Ausschreibungen Bundesamt für Sicherheit in der Informationstechnik

Die Studie untersucht die Cybersicherheit in Automobillieferketten und analysiert bestehende Sicherheitslücken entlang der gesamten Wertschöpfungskette. Auf dieser Basis werden Handlungsbedarfe im Hinblick auf Standards und Regulierung identifiziert, um den Herausforderungen von Industrie 4.0 gerecht zu werden. Als Ergebnis werden Konzepte entwickelt, um relevante Handlungsbedarfe in umsetzbare Maßnahmen zu überführen.

Mit zunehmender Digitalisierung im kommunalen Umfeld und dem daraus folgenden steigenden Einsatz von Kommunikationstechnologien im Smart City Bereich, ist eine sichere und zuverlässige Kommunikation aller Geräte und Systeme unerlässlich. Aus diesem Grund soll eine Untersuchung und Bewertung von marktrelevanten modernen Kommunikationstechnologien, Infrastrukturen und Protokollen hinsichtlich ihrer Einsatzpotenziale zur Bereitstellung von Konnektivität für kommunale IoT-Infrastrukturen untersucht werden. Die in realitätsnahen Tests im Rahmen dieses Projektes gewonnenen Erkenntnisse und Ergebnisse werden anschließend in Form von Hilfestellungen, Entscheidungshilfen oder Handlungsempfehlungen den betroffenen Akteuren (z.B. Stadtwerke und kommunale Verwaltungen) zur sicheren Verwendung zur Verfügung gestellt werden.

In dem Projekt 1015 werden hochaufgelöste Bilder von den einzelnen Schichten eines Chips mit bekanntem Open-Source-Design hergestellt. Die Bilddaten werden gemeinsam mit weiteren wichtigen Daten wie der zugrunde liegenden Netzliste, dem VHDL-Code und einem minimalen Open-Source-Framework z.B. auf github unter einer freien Lizenz als Benchmark veröffentlicht, um Sicherheitsforschern aus Industrie, Wirtschaft, Wissenschaft und Behörden den Zugang zu ermöglichen und die Möglichkeit zu geben, anhand der Daten ihre Reverse-Engineering-Ansätze zu testen.

Mit diesem Rahmenvertrag sollen Aufgaben als Dienstleistung zur Gestaltung der Cybersicherheit in den Bereichen Consumer IoT und Public IoT sowie E-Mail-Diensten und allgemein dem digitalen Verbraucherschutz übernommen werden. Explizit ausgenommen sind hierbei regulierte IoT-Produkte aus dem Energiesektor (wie Mess- und Steuerungseinrichtungen gemäß MsbG und EnWG), Energiewendeanlagen (wie PV-Wechselrichter, Energiemanagementsysteme und Batteriespeicher), regulierte IoT-Produkte aus dem Gesundheitswesen und der Telematik-Infrastruktur, dem Bereich intelligenter Transportsysteme sowie industrieller Anwendungen. Die Ergebnisse dienen zur Verbesserung der Vollständigkeit, Testbarkeit und Anwendbarkeit von neuen Standards, die z.B. im Rahmen des CRA Anwendung finden werden. Überdies sollen Handlungsempfehlungen und Demonstratoren für die Cybersicherheitsprävention entwickelt werden mit dem Ziel, die Cyberresilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Für unsere Standardisierungsarbeiten sind praxisorientierte Erkenntnisse von hoher Bedeutung. Hierfür müssen Schwachstellen von Produkten analysiert und bewertet, Standards und Testspezifikation anhand von konkreten Produkten auf deren Praxistauglichkeit evaluiert (Proof of Concept, PoC) und neue Technologien (z.B. Sicherheitsprotokolle) auf deren Anwendbarkeit untersucht werden, bevor diese in Standards eingebracht werden können. Bei Bekanntwerden von Schwachstellen in Produkten und Services aus den o. g. Bereichen werden bei Bedarf Ersteinschätzungen durchgeführt, Handlungsempfehlungen und begleitet Prozesse erstellt, die zur Schließung der Schwachstelle beitragen wie bspw. den CVD-Prozess. Abhängig von der Kritikalität und den Spezifika der vorliegenden Schwachstelle kann zu einer fachspezifischen Einschätzung z.B. ein praktisches Nachstellen der Schwachstelle oder eine Betroffenheitsprüfung erforderlich sein. Erkenntnisse aus der Entwicklung und Pflege der Standards, sowie Studien und Sicherheitsanalysen sind wichtiger Bestandteil der Präventionsarbeit des BSI zur Sensibilisierung und Stärkung der Cyberresilienz von Staat, Wirtschaft und Gesellschaft. Zur Prävention veröffentlicht das BSI darüber hinaus Handlungsempfehlungen, Testtools bzw. Prüfumgebungen und entwickelt Demonstratoren, z.B. für Messen, um verbreitete Schwachstellen praxisnah präsentieren zu können. Eine weitere wichtige Aufgabe des BSI ist der technische Verbraucherschutz. Im Rahmen von Sicherheitsuntersuchungen ausgewählter digitaler Verbraucherprodukte kann das BSI aktuelle IT-Sicherheitsrisiken am Markt identifizieren, um die gewonnenen Erkenntnisse für die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern zu nutzen.

