Ausschreibungen Bundesamt für Sicherheit in der Informationstechnik

Mit diesem Rahmenvertrag sollen Aufgaben als Dienstleistung zur Gestaltung der Cybersicherheit in den Bereichen Consumer IoT und Public IoT sowie E-Mail-Diensten und allgemein dem digitalen Verbraucherschutz übernommen werden. Explizit ausgenommen sind hierbei regulierte IoT-Produkte aus dem Energiesektor (wie Mess- und Steuerungseinrichtungen gemäß MsbG und EnWG), Energiewendeanlagen (wie PV-Wechselrichter, Energiemanagementsysteme und Batteriespeicher), regulierte IoT-Produkte aus dem Gesundheitswesen und der Telematik-Infrastruktur, dem Bereich intelligenter Transportsysteme sowie industrieller Anwendungen. Die Ergebnisse dienen zur Verbesserung der Vollständigkeit, Testbarkeit und Anwendbarkeit von neuen Standards, die z.B. im Rahmen des CRA Anwendung finden werden. Überdies sollen Handlungsempfehlungen und Demonstratoren für die Cybersicherheitsprävention entwickelt werden mit dem Ziel, die Cyberresilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Für unsere Standardisierungsarbeiten sind praxisorientierte Erkenntnisse von hoher Bedeutung. Hierfür müssen Schwachstellen von Produkten analysiert und bewertet, Standards und Testspezifikation anhand von konkreten Produkten auf deren Praxistauglichkeit evaluiert (Proof of Concept, PoC) und neue Technologien (z.B. Sicherheitsprotokolle) auf deren Anwendbarkeit untersucht werden, bevor diese in Standards eingebracht werden können. Bei Bekanntwerden von Schwachstellen in Produkten und Services aus den o. g. Bereichen werden bei Bedarf Ersteinschätzungen durchgeführt, Handlungsempfehlungen und begleitet Prozesse erstellt, die zur Schließung der Schwachstelle beitragen wie bspw. den CVD-Prozess. Abhängig von der Kritikalität und den Spezifika der vorliegenden Schwachstelle kann zu einer fachspezifischen Einschätzung z.B. ein praktisches Nachstellen der Schwachstelle oder eine Betroffenheitsprüfung erforderlich sein. Erkenntnisse aus der Entwicklung und Pflege der Standards, sowie Studien und Sicherheitsanalysen sind wichtiger Bestandteil der Präventionsarbeit des BSI zur Sensibilisierung und Stärkung der Cyberresilienz von Staat, Wirtschaft und Gesellschaft. Zur Prävention veröffentlicht das BSI darüber hinaus Handlungsempfehlungen, Testtools bzw. Prüfumgebungen und entwickelt Demonstratoren, z.B. für Messen, um verbreitete Schwachstellen praxisnah präsentieren zu können. Eine weitere wichtige Aufgabe des BSI ist der technische Verbraucherschutz. Im Rahmen von Sicherheitsuntersuchungen ausgewählter digitaler Verbraucherprodukte kann das BSI aktuelle IT-Sicherheitsrisiken am Markt identifizieren, um die gewonnenen Erkenntnisse für die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern zu nutzen.

Mit zunehmender Digitalisierung im kommunalen Umfeld und dem daraus folgenden steigenden Einsatz von Kommunikationstechnologien im Smart City Bereich, ist eine sichere und zuverlässige Kommunikation aller Geräte und Systeme unerlässlich. Aus diesem Grund soll eine Untersuchung und Bewertung von marktrelevanten modernen Kommunikationstechnologien, Infrastrukturen und Protokollen hinsichtlich ihrer Einsatzpotenziale zur Bereitstellung von Konnektivität für kommunale IoT-Infrastrukturen untersucht werden. Die in realitätsnahen Tests im Rahmen dieses Projektes gewonnenen Erkenntnisse und Ergebnisse werden anschließend in Form von Hilfestellungen, Entscheidungshilfen oder Handlungsempfehlungen den betroffenen Akteuren (z.B. Stadtwerke und kommunale Verwaltungen) zur sicheren Verwendung zur Verfügung gestellt werden.

