Sicherheit auf allen IT-Systemschichten

Das BMBF beabsichtigt, die Erforschung und Entwicklung von Sicherheitslösungen auf allen IT-Systemschichten zu fördern. Ziel ist es, innovative Bausteine und Gesamtlösungen für sichere und nachvollziehbare IT-Systeme von der Entwicklung bis zum Einsatz und der Anwendung dieser Systeme zu schaffen.

© Adobe Stock/Alex

FÖRDERZIEL UND ZUWENDUNGSZWECK

Im Zuge der Digitalisierung aller Lebensbereiche befinden sich Gesellschaft und Wirtschaft inmitten eines fundamentalen Wandels. Smartphones und Smartwatches sind bereits zu täglichen Begleitern von Bürgerinnen und Bürgern geworden, Smarthome-Geräte drängen in die Wohnräume, smarte Kleidung sowie selbstfahrende Autos stehen in den Startlöchern und durch die COVID-19-Pandemie sind mobile Arbeitsformen inklusive Videokonferenzen endgültig fester Bestandteil des Arbeitsalltags geworden. Die Gefahr, die von Sicherheitslücken in diesen IT-Systemen ausgeht, wächst drastisch aufgrund der Allgegenwärtigkeit und gesellschaftlichen Durchdringungstiefe digitaler Technologie. Deutschland und Europa müssen den digitalen Wandel aktiv mitgestalten und in sichere Zukunftstechnologien investieren, die die technologische, digitale und damit letztlich auch gesellschaftliche Souveränität stärken.

IT-Systeme stammen heutzutage nicht mehr aus einer Hand, sondern bestehen aus einem komplexen Gefüge von Einzelkomponenten, vom Chip bis zur Benutzerschnittstelle. Die Sicherheitseigenschaften dieser komplexen Systeme sind selbst für Expertinnen und Experten häufig schwer zu beurteilen. Die Modularität bringt jedoch eindeutige Vorteile: Viele IT-Produkte unterschiedlicher Anbieter setzten für bestimmte Module und Schichten die gleiche offene Basis oder Plattform ein. Eine Kooperation bei der Entwicklung und Absicherung gemeinsamer IT-Komponenten nutzt deshalb allen Beteiligten. Offene Architekturen, Spezifikationen und Software spielen in diesem Zusammenhang eine zentrale Rolle. Sie bilden die Basis für eine sichere und souveräne Gestaltung und Nutzung digitaler Systeme sowie eine Risikobewertung für die in ihnen verarbeiteten Daten und umgesetzten Prozesse. Aufbauend auf sicheren und offenen IT-Komponenten und Spezifikationen werden Werkzeuge und Methoden benötigt, die es ermöglichen, die Sicherheitseigenschaften von Gesamtsystemen zu garantieren oder aber möglichst effizient und automatisiert zu erfassen. Bausteine hierfür sind beispielsweise Testwerkzeuge und Verfahren zur sicheren Integration von Gesamtsystemen, aber auch Einzelkomponenten mit garantierten Sicherheitseigenschaften.

Ein besonderes Augenmerk muss auf Komponenten gelegt werden, in denen Software und Hardware eng miteinander verwoben sind, wie beispielsweise in Trusted Platform Modules, Firmware und CPU-Mikrocode. Gerade solche systemtiefen Komponenten sind als vertrauenswürdige Basis zentrale Bausteine für technologische Souveränität. Ein Beispiel für ein erhebliches Sicherheitsproblem in einem dieser zentralen Bausteine ist unter dem Namen Spectre bekannt: Die entdeckte Sicherheitslücke in Prozessorarchitekturen erlaubt es, eigentlich nicht zugängliche Daten aus dem Speicher auszulesen. Als Schutzmaßnahmen wurden unter anderem Aktualisierungen des Mikrocodes der betroffenen Prozessoren und andere, weitreichende Softwareupdates notwendig.

Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt, die Erforschung und Entwicklung von Sicherheitslösungen auf allen IT-Systemschichten zu fördern. Ziel ist es, innovative Bausteine und Gesamtlösungen für sichere und nachvollziehbare IT-Systeme von der Entwicklung bis zum Einsatz und der Anwendung dieser Systeme zu schaffen. In diesem Zusammenhang soll die vorwettbewerbliche Zusammenarbeit von Unternehmen und Forschungseinrichtungen im universitären und außeruniversitären Bereich intensiviert sowie die Einbindung kleiner und mittlerer Unternehmen (KMU) unterstützt werden.

