1 Zuwendungszweck, Rechtsgrundlage

1.1 Zuwendungszweck

Die Absicherung von Informations- und Kommunikationssystemen gegen IT-Angriffe ist im globalen Zeitalter ein entscheidender Faktor dafür, dass Wirtschaft und Gesellschaft die Fortschritte und Chancen der Digitalisierung nutzen können. Zu den weit verbreiteten ungezielten Angriffen kommen heute immer gezieltere und professionellere Angriffe hinzu, die schwer erkennbar und damit sehr gefährlich sind. Die Folgen solcher Angriffe können immense Schadenshöhen erreichen. Die wirtschaftlichen Schäden durch IT-Angriffe werden für 2013 weltweit auf bis zu 575 Milliarden Dollar geschätzt. Da die vorhandenen Lösungen immer weniger greifen, sind neue, zuverlässige Verfahren der Angriffserkennung und Abwehr solcher Angriffe erforderlich.

Informations- und Kommunikationssysteme wie das Internet sind kein rechtsfreier Raum. Neben der Möglichkeit, Angriffe vorausschauend zu erkennen und abzuwehren, müssen erfolgte IT-Sicherheitsvorfälle auch nachvollzogen und aufgeklärt werden können. Eine besondere Herausforderung ist dabei die Berücksichtigung und Wahrung des Datenschutzes, um das Recht auf informationelle Selbstbestimmung auch bei Abwehr und Aufklärung von IT-Sicherheitsvorfällen zu gewährleisten.

Ein wichtiger Ansatz, IT-Angriffe frühzeitig abzuwehren, ist die Erkennung von außergewöhnlichem Verhalten und unerwarteter Kommunikation eines IT-Systems im Vergleich zum normalen Betriebszustand. Solche Anomalien können durch Malware oder verstecke Kommunikation verursacht werden und in Form von Datenflüssen zwischen Systemkomponenten in Erscheinung treten. Notwendig sind neue oder verbesserte präventive Verfahren zur Analyse von Anomalien, insbesondere im Hinblick auf Datenschutzkonformität, Zuverlässigkeit, Echtzeitfähigkeit und Ressourcenverbrauch.

Haben sich hingegen bereits Sicherheitsvorfälle wie IT-Einbrüche in Server und Netzwerke oder die Manipulation von Geschäftsdaten ereignet, ist es wichtig festzustellen, wer den Angriff durchführte und welcher Schaden dabei entstanden ist. Hierfür sind datenschutzkonforme, leistungsfähige, forensische Maßnahmen notwendig. Die IT-Forensik ist dabei als Prozess zu verstehen, in dem Verfahren zur Sicherung digitaler Spuren eingesetzt werden. Dabei kommt es wesentlich darauf an, Tatbestände durch eine geeignete Nachvollziehbarkeit gerichtsverwertbar dokumentieren zu können.

Um die unterschiedlichen Verfahren zum Erkennen, Verhindern und Aufklären von IT-Sicherheitsvorfällen für den Schutz auch komplexer IT-Systeme nutzen zu können, müssen diese miteinander interagieren und kooperieren.

Das Bundesministerium für Bildung und Forschung beabsichtigt daher, die Erforschung neuer Ansätze für die Erkennung und Aufklärung von IT-Sicherheitsvorfällen im Betriebsumfeld zu fördern. Die Bekanntmachung erfolgt im Rahmen der "Neuen Hightech-Strategie – Innovationen für Deutschland" der Bundesregierung. Bei der dort adressierten prioritären Zukunftsaufgabe "Digitale Wirtschaft und Gesellschaft" geht es um innovative Lösungen für die Herausforderungen der Digitalisierung.

1.2 Rechtsgrundlage

Vorhaben können nach Maßgabe dieser Richtlinien, der BMBF¹-Standardrichtlinien für Zuwendungen auf Ausgaben- bzw. Kostenbasis und der Verwaltungsvorschriften zu den §§ 23, 44 der Bundeshaushaltsordnung (BHO) durch Zuwendungen gefördert werden. Ein Rechtsanspruch auf Gewährung einer Zuwendung besteht nicht. Der Zuwendungsgeber entscheidet nach pflichtgemäßem Ermessen im Rahmen der verfügbaren Haushaltsmittel.

2 Gegenstand der Förderung

Gegenstand der Förderung bilden Verfahren zur Erkennung von IT-Angriffen, insbesondere durch Anomalieanalysen, sowie die Aufklärung von IT-Sicherheitsvorfällen durch neue Methoden der IT-Forensik. Im Fokus stehen sowohl über Jahre gewachsene Bestandssysteme in Industrie- und Office-IT wie auch neue und dynamische IT-Systeminfrastrukturen, die durch Cloud-Computing, mobile Geräte, "Bring your own device", virtualisierte Arbeitsumgebungen und Netzwerke charakterisiert sind.