Aktuell befindet sich eine Stand-der-Technik-Bibliothek (SdT-Bibliothek) in der Pilotphase. Diese wurde als GitHub-Bibliothek mit Anforderungen initiiert (https://github.com/BSI-Bund/Stand-der-Technik Bibliothek). In diesem Projekt werden zwei Software-Artefakte entwickelt: 1) Editor zur Erstellung von Anforderungen und Zusammenstellung von bestehenden Anforderungen in Kataloge 2) Generator zur Sichtung von Anforderungen und Katalogen sowie Unterstützung im Management dieser zwecks Maßnahmendurchführung und -nachweis Im Ergebnis werden BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten somit in die Lage versetzt, nutzerfreundlich in dem Editor Anforderungen und Maßnahmen einzupflegen. Diese fügen sich technisch korrekt in die Stand-der-Technik-Bibliothek ein und werden nach einem automatisierten Prüfprozess im Generator sichtbar. BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten benötigen hierfür keine speziellen Kenntnisse bzgl. des OSCAL-Formats. Zielgruppen des BSI (Behörden, Unternehmen) können die Anforderungen übersichtlich in Anwenderkatalogen sichten und werden vom Generator in der Auswahl und Umsetzung von Maßnahmen unterstützt.

Aktuell befindet sich eine Stand-der-Technik-Bibliothek (SdT-Bibliothek) in der Pilotphase. Diese wurde als GitHub-Bibliothek mit Anforderungen initiiert (https://github.com/BSI-Bund/Stand-der-Technik Bibliothek). In diesem Projekt werden zwei Software-Artefakte entwickelt: 1) Editor zur Erstellung von Anforderungen und Zusammenstellung von bestehenden Anforderungen in Kataloge 2) Generator zur Sichtung von Anforderungen und Katalogen sowie Unterstützung im Management dieser zwecks Maßnahmendurchführung und -nachweis Im Ergebnis werden BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten somit in die Lage versetzt, nutzerfreundlich in dem Editor Anforderungen und Maßnahmen einzupflegen. Diese fügen sich technisch korrekt in die Stand-der-Technik-Bibliothek ein und werden nach einem automatisierten Prüfprozess im Generator sichtbar. BSI-Mitarbeitende und andere Ersteller von Anforderungsdokumenten benötigen hierfür keine speziellen Kenntnisse bzgl. des OSCAL-Formats. Zielgruppen des BSI (Behörden, Unternehmen) können die Anforderungen übersichtlich in Anwenderkatalogen sichten und werden vom Generator in der Auswahl und Umsetzung von Maßnahmen unterstützt.

Auftragsgegenstand ist die jährliche redaktionelle Überarbeitung und inhaltliche Aktualisierung der BSI-Studie "Entwicklungsstand Quantencomputer" (siehe www.bsi.bund.de/qcstudie) in drei Revisionen. Ziel ist es, die aus der BSI-Studie "Entwicklungsstand Quantencomputer" gewonnenen Erkenntnisse in regelmäßigen Abständen an aktuelle Entwicklungen in Forschung und Industrie anzupassen und zu reevaluieren, damit dem BSI eine stets aktuelle Entscheidungsgrundlage zur Verfügung steht, um den notwendigen Handlungsbedarf bezüglich der Entwicklung, Standardisierung und Verbreitung quantensicherer kryptografischer Verfahren abschätzen und ggf. intensivieren zu können. Die bisherige BSI-Studie bietet eine fundierte Einschätzung des aktuellen Entwicklungsstands sowie eine belastbare Prognose zur künftigen Verfügbarkeit kryptografisch relevanter Quantencomputer. Die im Rahmen dieses Projekts zu verfassende Aktualisierung der Studie umfasst sowohl universelle Quantencomputer – zur Ausführung von Algorithmen wie denen von Regev, Shor oder Grover – als auch kryptanalytische Ansätze mittels adiabatischem Quantum Computing oder Noisy Intermediate Scale Quantum (NISQ). Die Studie konzentriert sich dabei auf die beiden Aspekte Realisierungsansätze und algorithmische Innovationen. In jeder der drei Revisionen soll insbesondere zu diesen Aspekten eine Aktualisierung der Studie erfolgen.

Das Projekt MasiBA dient als Grundlage, um im Umfeld der großen Vielfalt an Bildungsplattformen und Lösungen, welche sich an die Nationale Bildungsplattform anbinden können, zielgerichtet, im Kontext der IT-Sicherheit, unterstützen zu können. Dafür sollen insgesamt bis zu fünf Lernplattformen einer Schwachstellenanalyse unterzogen werden. Die Ergebnisse sollen sowohl in einen Handlungsleitfaden als auch in die TR NBP einfließen, um Plattformentwicklern eine mögliche Hilfestellung bieten zu können.

