel und Zuwendungszweck

Ziel der Förderung ist es, die Verfügbarkeit von sicheren, vertrauenswürdigen und nachvollziehbaren IoT-Systemen in wesentlichen Anwendungsbereichen qualitativ zu verbessern und quantitativ zu steigern. Indikator für die Qualität ist unter anderem die relative Anzahl von Sicherheitsvorfällen verglichen mit der Anzahl von Geräten im Feld; Indikator für die Quantität ist unter anderem die Anzahl sicherer IoT-Systeme am Markt. Aufgrund des vorwettbewerblichen Charakters wird ein messbarer Effekt frühestens zwei Jahre nach Abschluss der Förderprojekte erwartet. Mit der Förderrichtlinie soll die vorwettbewerbliche Zusammenarbeit von Unternehmen und Forschungseinrichtungen im universitären und außeruniversitären Bereich intensiviert sowie die Beteiligung kleiner und mittlerer Unternehmen (KMU) an Forschungsprojekten unterstützt werden. Die Intensivierung der Zusammenarbeit lässt sich unter anderem über die Anzahl neuer kontinuierlicher Kontakte zwischen Wirtschaft und Wissenschaft messen. Eine Erhöhung der Anzahl der Kontakte wird bereits mit Veröffentlichung der Förderrichtlinie erwartet.

Mit der Förderung beabsichtigt das BMBF ferner, die Expertise und Wertschöpfung im Bereich der IT-Sicherheit für IoT-Systeme am Standort Deutschland nachhaltig zu stärken und europäische Alternativen bei sicherheitskritischen IT-Komponenten voranzubringen. Dabei fällt den KMU eine wichtige Rolle beim Transfer von Forschungsergebnissen in wirtschaftliche Erfolge zu.

Zweck der Zuwendung ist es, innerhalb einer dem Vorhaben angemessenen Projektlaufzeit von typischerweise drei Jahren, neue Technologien, Methoden und Verfahren für IoT-Sicherheit zu erforschen und zu entwickeln. Dabei ist eine dem Vorhaben angemessene Methodik zu verwenden und sind die im Projekt erzielten Ergebnisse geeignet zu evaluieren, zu bewerten, zu publizieren und für die weitere Verwertung vorzubereiten.

Die Fördermaßnahme ist Teil des neuen Forschungsrahmenprogramms der Bundesregierung zur IT-Sicherheit „Digital. Sicher. Souverän.“ und leistet einen Beitrag zur Umsetzung der Hightech-Strategie 2025 der Bundesregierung sowie der Digitalstrategie „Digitale Zukunft: Lernen. Forschen. Wissen.“ des BMBF

2 Gegenstand der Förderung

Gegenstand der Förderung sind innovative und risikobehaftete Forschungsvorhaben mit dem Ziel, neue Technologien, Methoden und Verfahren für IoT-Sicherheit zu erforschen und zu entwickeln. Mögliche Forschungsthemen sollen den Lebenszyklus von IoT-Geräten ganz oder in Teilbereichen berücksichtigen. Dies umfasst beispielsweise die Entwicklung, Gestaltung und Einführung von IoT-Systemen, weiterhin Fragestellungen des Betriebs und der Instanthaltung von IoT-Systemen sowie Rahmenbedingungen von IoT-Systemen, wie rechtliche Fragen, Standardisierung, Zertifizierung und Normung.

Förderinteressenten müssen sich einem der Schwerpunkte Smart Home, Produktion oder sensible Infrastrukturen zuordnen und die besonderen Herausforderungen sowie eine angepasste Lösungsstrategie im jeweiligen Anwendungsfeld nachvollziehbar herausarbeiten. Die Einreichung zu den jeweiligen Anwendungsfeldern erfolgt gemäß der in Nummer 7.2 genannten Stichtage.

2.1.1  Smart Home

Vernetzte Smart-Home-Geräte kommen im privaten Umfeld in zunehmenden Maße zum Einsatz. Sprachassistenten, smarte Fernseher, Waschmaschinen, Beleuchtung, Schließanlagen und Heizungen sind nur einige Beispiele. Aufgrund der Nutzung in allen Bereichen des Lebens sind die erhobenen und häufig unverschlüsselt übermittelten Daten teilweise sehr persönlich. Diese Daten erlauben zum einen detaillierte Rückschlüsse auf die Gewohnheiten der Anwenderinnen und Anwender, zum anderen kann ein Öffentlichwerden der Daten für die Betroffenen eine unangenehme Verletzung der Privatsphäre bedeuten. Werden IoT-Geräte im Smart Homes gehackt und manipuliert, kann dies schlimmstenfalls den Verlust der Kontrolle beispielsweise über Türschlösser, Rollläden und Heizungen bedeuten. Über schlecht gesicherte IoT-Geräte wie smarte Lautsprecher oder Kinderspielzeug können private Gespräche mitgehört, aufgezeichnet und für unlautere und kriminelle Zwecke missbraucht werden.