Erkennung von Anomalien:

Im Bereich der Anomalieerkennung existieren bereits Ansätze, die auch im betrieblichen Kontext genutzt werden können. Für den Schutz komplexer IT-Systeme sind allerdings neue, leistungsfähige Erkennungssysteme notwendig, die das gesamte Betriebsumfeld mit erfassen. Eine besondere Herausforderung für die Akzeptanz dieser neuen Ansätze ist dabei deren ressourcenschonende Auslegung, die keine Beeinträchtigung der Kernaufgaben der zu schützenden IT-Systeme zur Folge hat.

Forschungsthemen im Bereich der Anomalieerkennung sind insbesondere:

• Verfahren zur datenschutzkonformen Erkennung von mehrstufigen, verteilten und langfristig angelegten Angriffen auf IT-Infrastrukturen;
• Verfahren zur Detektion von Anomalien auf Hypervisor-Ebene von virtuellen Maschinen;
• Verfahren zur präventiven Schwachstellen- und Bedrohungsanalyse unter Berücksichtigung des Angriffspotentials;
• Weiterentwicklung von Anomalieerkennungsverfahren im Hinblick auf ressourcenschonende Verwendbarkeit (z. B. in ressourcenbeschränkten Sensoren);
• Verfahren zur Erkennung von Anomalien und zur Aufdeckung von Angriffskomponenten, die keine Spuren auf Speichermedien hinterlassen;
• Verfahren zur Erkennung von Angriffen auf verschlüsselte Daten und Kommunikation wie z. B. auf das Schlüsselmanagement;
• Verfahren zur Erkennung und Analyse von Angriffen unter Echtzeitanforderungen und bei großen Datenmengen;
• intelligente Verfahren, die durch einen anonymisierten Austausch von Lagebildern bessere Erkennungsraten und Reaktionsmöglichkeiten zur Verfügung stellen.

Aufklärung von IT-Sicherheitsvorfällen:

Es sollen effiziente Analysemethoden erforscht und entwickelt werden, die eine forensische Untersuchung und gerichtsverwertbare Rekonstruktion von IT-Sicherheitsvorfällen unterstützen und auch in dynamischen IT-Infrastrukturen (z. B. bei Einbindung von mobilen Endgeräten und Cloud-Computing) einsetzbar sind.

Verfahren zur datenschutzkonformen forensischen Analyse sollen zur Gewinnung verwertbarer Ergebnisse insbesondere Metadaten verwenden, die lokal, im Netz und in der Cloud erfasst werden. Benötigt werden neue Werkzeuge zur Beweissicherstellung, die auch Trends zur Integration privater elektronischer Endgeräte (BYOD) in bestehende IT-Infrastrukturen berücksichtigen und dabei nachweislich korrekt agieren und keinen verzerrenden Einfluss auf die untersuchten Systeme nehmen. Insbesondere die Analyse und Sicherung flüchtiger Spuren im Netz (Netzwerkforensik) stellt eine besondere Herausforderung dar. Alle Aufklärungsverfahren müssen datenschutzkonform arbeiten und Privatsphäre und Persönlichkeitsrechte wahren. Die Ergebnisse sollen zu einer juristisch verwertbaren Dokumentation gelangen oder einen entsprechenden Datenerhebungsprozess unterstützen.

Forschungsthemen im Bereich der Forensik sind insbesondere:

• die Erforschung und Entwicklung rechtssicherer, datenschutzkonformer forensischer Ansätze, die auch Daten in Cloud-Systemen und die Integration privater elektronischer Endgeräte (Bring your own device) ermöglichen oder zur systemübergreifenden Auswertung von IT-Vorfällen beitragen;
• die Entwicklung von Lösungen für die Mandantentrennung bei IT-forensischen Untersuchungen im Cloud-Bereich;
• die Entwicklung von Werkzeugen, die nachweislich korrekte Verfahren umsetzen und keinen verzerrenden Einfluss auf die untersuchten Systeme nehmen;
• Aufklärungsverfahren, die unter Einhaltung des Datenschutzes und Wahrung von Privatsphäre und Persönlichkeitsrechten zu verlässlichen und juristisch verwertbaren Dokumentationen gelangen oder einen entsprechenden Datenerhebungsprozess unterstützen;
• Verfahren zur forensischen Analyse, die eine rechtssichere Gewinnung verwertbarer Ergebnisse auf der Basis von verschlüsselten oder pseudonymisierten Daten oder von Metadaten ermöglichen.