Gegenstand der beabsichtigten Studie sind Untersuchungen und Analysen zur eGovernment- und eJustice-Landschaft auf Bundes- und Landesebene mit Bezug zu Informationssicherheit, zu aktuellen Kunden- und Standardisierungsbedarfen, zu der Nutzung von Angeboten des BSI durch seine Kundinnen und Kunden und zu aktuellen Trendthemen. Daraus sollen künftige Beratungs- und Unterstützungsbedarfe für den Bereich Informationssicherheit identifiziert und kategorisiert aufbereitet werden. Auf Basis dieser Ergebnisse endet die Untersuchung mit einer Ableitung künftig strategisch bedeutsamer Handlungs- und Aktionsfelder in den Bereichen eGovernment und eJustice.

Das Projekt MasiBA dient als Grundlage, um im Umfeld der großen Vielfalt an Bildungsplattformen und Lösungen, welche sich an die Nationale Bildungsplattform anbinden können, zielgerichtet, im Kontext der IT-Sicherheit, unterstützen zu können. Dafür sollen insgesamt bis zu fünf Lernplattformen einer Schwachstellenanalyse unterzogen werden. Die Ergebnisse sollen sowohl in einen Handlungsleitfaden als auch in die TR NBP einfließen, um Plattformentwicklern eine mögliche Hilfestellung bieten zu können.

Die Digitalisierung des Privatverkehrs ist im vollen Gange. Dass auch Cybersicherheit bei den immer komplexeren Systemen mitgedacht werden muss, ist auch der Automobilindustrie und dem Gesetzgeber bewusstgeworden. Der Ende 2021 verabschiedete Industrie Standard ISO/SAE 21434 sowie die kürzlich in Kraft getretene UN Regulierung R155, die in das EU-Typgenehmigungsrecht umgesetzt wurde, stellen Anforderung an die Cybersicherheit-Managementsysteme und Produkte der Automobilindustrie. In diesem Rahmen wird auch das Thema Penetrationstests an Fahrzeugen immer relevanter. In diesem Projekt soll ein modernes Fahrzeug mit zentralisierter E/E Architektur und dessen Fahrzeugsysteme systematisch hinsichtlich ihrer Cybersicherheit untersucht werden. Dabei soll ein strukturiertes Vorgehen verwendet werden, das insbesondere auf drei Technologien eingeht: Den zentralen Fahrzeugcomputer, die C-ITS Kommunikation und das Schließsystem. Die Untersuchungen erfolgen aus Angreiferperspektive. Bei der Untersuchung des Fahrzeugs soll insbesondere geprüft werden, welche Auswirkungen der Einsatz der genannten Technologien auf die Sicherheit des Gesamtsystems hat. Neben den Untersuchungen selbst, ist das Vorgehen an sich Gegenstand des Projekts.

Die Digitalisierung des Privatverkehrs ist im vollen Gange. Dass auch Cybersicherheit bei den immer komplexeren Systemen mitgedacht werden muss, ist auch der Automobilindustrie und dem Gesetzgeber bewusstgeworden. Der Ende 2021 verabschiedete Industrie Standard ISO/SAE 21434 sowie die kürzlich in Kraft getretene UN Regulierung R155, die in das EU-Typgenehmigungsrecht umgesetzt wurde, stellen Anforderung an die Cybersicherheit-Managementsysteme und Produkte der Automobilindustrie. In diesem Rahmen wird auch das Thema Penetrationstests an Fahrzeugen immer relevanter. In diesem Projekt soll ein modernes Fahrzeug mit zentralisierter E/E Architektur und dessen Fahrzeugsysteme systematisch hinsichtlich ihrer Cybersicherheit untersucht werden. Dabei soll ein strukturiertes Vorgehen verwendet werden, das insbesondere auf drei Technologien eingeht: Den zentralen Fahrzeugcomputer, die C-ITS Kommunikation und das Schließsystem. Die Untersuchungen erfolgen aus Angreiferperspektive. Bei der Untersuchung des Fahrzeugs soll insbesondere geprüft werden, welche Auswirkungen der Einsatz der genannten Technologien auf die Sicherheit des Gesamtsystems hat. Neben den Untersuchungen selbst, ist das Vorgehen an sich Gegenstand des Projekts.