2.1.2  Industrielle Produktion

Die digitale Vernetzung ist eines der Kernmerkmale von Industrie 4.0 und prägt die industrielle Produktion nachhaltig. Cyber-physische Systeme, digitale Zwillinge und kollaborative Roboter sind nur einige Schlagworte moderner Produktion, die massiv auf vernetzte Geräte im sogenannten Industrial Internet of Things (IIoT) setzt. Durch die Vernetzung ergeben sich neue Angriffsflächen, die gerade im Mittelstand trotz aller Bemühungen zur Absicherung sehr problematisch bewertet werden. Produktionsausfälle aufgrund von Cyberangriffen auf das IIoT können schnell hohe Kosten verursachen. Das Abfließen von Betriebsgeheimnissen über schlecht gesicherte IIoT-Systeme kann im Extremfall bis in die Insolvenz führen. Ein Hacking und Fremdsteuern von kollaborativen Robotern oder anderen Teilen der sogenannten Smart Factory kann ebenfalls kostspielige Produktionsstopps verursachen und schlimmstenfalls Personenschäden zur Folge haben.

2.1.3  Sensible Infrastrukturen

Durch die allgegenwärtige Nutzung von IoT-Geräten werden diese zunehmend in Anwendungsfeldern eingesetzt, die besonderer Aufmerksamkeit mit Blick auf IT-Sicherheit bedürfen. So finden vernetzte Geräte beispielsweise vermehrt Eingang in Arztpraxen, Schulen, Supermärkte, private Energieerzeugungsanlagen und Fahrzeuge, deren Manipulation oder Ausfall teils erhebliche Auswirkungen auf Bürgerinnen und Bürger haben kann. Im Zuge der Corona-Pandemie wurden beispielsweise mit den Impfzentren und der Impflogistik sowie vernetzter Labordiagnostik in kurzer Zeit sensible Infrastrukturen auf- und ausgebaut, in denen der Einsatz von IoT-Technologie Effizienzgewinne und eine erhöhte Automatisierung verspricht, gleichzeitig aber auch sensible und personenbezogene Daten ausgetauscht werden. Viele IoT-Infrastrukturen in diesen Anwendungsbereichen fallen formal nicht in die Kategorie der kritischen Infrastrukturen (KRITIS) und sind daher teilweise nur wenig reguliert und überwacht.

2.2  Entwicklung, Gestaltung und Einführung von IoT-Systemen

Das Sicherheitsniveau in IoT-Anwendungsbereichen ist oftmals gering und die eingesetzten Technologien sind sehr heterogen. Es besteht die Anforderung, dass die Kommunikation reibungslos zwischen unterschiedlichen Geräten und Technologien funktioniert. Gleichzeitig besteht Bedarf an sicheren und robusten Architekturen für vernetze, eingebettete Systeme mit geeigneten Schnittstellen. Notwendig ist eine umfassende Integration von Software- und Hardware-Komponenten. Ein wesentlicher Faktor bei der Produktion von IoT-Geräten ist der Kostendruck, auch in weniger preisgetriebenen Anwendungsbereichen. Die zu entwickelnden Technologien sollen entgegenlaufende Anforderungen an Sicherheit und Ressourceneffizienz (Energieeffizienz, Rechenleistung und Speicherbedarf) berücksichtigen. Beispiele für mögliche Forschungsthemen sind:

  • Entwicklung und Demonstration von Verfahren und Werkzeugen für Vertrauensanker im IoT
    • zum Nachweis der Echtheit von IoT-Geräten,
    • zur Authentisierung von Komponenten und
    • zur Authentisierung von Kommunikationspartnern;
  • Entwurf und Erprobung von neuartigen Methoden und Werkzeugen für
    • Hardware-Software-Co-Design sowie
    • massenhaftes Testen von IoT-Geräten;
  • Erforschung und Evaluation neuer Architekturkonzepte
    • für Sicherheit im IoT-Netzwerk,
    • zur sicheren Einbindung unsicherer IoT-Systeme,
    • für sichere IoT-Plattformen, vor allem im Hinblick auf Schnittstellen und Kompatibilität sowie
    • für effiziente Sicherheitsverfahren mit Blick auf ressourcenbeschränkte IoT-Geräte;
  • Erforschung und Evaluation neuer Interaktionsmuster zur sicheren Bedienung von IoT-Geräten mit minimalen oder neuartigen Benutzungsschnittstellen.