Die Relevanz und Umsetzbarkeit der Lösungskonzepte sollte sich durch die entsprechende Beteiligung von Unternehmen in der Verbundstruktur widerspiegeln. Die Verbünde sollten Expertise im Datenschutz und juristische Expertise mit einbinden. Die Lösungen sollten mit Anwendern zusammen erarbeitet werden und praktisch umgesetzt werden. Die skizzierten Lösungen müssen deutlich über den aktuellen Stand der Wissenschaft und Technik hinausgehen.

3 Zuwendungsempfänger

Antragsberechtigt im Rahmen von Verbundprojekten und für Einzelprojekte sind staatliche und nichtstaatliche Hochschulen, außeruniversitäre Forschungseinrichtungen, Verbände, Vereine sowie Unternehmen der gewerblichen Wirtschaft (insbesondere kleine und mittlere Unternehmen [KMU], Definition von KMU siehe http://www.forschungsrahmenprogramm.de/kmu-definition.htm ) sowie sonstige Organisationen mit Forschungs- und Entwicklungsinteresse.

Forschungseinrichtungen, die gemeinsam von Bund und Ländern grundfinanziert werden, kann nur unter bestimmten Voraussetzungen eine Projektförderung für ihren zusätzlichen Aufwand bewilligt werden.

Die Verbundprojekte haben Anwender der neuartigen Technologien zur digitalen Selbstbestimmung und zum Selbstdatenschutz mit einzubeziehen.

4 Zuwendungsvoraussetzungen

Die notwendigen Forschungs- und Entwicklungsarbeiten sind unter Berücksichtigung und Darstellung der technischen und wirtschaftlichen Risiken zu planen. Notwendige Voraussetzung für die Förderung ist das Zusammenwirken von Beteiligten aus der Wirtschaft und/oder der Wissenschaft zur Lösung von gemeinsamen Forschungsaufgaben (Verbundprojekte). An den Verbundprojekten müssen insbesondere solche Partner beteiligt sein, welche die Forschungsergebnisse zur breiten Anwendung bringen wollen. Im Ausnahmefall sind wissenschaftliche Einzelvorhaben möglich.

Antragsteller müssen die Bereitschaft zur interdisziplinären Zusammenarbeit mitbringen und durch Vorarbeiten insbesondere im betreffenden Fachgebiet ausgewiesen sein. Ferner wird von den Antragstellern die Bereitschaft zur projektübergreifenden Zusammenarbeit mit anderen Verbünden erwartet.

Antragsteller sollen sich – auch im eigenen Interesse – im Umfeld des national beabsichtigten Vorhabens mit dem EU-Rahmenprogramm für Forschung und Innovation vertraut machen. Sie sollen prüfen, ob das beabsichtigte Vor­haben spezifische europäische Komponenten aufweist und damit eine ausschließliche EU-Förderung möglich ist. Weiterhin ist zu prüfen, inwieweit im Umfeld des national beabsichtigten Vorhabens ergänzend ein Förderantrag bei der EU gestellt werden kann. Das Ergebnis der Prüfungen soll im nationalen Förderantrag kurz dargestellt werden.

Die Partner eines Verbundprojekts haben ihre Zusammenarbeit in einer schriftlichen Kooperationsvereinbarung zu regeln. Vor der Förderentscheidung über ein Verbundprojekt muss eine grundsätzliche Übereinkunft der Kooperationspartner über bestimmte vom BMBF vorgegebene Kriterien nachgewiesen werden. Einzelheiten können einem BMBF-Merkblatt – Vordruck 0110 – ( https://foerderportal.bund.de/easy/module/easy_formulare/download.php?datei=219 ) entnommen werden.

5 Art und Umfang, Höhe der Zuwendung

Die Zuwendungen können im Wege der Projektförderung als nicht rückzahlbare Zuschüsse gewährt werden.

Bemessungsgrundlage für Zuwendungen an Unternehmen der gewerblichen Wirtschaft sind die zuwendungsfähigen projektbezogenen Kosten, die in der Regel – je nach Anwendungsnähe des Vorhabens – bis zu 50 % anteilsfinanziert werden können. Nach BMBF-Grundsätzen wird eine angemessene Eigenbeteiligung – grundsätzlich mindestens 50 % der entstehenden zuwendungsfähigen Kosten – vorausgesetzt.

Bemessungsgrundlage für Hochschulen, Forschungs- und Wissenschaftseinrichtungen und vergleichbare Institutionen sind die zuwendungsfähigen projektbezogenen Ausgaben (bei Helmholtz-Zentren und der Fraunhofer-Gesellschaft – FhG – die zuwendungsfähigen projektbezogenen Kosten), die individuell bis zu 100 % gefördert werden können.

