Archiv

IoT-Sicherheit

Posted Norbert Meyer

 „IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen“

Mehrere Einreichungstermine 2021/2022

Ziel der Förderung ist es, die Verfügbarkeit von sicheren, vertrauenswürdigen und nachvollziehbaren IoT-Systemen in wesentlichen Anwendungsbereichen qualitativ zu verbessern und quantitativ zu steigern. Indikator für die Qualität ist unter anderem die relative Anzahl von Sicherheitsvorfällen verglichen mit der Anzahl von Geräten im Feld; Indikator für die Quantität ist unter anderem die Anzahl sicherer IoT-Systeme am Markt. Aufgrund des vorwettbewerblichen Charakters wird ein messbarer Effekt frühestens zwei Jahre nach Abschluss der Förderprojekte erwartet. Mit der Förderrichtlinie soll die vorwettbewerbliche Zusammenarbeit von Unternehmen und Forschungseinrichtungen im universitären und außeruniversitären Bereich intensiviert sowie die Beteiligung kleiner und mittlerer Unternehmen (KMU) an Forschungsprojekten unterstützt werden. Die Intensivierung der Zusammenarbeit lässt sich unter anderem über die Anzahl neuer kontinuierlicher Kontakte zwischen Wirtschaft und Wissenschaft messen. Eine Erhöhung der Anzahl der Kontakte wird bereits mit Veröffentlichung der Förderrichtlinie erwartet.

Zweck der Zuwendung ist es, innerhalb einer dem Vorhaben angemessenen Projektlaufzeit von typischerweise drei Jahren, neue Technologien, Methoden und Verfahren für IoT-Sicherheit zu erforschen und zu entwickeln. Dabei ist eine dem Vorhaben angemessene Methodik zu verwenden und sind die im Projekt erzielten Ergebnisse geeignet zu evaluieren, zu bewerten, zu publizieren und für die weitere Verwertung vorzubereiten.

Gegenstand der Förderung sind innovative und risikobehaftete Forschungsvorhaben mit dem Ziel, neue Technologien, Methoden und Verfahren für IoT-Sicherheit zu erforschen und zu entwickeln. Mögliche Forschungsthemen sollen den Lebenszyklus von IoT-Geräten ganz oder in Teilbereichen berücksichtigen. Dies umfasst beispielsweise die Entwicklung, Gestaltung und Einführung von IoT-Systemen, weiterhin Fragestellungen des Betriebs und der Instanthaltung von IoT-Systemen sowie Rahmenbedingungen von IoT-Systemen, wie rechtliche Fragen, Standardisierung, Zertifizierung und Normung.

Förderinteressenten müssen sich einem der Schwerpunkte Smart Home, Produktion oder sensible Infrastrukturen zuordnen und die besonderen Herausforderungen sowie eine angepasste Lösungsstrategie im jeweiligen Anwendungsfeld nachvollziehbar herausarbeiten.

 Smart Home

Vernetzte Smart-Home-Geräte kommen im privaten Umfeld in zunehmenden Maße zum Einsatz. Sprachassistenten, smarte Fernseher, Waschmaschinen, Beleuchtung, Schließanlagen und Heizungen sind nur einige Beispiele. Aufgrund der Nutzung in allen Bereichen des Lebens sind die erhobenen und häufig unverschlüsselt übermittelten Daten teilweise sehr persönlich. Diese Daten erlauben zum einen detaillierte Rückschlüsse auf die Gewohnheiten der Anwenderinnen und Anwender, zum anderen kann ein Öffentlichwerden der Daten für die Betroffenen eine unangenehme Verletzung der Privatsphäre bedeuten. Werden IoT-Geräte im Smart Homes gehackt und manipuliert, kann dies schlimmstenfalls den Verlust der Kontrolle beispielsweise über Türschlösser, Rollläden und Heizungen bedeuten. Über schlecht gesicherte IoT-Geräte wie smarte Lautsprecher oder Kinderspielzeug können private Gespräche mitgehört, aufgezeichnet und für unlautere und kriminelle Zwecke missbraucht werden.

 Industrielle Produktion

Die digitale Vernetzung ist eines der Kernmerkmale von Industrie 4.0 und prägt die industrielle Produktion nachhaltig. Cyber-physische Systeme, digitale Zwillinge und kollaborative Roboter sind nur einige Schlagworte moderner Produktion, die massiv auf vernetzte Geräte im sogenannten Industrial Internet of Things (IIoT) setzt. Durch die Vernetzung ergeben sich neue Angriffsflächen, die gerade im Mittelstand trotz aller Bemühungen zur Absicherung sehr problematisch bewertet werden. Produktionsausfälle aufgrund von Cyberangriffen auf das IIoT können schnell hohe Kosten verursachen. Das Abfließen von Betriebsgeheimnissen über schlecht gesicherte IIoT-Systeme kann im Extremfall bis in die Insolvenz führen. Ein Hacking und Fremdsteuern von kollaborativen Robotern oder anderen Teilen der sogenannten Smart Factory kann ebenfalls kostspielige Produktionsstopps verursachen und schlimmstenfalls Personenschäden zur Folge haben.