2.3  Betrieb und Instandhaltung von IoT-Systemen

IoT-Geräte unterliegen je nach Einsatzgebiet sehr unterschiedlichen Anforderungen. Gemeinsam ist jedoch allen Geräten und Komponenten, dass sich das umgebende System dynamisch verändert. Gleichzeitig bleiben Komponenten häufig lange im Feld, sodass die Alterung der Komponenten im IoT (Obsoleszenz) ein wichtiges Thema ist. Das Erkennen von Fehlverhalten sowie angemessene Reaktionskonzepte werden hier besonders notwendig. Beispiele für mögliche Forschungsthemen sind:

  • Konzeption, Erforschung und Demonstration von IT-Sicherheitsmechanismen für dynamische veränderliche Systeme, zum Beispiel:
    • Erkennen von Fehlverhalten als Folge von IT-Sicherheitsvorfällen,
    • Abschätzung von IT-Sicherheits-Risiken (Predictive Security),
    • automatisierte Mechanismen zur Reaktion auf IT-Sicherheitsvorfälle;
  • Entwurf und Demonstration von Methoden und Werkzeugen für kollaborative IT-Sicherheit, beispielsweise:
    • die frühzeitige Erfassung und Verarbeitung von IT-Sicherheitsvorfällen (zum Beispiel durch Meldungen und ­Warnungen),
    • die Vertraulichkeit von erfassten, übermittelten und verarbeiteten Daten (zum Beispiel bei der Datenfusion),
    • der effiziente Transfer von IT-Sicherheits-Know-how;
  • Entwicklung und Demonstration von Verfahren und Werkzeugen für die langfristige Wartung und das Management von IoT-Systemen, zum Beispiel:
    • Umgang mit Obsoleszenz als Faktor von IT-Sicherheit, unter anderem Retrofitting von Sicherheitsmechanismen sowie langfristige Kompatibilität,
    • sichere Updates sowie sichere Freischaltung von Funktionen in ressourcenbeschränkten, verteilten Systemen.

Um Sicherheit nachhaltig zu gestalten, müssen Fragen der Standardisierung und Zertifizierung zusammen betrachtet werden. Vorbereitende Maßnahmen zur Normung, Standardisierung und Zertifizierung sollten in den Vorhaben berücksichtigt werden.

Im Rahmen der Förderrichtlinie werden vorzugsweise interdisziplinäre Verbünde, in begründeten Ausnahmefällen auch Einzelvorhaben, gefördert. Die Umsetzbarkeit und wirtschaftliche Verwertung der Vorhaben soll durch eine der Relevanz des Themas angemessenen Beteiligung von Unternehmen in der Verbundstruktur sichergestellt werden. Die skizzierten Lösungen müssen deutlich über den aktuellen Stand der Wissenschaft und Technik hinausgehen. Die Machbarkeit der Lösungen ist vorzugsweise in einem Demonstrator nachzuweisen und geeignet zu evaluieren.

3  Zuwendungsempfänger

Antragsberechtigt sind Unternehmen der gewerblichen Wirtschaft im Verbund mit Hochschulen und/oder außeruniversitären Forschungseinrichtungen. Zum Zeitpunkt der Auszahlung einer gewährten Zuwendung wird das Vorhandensein einer Betriebsstätte oder Niederlassung (Unternehmen) bzw. einer sonstigen Einrichtung, die der nichtwirtschaftlichen Tätigkeit des Zuwendungsempfängers dient, Hochschulen, außeruniversitären Forschungseinrichtungen, in Deutschland verlangt. Die Beteiligung von Start-ups, KMU und mittelständischen Unternehmen wird ausdrücklich erwünscht und bei der Projektbegutachtung positiv berücksichtigt.

KMU oder „KMU“ im Sinne dieser Förderrichtlinie sind Unternehmen, die die Voraussetzungen der KMU-Definition der EU erfüllen.

Der Antragsteller erklärt gegenüber der Bewilligungsbehörde seine Einstufung gemäß der KMU-Empfehlung der Kommission im Rahmen des schriftlichen Antrags.