Mit der Förderung beabsichtigt das BMBF, die Expertise und Wertschöpfung im Bereich der IT-Sicherheit am Standort Deutschland nachhaltig zu stärken, europäische Alternativen bei sicherheitskritischen IT-Komponenten zu etablieren und so zum Ausbau der technologischen, digitalen und gesellschaftlichen Souveränität beizutragen. Dabei fällt den KMU eine wichtige Rolle beim Transfer von Forschungsergebnissen in wirtschaftliche Erfolge zu. Die Berücksichtigung von Aspekten der akademischen Ausbildung im Rahmen von Forschungsprojekten wird begrüßt.

GEGENSTAND DER FÖRDERUNG

Gegenstand der Förderung ist die Erforschung und Entwicklung sicherer Komponenten für IT-Systeme, sowie Methoden und Werkzeuge zur Entwicklung und Prüfung solch sicherer Komponenten und von Gesamtsystemen. Adressiert werden können grundsätzlich alle IT-Systemschichten, insbesondere auch tiefliegende, in denen Software und Hardware eng miteinander verbunden sind, wie beispielsweise in Trusted Platform Modules, Firmware und CPU-Mikrocode. Gefördert werden ebenfalls Werkzeuge und Methoden zur sicheren Komposition und Analyse von Gesamtsystemen aus sicheren und unsicheren Komponenten. Die erforschten und entwickelten Komponenten, Methoden und Werkzeuge sollen, wo immer möglich, auf offenen Komponenten beruhen und eigene Spezifikationen und Quellen offenlegen (im Sinne von Open-Source-Software und -Hardware), um eine transparente Überprüfbarkeit der Ergebnisse zu ermöglichen und Vertrauen in die entwickelten Lösungen herzustellen:

Beispiele für mögliche Forschungsthemen sind die Erforschung, Entwicklung, Evaluation und Demonstration von:

  • Entwicklungsmethoden, Arbeitsprozessen und Entwurfsmustern mit definierten Sicherheitsgarantien;
  • praktikablen Design- und Analysemethoden, um Sicherheitsschwachstellen frühzeitig zu erkennen, Risiken effizient zu bewerten und geeignete Gegenmaßnahmen einzuleiten;
  • effektiven und leistungsfähigen Verfahren zur Erkennung von Manipulationen in der Entwicklung und Anwendung von IT-Komponenten;
  • effizienten Verfahren zur formalen Verifikation oder für statistische Garantien sowie zur Validierung und Zertifizierung der Sicherheit von Komponenten und Systemen;
  • sicheren Spezifikationen und ableitbaren Sicherheitsgarantien für offene Befehlssätze wie zum Beispiel RISC-V;
  • Software-basierten Methoden zum Erkennen und Vermeiden von Seitenkanalangriffen oder deren Verhinderung durch kryptografische Verfahren und Protokolle;
  • Methoden und Werkzeuge zur Bildung und Überprüfung von Vertrauensketten in zusammengesetzten IT-Systemen.

Im Rahmen der Förderbekanntmachung werden vorzugsweise Verbünde, in begründeten Ausnahmefällen auch Einzelvorhaben, gefördert. Die Umsetzbarkeit und Verwertbarkeit der Vorhaben soll durch eine der Relevanz des Themas angemessenen Beteiligung von Unternehmen in der Verbundstruktur sichergestellt werden. Im Hinblick auf die Verwertbarkeit sind Transparenz und Offenheit der Ergebnisse sowie Marktzugang und eine Strategie zur Weiterentwicklung bis zur Marktreife klar darzustellen. Darüber hinaus ist das Potenzial der Integrierbarkeit der Ergebnisse und entwickelten Lösungen in gängige Entwicklungsverfahren, -umgebungen und -methoden aufzuzeigen. Die Machbarkeit der Lösungen ist vorzugsweise in einem Demonstrator nachzuweisen. Querschnittsthemen wie Normung, Standardisierung und vorbereitende Arbeiten zur Zertifizierung sollten, soweit erforderlich, in den Vorhaben berücksichtigt werden.