Die Bemessung der jeweiligen Förderquote muss den Gemeinschaftsrahmen der EU-Kommission für staatliche Beihilfen für Forschung, Entwicklung und Innovation (FuEuI-Beihilfen) berücksichtigen. Dieser Gemeinschaftsrahmen lässt für KMU differenzierte Aufschläge zu, die gegebenenfalls zu einer höheren Förderquote führen können.

Die mögliche Förderdauer beträgt in der Regel zwei bis drei Jahre.

6 Sonstige Zuwendungsbestimmungen

Bestandteil eines Zuwendungsbescheids auf Kostenbasis werden grundsätzlich die Nebenbestimmungen für Zuwendungen auf Kostenbasis des BMBF an Unternehmen der gewerblichen Wirtschaft für FuE-Vorhaben (NKBF98).

Bestandteil eines Zuwendungsbescheids auf Ausgabenbasis werden die Allgemeinen Nebenbestimmungen für Zuwendungen zur Projektförderung (ANBest-P) und die Besonderen Nebenbestimmungen für Zuwendungen des BMBF zur Projektförderung auf Ausgabenbasis (BNBest-BMBF98) sowie die "Besonderen Nebenbestimmungen für den Abruf von Zuwendungen im mittelbaren Abrufverfahren im Geschäftsbereich des BMBF" (BNBest-mittelbarer Abruf-BMBF), sofern die Zuwendungsmittel im sogenannten Abrufverfahren bereitgestellt werden.

7 Verfahren

7.1 Einschaltung eines Projektträgers und Anforderung von Unterlagen

Mit der Abwicklung der Fördermaßnahme „Erkennung und Aufklärung von IT-Sicherheitsvorfällen“ hat das BMBF folgenden Projektträger beauftragt:

VDI/VDE Innovation und Technik GmbH
Projektträger Kommunikationssysteme; IT-Sicherheit
Steinplatz 1
10623 Berlin
Ansprechpartner: Dr. Joachim Lepping
Telefon: 0 30/31 00 78-3 86
Telefax: 0 30/31 00 78-2 47
Internet: www.vdivde-it.de/KIS/bekanntmachungen/bm-eas

Vordrucke für Förderanträge, Richtlinien, Merkblätter, Hinweise und Nebenbestimmungen können von der Website des Projektträgers heruntergeladen werden: www.vdivde-it.de/projektfoerderung/dokumente-fuer-die-projektfoerderung

7.2 Zweistufiges Förderverfahren

Das Förderverfahren ist zweistufig angelegt.

7.2.1 Vorlage und Auswahl von Projektskizzen

In der ersten Stufe sind dem Projektträger

bis spätestens zum 5. Juni 2015

zunächst Projektskizzen in elektronischer Form unter https://www.vdivde-it.de/submission/bekanntmachungen in deutscher Sprache vorzulegen. Bei Verbundprojekten sind die Projektskizzen in Abstimmung mit dem vorgesehenen Verbundkoordinator vorzulegen.

Die Vorlagefrist gilt nicht als Ausschlussfrist. Verspätet eingehende Projektskizzen können aber möglicherweise nicht mehr berücksichtigt werden.

Projektskizzen sollen einen Umfang von 15 DIN-A4-Seiten inklusive Anlagen nicht überschreiten. Sie müssen ein fachlich beurteilbares Grobkonzept und eine grobe Finanzplanung (mit Berücksichtigung der Projektpauschale im Fall von Universitäten) beinhalten. Im Grobkonzept sollen die Ziele des Verbundprojekts, die Organisationsstruktur und das Arbeitsprogramm vor dem Hintergrund des aktuellen Standes von Forschung und Technologie sowie der Relevanz für die Selbstbestimmung und den Selbstdatenschutz in der digitalen Welt erläutert werden.

Für die geplanten Forschungs- und Entwicklungsarbeiten müssen eine überzeugende wissenschaftliche Begründung sowie ein Verwertungskonzept vorgelegt werden. In diesem müssen Marktpotenziale und Verwertungsmöglichkeiten unter Berücksichtigung der Wettbewerbssituation und der späteren Wertschöpfung in Deutschland dargestellt werden.

Es wird empfohlen, vor der Einreichung der Projektskizzen direkt mit dem Projektträger VDI/VDE-IT unter der oben genannten Telefonnummer Kontakt aufzunehmen.

Aus der Vorlage der Projektskizze kann kein Rechtsanspruch auf eine Förderung abgeleitet werden.