 Sensible Infrastrukturen

Durch die allgegenwärtige Nutzung von IoT-Geräten werden diese zunehmend in Anwendungsfeldern eingesetzt, die besonderer Aufmerksamkeit mit Blick auf IT-Sicherheit bedürfen. So finden vernetzte Geräte beispielsweise vermehrt Eingang in Arztpraxen, Schulen, Supermärkte, private Energieerzeugungsanlagen und Fahrzeuge, deren Manipulation oder Ausfall teils erhebliche Auswirkungen auf Bürgerinnen und Bürger haben kann. Im Zuge der Corona-Pandemie wurden beispielsweise mit den Impfzentren und der Impflogistik sowie vernetzter Labordiagnostik in kurzer Zeit sensible Infrastrukturen auf- und ausgebaut, in denen der Einsatz von IoT-Technologie Effizienzgewinne und eine erhöhte Automatisierung verspricht, gleichzeitig aber auch sensible und personenbezogene Daten ausgetauscht werden. Viele IoT-Infrastrukturen in diesen Anwendungsbereichen fallen formal nicht in die Kategorie der kritischen Infrastrukturen (KRITIS) und sind daher teilweise nur wenig reguliert und überwacht.

 Entwicklung, Gestaltung und Einführung von IoT-Systemen

Das Sicherheitsniveau in IoT-Anwendungsbereichen ist oftmals gering und die eingesetzten Technologien sind sehr heterogen. Es besteht die Anforderung, dass die Kommunikation reibungslos zwischen unterschiedlichen Geräten und Technologien funktioniert. Gleichzeitig besteht Bedarf an sicheren und robusten Architekturen für vernetze, eingebettete Systeme mit geeigneten Schnittstellen. Notwendig ist eine umfassende Integration von Software- und Hardware-Komponenten. Ein wesentlicher Faktor bei der Produktion von IoT-Geräten ist der Kostendruck, auch in weniger preisgetriebenen Anwendungsbereichen. Die zu entwickelnden Technologien sollen entgegenlaufende Anforderungen an Sicherheit und Ressourceneffizienz (Energieeffizienz, Rechenleistung und Speicherbedarf) berücksichtigen. Beispiele für mögliche Forschungsthemen sind:

  • Entwicklung und Demonstration von Verfahren und Werkzeugen für Vertrauensanker im IoT
    • zum Nachweis der Echtheit von IoT-Geräten,
    • zur Authentisierung von Komponenten und
    • zur Authentisierung von Kommunikationspartnern;
  • Entwurf und Erprobung von neuartigen Methoden und Werkzeugen für
    • Hardware-Software-Co-Design sowie
    • massenhaftes Testen von IoT-Geräten;
  • Erforschung und Evaluation neuer Architekturkonzepte
    • für Sicherheit im IoT-Netzwerk,
    • zur sicheren Einbindung unsicherer IoT-Systeme,
    • für sichere IoT-Plattformen, vor allem im Hinblick auf Schnittstellen und Kompatibilität sowie
    • für effiziente Sicherheitsverfahren mit Blick auf ressourcenbeschränkte IoT-Geräte;
  • Erforschung und Evaluation neuer Interaktionsmuster zur sicheren Bedienung von IoT-Geräten mit minimalen oder neuartigen Benutzungsschnittstellen.

Betrieb und Instandhaltung von IoT-Systemen

IoT-Geräte unterliegen je nach Einsatzgebiet sehr unterschiedlichen Anforderungen. Gemeinsam ist jedoch allen Geräten und Komponenten, dass sich das umgebende System dynamisch verändert. Gleichzeitig bleiben Komponenten häufig lange im Feld, sodass die Alterung der Komponenten im IoT (Obsoleszenz) ein wichtiges Thema ist. Das Erkennen von Fehlverhalten sowie angemessene Reaktionskonzepte werden hier besonders notwendig. Beispiele für mögliche Forschungsthemen sind:

  • Konzeption, Erforschung und Demonstration von IT-Sicherheitsmechanismen für dynamische veränderliche Systeme, zum Beispiel:
    • Erkennen von Fehlverhalten als Folge von IT-Sicherheitsvorfällen,
    • Abschätzung von IT-Sicherheits-Risiken (Predictive Security),
    • automatisierte Mechanismen zur Reaktion auf IT-Sicherheitsvorfälle;
  • Entwurf und Demonstration von Methoden und Werkzeugen für kollaborative IT-Sicherheit, beispielsweise:
    • die frühzeitige Erfassung und Verarbeitung von IT-Sicherheitsvorfällen (zum Beispiel durch Meldungen und ­Warnungen),
    • die Vertraulichkeit von erfassten, übermittelten und verarbeiteten Daten (zum Beispiel bei der Datenfusion),
    • der effiziente Transfer von IT-Sicherheits-Know-how;
  • Entwicklung und Demonstration von Verfahren und Werkzeugen für die langfristige Wartung und das Management von IoT-Systemen, zum Beispiel:
    • Umgang mit Obsoleszenz als Faktor von IT-Sicherheit, unter anderem Retrofitting von Sicherheitsmechanismen sowie langfristige Kompatibilität,
    • sichere Updates sowie sichere Freischaltung von Funktionen in ressourcenbeschränkten, verteilten Systemen.