Mit zunehmender Digitalisierung im kommunalen Umfeld und dem daraus folgenden steigenden Einsatz von Kommunikationstechnologien im Smart City Bereich, ist eine sichere und zuverlässige Kommunikation aller Geräte und Systeme unerlässlich. Aus diesem Grund soll eine Untersuchung und Bewertung von marktrelevanten modernen Kommunikationstechnologien, Infrastrukturen und Protokollen hinsichtlich ihrer Einsatzpotenziale zur Bereitstellung von Konnektivität für kommunale IoT-Infrastrukturen untersucht werden. Die in realitätsnahen Tests im Rahmen dieses Projektes gewonnenen Erkenntnisse und Ergebnisse werden anschließend in Form von Hilfestellungen, Entscheidungshilfen oder Handlungsempfehlungen den betroffenen Akteuren (z.B. Stadtwerke und kommunale Verwaltungen) zur sicheren Verwendung zur Verfügung gestellt werden.

Aktuell befindet sich eine Stand-der-Technik-Bibliothek (SdT-Bibliothek) in der Pilotphase. Diese wurde als GitHub-Bibliothek mit Anforderungen initiiert (https://github.com/BSI-Bund/Stand-der-Technik Bibliothek). In diesem Projekt werden zwei Software-Artefakte entwickelt: 1) Editor zur Erstellung von Anforderungen und Zusammenstellung von bestehenden Anforderungen in Kataloge 2) Generator zur Sichtung von Anforderungen und Katalogen sowie Unterstützung im Management dieser zwecks Maßnahmendurchführung und -nachweis Im Ergebnis werden BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten somit in die Lage versetzt, nutzerfreundlich in dem Editor Anforderungen und Maßnahmen einzupflegen. Diese fügen sich technisch korrekt in die Stand-der-Technik-Bibliothek ein und werden nach einem automatisierten Prüfprozess im Generator sichtbar. BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten benötigen hierfür keine speziellen Kenntnisse bzgl. des OSCAL-Formats. Zielgruppen des BSI (Behörden, Unternehmen) können die Anforderungen übersichtlich in Anwenderkatalogen sichten und werden vom Generator in der Auswahl und Umsetzung von Maßnahmen unterstützt.

Aktuell befindet sich eine Stand-der-Technik-Bibliothek (SdT-Bibliothek) in der Pilotphase. Diese wurde als GitHub-Bibliothek mit Anforderungen initiiert (https://github.com/BSI-Bund/Stand-der-Technik Bibliothek). In diesem Projekt werden zwei Software-Artefakte entwickelt: 1) Editor zur Erstellung von Anforderungen und Zusammenstellung von bestehenden Anforderungen in Kataloge 2) Generator zur Sichtung von Anforderungen und Katalogen sowie Unterstützung im Management dieser zwecks Maßnahmendurchführung und -nachweis Im Ergebnis werden BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten somit in die Lage versetzt, nutzerfreundlich in dem Editor Anforderungen und Maßnahmen einzupflegen. Diese fügen sich technisch korrekt in die Stand-der-Technik-Bibliothek ein und werden nach einem automatisierten Prüfprozess im Generator sichtbar. BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten benötigen hierfür keine speziellen Kenntnisse bzgl. des OSCAL-Formats. Zielgruppen des BSI (Behörden, Unternehmen) können die Anforderungen übersichtlich in Anwenderkatalogen sichten und werden vom Generator in der Auswahl und Umsetzung von Maßnahmen unterstützt.