Die Projektskizzen können nach folgender Gliederung erstellt werden:

1. Thema und Zielsetzung des Vorhabens
2. Neuheit des Lösungsansatzes, Stand der Wissenschaft und Technik, Patentlage
3. Notwendigkeit der Zuwendung: wissenschaftlich-technisches und wirtschaftliches Risiko mit Begründung der Notwendigkeit staatlicher Förderung
4. Markpotenzial, Marktumfeld, wirtschaftliche und wissenschaftliche Konkurrenzsituation
5. Kurzdarstellung des/der beantragenden Unternehmen/s, konkrete Darlegung des Geschäftsmodells und Markt­perspektiven mit Zeithorizont und Planzahlen, Darstellung des aufzubringenden Eigenanteils
6. Arbeitsplan, gegebenenfalls Verbundstruktur mit Arbeitspaketen aller beteiligten Partner
7. Finanzierungsplan
8. Verwertungsplan

Die eingegangenen Projektskizzen werden nach folgenden Kriterien bewertet:

• Bedeutung des Forschungsziels: gesellschaftlicher Bedarf und Relevanz der Skizze im Rahmen der Schwerpunkte der Bekanntmachung
• wissenschaftlich-technische Qualität des Lösungsansatzes und Anwendungsbezug
• Neuheit und Innovationshöhe des wissenschaftlich-technischen Konzepts
• technologisches und wirtschaftliches Potenzial
• Qualifikation der Partner
• Projektmanagement
• Qualität und Umsetzbarkeit des Verwertungskonzepts, Kommerzialisierungsperspektive, Marktpotenzial
• Angemessenheit der geplanten finanziellen Aufwendungen
• Abschätzung der mit den wissenschaftlich-technischen Innovationen verbundenen gesellschaftlichen, wirtschaft­lichen und ökologischen Chancen und Risiken.

Für die Verbundprojekte wird zudem die Qualität der Verbundstruktur als Kriterium herangezogen.

Auf der Grundlage der Bewertung werden die für eine Förderung geeigneten Projektideen ausgewählt. Das Auswahlergebnis wird den Interessenten schriftlich mitgeteilt. Die eingereichten Projektvorschläge stehen untereinander im Wettbewerb. Das BMBF behält sich vor, sich bei der Förderentscheidung durch unabhängige Experten beraten zu lassen.

Der Antragsteller hat keinen Rechtsanspruch auf Rückgabe einer eingereichten Projektskizze.

7.2.2 Vorlage förmlicher Förderanträge und Entscheidungsverfahren

In der zweiten Verfahrensstufe werden die Interessenten bei positiv bewerteten Projektskizzen aufgefordert, gegebenenfalls in Abstimmung mit dem vorgesehenen Verbundkoordinator einen förmlichen Förderantrag vorzulegen, über den nach abschließender Prüfung entschieden wird.

Die Erstellung von förmlichen Förderanträgen soll durch die Nutzung des elektronischen Antragssystems "easy-Online" erfolgen. Informationen dazu erhalten Antragsteller online beim Projektträger: www.vdivde-it.de/KIS/bekanntmachungen/bm-eas

Für die Bewilligung, Auszahlung und Abrechnung der Zuwendung sowie für den Nachweis und die Prüfung der Verwendung und die gegebenenfalls erforderliche Aufhebung des Zuwendungsbescheids und die Rückforderung der gewährten Zuwendung gelten die Verwaltungsvorschriften zu § 44 BHO sowie die §§ 48 bis 49a des Verwaltungsverfahrensgesetzes, soweit nicht in diesen Förderrichtlinien Abweichungen zugelassen sind.

7.2.3 Angebot einer Informationsveranstaltung

Skizzeneinreichern wird die Möglichkeit geboten, im April 2015 im Rahmen einer Informationsveranstaltung Kontakte zu möglichen Partnern für ein gemeinsames Verbundprojekt aufzubauen. Informationen dazu erhalten Antragsteller online beim Projektträger: www.vdivde-it.de/KIS/bekanntmachungen/bm-eas

8 Inkrafttreten

Diese Förderrichtlinien treten am Tag nach der Veröffentlichung im Bundesanzeiger in Kraft.

Bonn, den 20. Februar 2015

Bundesministerium für Bildung und Forschung

Im Auftrag
Dr. Ulf Lange

Änderung der Bekanntmachung zur Förderung von Forschungsinitiativen auf dem Gebiet der "Erkennung und Aufklärung von IT-Sicherheitsvorfällen". Bundesanzeiger vom 07.09.2017

- Bundesministerium für Bildung und Forschung