Um Sicherheit nachhaltig zu gestalten, müssen Fragen der Standardisierung und Zertifizierung zusammen betrachtet werden. Vorbereitende Maßnahmen zur Normung, Standardisierung und Zertifizierung sollten in den Vorhaben berücksichtigt werden.

Im Rahmen der Förderrichtlinie werden vorzugsweise interdisziplinäre Verbünde, in begründeten Ausnahmefällen auch Einzelvorhaben, gefördert. Die Umsetzbarkeit und wirtschaftliche Verwertung der Vorhaben soll durch eine der Relevanz des Themas angemessenen Beteiligung von Unternehmen in der Verbundstruktur sichergestellt werden. Die skizzierten Lösungen müssen deutlich über den aktuellen Stand der Wissenschaft und Technik hinausgehen. Die Machbarkeit der Lösungen ist vorzugsweise in einem Demonstrator nachzuweisen und geeignet zu evaluieren.

 Antragsberechtigt sind Unternehmen der gewerblichen Wirtschaft im Verbund mit Hochschulen und/oder außeruniversitären Forschungseinrichtungen. Die Beteiligung von Start-ups, KMU und mittelständischen Unternehmen wird ausdrücklich erwünscht und bei der Projektbegutachtung positiv berücksichtigt.

Die Zuwendungen werden im Wege der Projektförderung als nicht rückzahlbare Zuschüsse gewährt. Bemessungsgrundlage für Zuwendungen an Unternehmen der gewerblichen Wirtschaft und für Vorhaben von Hochschulen oder Forschungseinrichtungen, die in den Bereich der wirtschaftlichen Tätigkeiten fallen, sind die zuwendungsfähigen projektbezogenen Kosten.

Der geförderte Teil des Forschungsvorhabens ist vollständig einer oder mehrerer der folgenden Kategorien zuzuordnen:

  • Grundlagenforschung
  • industrielle Forschung
  • experimentelle Entwicklung

Die Beihilfeintensität pro Beihilfeempfänger darf folgende Sätze nicht überschreiten:

  • 100 % der beihilfefähigen Kosten für Grundlagenforschung
  • 50 % der beihilfefähigen Kosten für industrielle Forschung
  • 25 % der beihilfefähigen Kosten für experimentelle Entwicklung

Die Beihilfeintensitäten für industrielle Forschung und experimentelle Entwicklung können auf maximal 80 % der beihilfefähigen Kosten erhöht werden, sofern die in Artikel 25 Absatz 6 AGVO genannten Voraussetzungen erfüllt sind:

  1. a) um 10 Prozentpunkte bei mittleren Unternehmen und um 20 Prozentpunkte bei kleinen Unternehmen;
  2. b) um 15 Prozentpunkte
  • bei einer Zusammenarbeit wischen Unternehmen, von denen mindestens eines ein KMU ist, oder wird in mindestens zwei Mitgliedstaaten oder einem Mitgliedstaat und einer Vertragspartei des EWR-Abkommens durchgeführt, wobei kein einzelnes Unternehmen mehr als 70 % der beihilfefähigen Kosten bestreitet, oder
  • bei einer Zusammenarbeit zwischen einem Unternehmen und einer oder mehreren Einrichtungen für Forschung und Wissensverbreitung, die mindestens 10 % der beihilfefähigen Kosten tragen und das Recht haben, ihre eigenen Forschungsergebnisse zu veröffentlichen;
  • die Ergebnisse des Vorhabens finden durch Konferenzen, Veröffentlichung, Open Access-Repositorien oder durch gebührenfreie Software beziehungsweise Open Source-Software weite Verbreitung.

Mit der Abwicklung der Fördermaßnahme hat das BMBF den Projektträger VDI/VDE Innovation und Technik GmbH – Projektträger Vernetzung und Sicherheit digitaler Systeme beauftragt.
Das Antragsverfahren ist zweistufig angelegt. In der ersten Verfahrensstufe sind dem Projektträger VDI/VDE Innovation + Technik GmbH zunächst Projektskizzen in elektronischer Form vorzulegen. Die Stichtage für die Schwerpunkte sind:

  • Sensible Infrastrukturen: 6. August 2021
  • Industrielle Produktion: 5. November 2021
  • Smart Home: 11. März 2022.