Im Rahmen von zwei Arbeitsschwerpunkten (Arbeitsschwerpunkt C1 und Arbeitsschwerpunkt C2) wird mit der geplanten Studie das Ziel verfolgt, die Ergebnisse aus der Vorgänger-Studie SoVIT 1.0 (Projekt 448) zu vertiefen und zu erweitern und damit zusätzliche VS-Anforderungen an SDN-Architekturen (Systemebene) und SDN-Produkte (Produktebene) im VS-Kontext abzuleiten. Während bei der Vorgängerstudie SoVIT 1.0 der Schwerpunkt auf VS-IT-Systemen und SDN-Produkten lag, wird der Schwerpunkt der geplanten Studie (SoVIT 2.0) auf SDN-Architekturen und VS-Produkten liegen. Geplant ist, durch diese zusätzliche Perspektive die Ergebnisse aus SoVIT 1.0 zu vertiefen und zu erweitern. Insbesondere sind zusätzliche VS-Anforderungen an SDN-Architekturen (Systemebene) und SDN-Produkte (Produktebene) im VS-Kontext abzuleiten. In Schwerpunkt C1 werden unterschiedliche SDN-Architekturen und deren Verwendung im VS-Kontext untersucht. Auf Systemebene werden funktionale Anforderungen sowie VS-Anforderungen abgeleitet. In Schwerpunkt C2 werden zu den in C1 identifizierten SDN-Architekturen unterschiedliche Produktkonstellationen betrachtet, aus denen sich die jeweilige Architektur zusammensetzt. Auf Produktebene wird untersucht, (1) wie sich die in C1 ermittelten Anforderungen in den einzelnen Produkten wiederfinden und (2) welche zusätzlichen funktionalen Anforderungen und VS-Anforderungen auf Produktebene gestellt werden.

Das Projekt 634 „SiPra – Sicherheit von Praxisverwaltungssystemen“ hat den Anspruch, zunächst einen Überblick über die auf dem Markt befindlichen Praxisverwaltungssysteme (PVS) und deren technischen Eigenschaften (u.a. Funktionsumfang, Architektur, Sicherheitsmaßnahmen) zu geben. Im weiteren Verlauf des Projektes werden 4 PVS ausgewählt und anschließend umfassend technisch hinsichtlich der Sicherheit analysiert ((Penetrationstest, Fuzzing-Test, Ausführen von Schadcode, Einschleusen von Maleware). Die identifizierten Schwachstellen und Angriffsvektoren werden entsprechend dokumentiert und können als Basis für nachfolgende Projekte dienen, um die IT-Sicherheit bei den ambulanten Leistungserbringern zu ermöglichen.

Das Ziel des Projekts RACE-I ist die Erstellung einer Bedarfsanalyse und Machbarkeitsstudie für kryptographische RISC-V-Komponenten. RACE-I untergliedert sich in zwei Phasen. In Phase A liegt der Schwerpunkt einerseits auf der Analyse des Marktes und Bedarfs und andererseits auf die potentielle Anpassung bereits vorhandener RISC-V-Lösungen an kryptographische Vorgaben. In Phase B liegt der Schwerpunkt auf der Identifikation benötigter kryptographischer Extensions, Primitiven und Protokollen. Auf Basis dieser Identifikation wird der Ressourcenverbrauch schätzungsweise errechnet und anhand der Ergebnisse eine Auswahl von passenden RISC-V-Plattformen vorgeschlagen.