Das BMBF ist bestrebt, den Anteil der Hochschulen für angewandte Wissenschaften in der Forschungsförderung zu erhöhen sowie die Vernetzung zwischen Forschenden der grundlagenorientierten außeruniversitären Forschungseinrichtungen (insbesondere der Max-Planck-Gesellschaft und der Helmholtz-Gemeinschaft) mit Forschenden an Hochschulen, in Einrichtungen der Fraunhofer-Gesellschaft und aus der Industrie zu stärken. Hochschulen, Fachhochschulen und technische Hochschulen sowie grundlagenorientierte außeruniversitäre Forschungseinrichtungen sind deshalb besonders aufgefordert, sich an den Verbundvorhaben zu beteiligen. Forschungseinrichtungen, die von Bund und/oder Ländern grundfinanziert werden, kann neben ihrer institutionellen Förderung nur unter bestimmten Voraussetzungen eine Projektförderung für ihre zusätzlichen projektbedingten Ausgaben bzw. Kosten bewilligt werden. Zu den Bedingungen, wann eine staatliche Beihilfe vorliegt/nicht vorliegt und in welchem Umfang beihilfefrei gefördert werden kann, siehe Mitteilung der Kommission zum Unionsrahmen für staatliche Beihilfen zur Förderung von Forschung, Entwicklung und Innovation.

7  Verfahren

7.1  Einschaltung eines Projektträgers, Antragsunterlagen, sonstige Unterlagen und Nutzung des elektronischen ­Antragssystems

Mit der Abwicklung der Fördermaßnahme „IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen“ hat das BMBF derzeit folgenden Projektträger (PT) beauftragt:

VDI/VDE Innovation und Technik GmbH
Projektträger Vernetzung und Sicherheit digitaler Systeme
Steinplatz 1
10623 Berlin

Ansprechpartner ist Jan-Ole Malchow
Telefon: 030/310078-5684
Telefax: 030/310078-247
E-Mail: jan-ole.malchow(at)vdivde-it.de

Soweit sich hierzu Änderungen ergeben, wird dies im Bundesanzeiger oder in anderer geeigneter Weise bekannt gegeben.

Vordrucke für Förderanträge, Richtlinien, Merkblätter, Hinweise und Nebenbestimmungen können unter der Internetadresse https://vdivde-it.de/formulare-fuer-foerderprojekte abgerufen oder unmittelbar beim oben angegebenen ­Projektträger angefordert werden.

Zur Erstellung von Projektskizzen und förmlichen Förderanträgen ist das elektronische Antragssystem „easy-Online“ zu nutzen (https://foerderportal.bund.de/easyonline).

7.2  Zweistufige Verfahren

Das Antragsverfahren ist zweistufig angelegt. In der ersten Verfahrensstufe reicht der Verbundkoordinator eine Projektskizze des Verbundvorhabens beim zuständigen Projektträger ein. Die Entscheidung zur Weiterverfolgung des Projekts wird entsprechend der unten benannten Kriterien auf Grundlage der Projektskizze gefällt. Ausschließlich die zur Weiterverfolgung ausgewählten Vorhaben werden in der zweiten Verfahrensstufe schriftlich zur Einreichung weiterer Antragsunterlagen aufgefordert.

Skizzeneinreichenden wird die Möglichkeit geboten, an einer Informationsveranstaltung teilzunehmen. In dieser werden der Inhalt der Förderrichtlinie sowie Prozess und Verfahren der Antragstellung erläutert. Informationen zu dieser Veranstaltung erhalten Antragsteller online beim Projektträger:

https://www.forschung-it-sicherheit-kommunikationssysteme.de/foerderung/bekanntmachungen/IoT

In der ersten Verfahrensstufe sind dem Projektträger VDI/VDE Innovation + Technik GmbH zunächst Projektskizzen in elektronischer Form vorzulegen. Die Stichtage für die Schwerpunkte sind:

  • Sensible Infrastrukturen: 6. August 2021
  • Industrielle Produktion: 5. November 2021
  • Smart Home: 11. März 2022

Die Vorlagefrist gilt nicht als Ausschlussfrist; Projektskizzen, die nach dem oben angegebenen Zeitpunkt eingehen, können aber möglicherweise nicht mehr berücksichtigt werden.

Die Projektskizzen sind nach Abstimmung mit allen Verbundpartnern vom vorgesehenen Verbundkoordinator unter Verwendung des elektronischen Antragssystems „easy-Online“ beim BMBF unter der Fördermaßnahme „Sicherheit auf allen IT-Systemschichten“ einzureichen.

Die vollständige Richtlinie finden Sie unter https://www.bmbf.de/foerderungen/bekanntmachung-3642.html