Die zunehmende Durchdringung aller Lebens- und Arbeitsbereiche durch Informations- und Kommunikationstechnologien bestimmt maßgeblich unseren technologischen Fortschritt und unsere Innovationsfähigkeit, birgt aber zugleich neue Risiken. Die Vernetzung von Dingen und Diensten, von Infrastrukturen und Prozessen von der Energieversorgung bis hin zur Produktion, bedeutet, dass weite Bereiche des gesellschaftlichen und wirtschaftlichen Lebens von funktionierenden, robusten Infrastrukturen abhängig sind. Der Schutz Kritischer Infrastrukturen vor Cyberangriffen ist für unsere Gesellschaft lebensnotwendig.

1 Zuwendungszweck, Rechtsgrundlage

1.1 Zuwendungszweck

Moderne Industrienationen sind auf komplexe Infrastrukturen angewiesen. Wirtschaft und Gesellschaft funktionieren nur, wenn die grundlegende Versorgung gesichert ist. Ein Ausfall oder eine Manipulation und Beeinträchtigung dieser Systeme über einen längeren Zeitraum oder auf einer größeren Fläche würde weitreichende Folgen nach sich ziehen – sie sind Kritische Infrastrukturen.

Schon im Jahr 2003 einigten sich die Bundesressorts auf eine einheitliche Definition: „Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Gemeinsam mit den Ländern wurde eine Einteilung in neun Sektoren vorgenommen: Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit, Staat und Verwaltung, Wasser, Medien und Kultur sowie Ernährung.

In den vergangenen Jahren haben komplexe, teils langfristig vorbereitete Angriffe auf die IT-Systeme wie Stuxnet oder Duqu die Verwundbarkeit Kritischer Infrastrukturen deutlich vor Augen geführt. Die immer weiter zunehmende Vernetzung der IT-Systeme wird zu einem signifikanten Risikofaktor, da Cyberangriffe auch zu Ausfällen mit kaum abschätzbaren Folgen und Kettenreaktionen über mehrere Sektoren hinweg führen können. Das ICS-CERT in den USA erfasste zwischen Oktober 2012 und Mai 2013 mehr als 200 Vorfälle im Zusammenhang mit der Informationstechnik Kritischer Infrastrukturen. Die Deutsche Telekom berichtet von bis zu 450 000 Angriffen pro Tag auf ihre Systeme. Für Aufsehen sorgte auch ein Bericht in der Zeitschrift c‘t im Juli 2013, nach dem hunderte Industrieanlagen ungeschützt mit dem Internet verbunden sind. Unter anderem war ein Zugriff auf die Anlagen eines Kraftwerks möglich.

Die Bundesregierung hat im Jahr 2011 unter Federführung des Bundesministeriums des Innern die Cybersicherheitsstrategie für Deutschland beschlossen und damit die Cybersicherheit als Teil der gesamtstaatlichen Sicherheitsvorsorge verankert. Im Rahmen der Nationalen Strategie zum Schutz Kritischer Infrastrukturen und des UP KRITIS (UP: Umsetzungsplan) wird der Frage nachgegangen, wie aus politisch-strategischer Sicht Kritische Infrastrukturen geschützt werden können. Eine besondere Herausforderung stellt dabei die sehr unterschiedliche Ausgangslage in den einzelnen Sektoren der Kritischen Infrastrukturen dar, gerade in Bezug auf den Grad der Regulierung und die geeigneten Instrumente zur Risikominderung. Dabei zeigt sich immer deutlicher, dass heute verfügbare Lösungen für IT-Sicherheit von Kritischen Infrastrukturen oftmals unzureichend und nicht auf die Bedürfnisse der Betreiber zugeschnitten sind. Hier neue Wege aufzuzeigen, ist gemeinsame Aufgabe von Staat, Wissenschaft und Wirtschaft.

Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt daher, die Erforschung neuer Ansätze für die IT-Sicherheit in Kritischen Infrastrukturen zu fördern. Ziel ist es, schon heute zukunftsfähige Lösungen für morgen zu entwickeln. Dabei stehen neben der Sicherheit Aspekte wie Alltagstauglichkeit, Bedienbarkeit und Kosteneffizienz im Vordergrund. Als Kritische Infrastrukturen sind im Rahmen dieser Fördermaßnahme neben Organisationen oder Einrichtungen nach der oben angeführten Definition auch Infrastrukturen zu verstehen, die ein besonders hohes Schadenspotenzial aufweisen. Diese Bekanntmachung steht im Zusammenhang mit der nationalen Cybersicherheitsstrategie und erfolgt in Abstimmung mit den Aktivitäten des Bundesministeriums des Innern. Für Forschungsvorhaben, deren Schwerpunkte im Bereich Smart Grid oder Smart Metering liegen, wird auf die entsprechenden Fördermaßnahmen des BMWi verwiesen.

1.2 Rechtsgrundlage

Vorhaben können nach Maßgabe dieser Richtlinien, der BMBF-Standardrichtlinien für Zuwendungen auf Ausgaben- bzw. Kostenbasis und der Verwaltungsvorschriften zu den §§ 23, 44 der Bundeshaushaltsordnung (BHO) durch Zuwendungen gefördert werden. Ein Rechtsanspruch auf Gewährung einer Zuwendung besteht nicht. Der Zuwendungsgeber entscheidet nach pflichtgemäßem Ermessen im Rahmen der verfügbaren Haushaltsmittel.

2 Gegenstand der Förderung

Derzeit stehen für die Abwehr von Angriffen auf die Informationstechnik von Kritischen Infrastrukturen in vielen Bereichen überwiegend technische Einzellösungen zur Verfügung. Diese Vorgehensweise wird den komplexen Rahmenbedingungen für IT-Sicherheit in Kritischen Infrastrukturen oftmals nicht gerecht. Neben einzelnen technologischen Maßnahmen haben auch die Vernetzung, Ablauf- und Aufbauorganisation und nicht zuletzt der Faktor Mensch großen Einfluss auf die Sicherheit der Informationstechnik. Diese Faktoren müssen auch unter dem Gesichtspunkt des Risikomanagements betrachtet und in ein umfassendes und auf Langfristigkeit und Resilienz angelegtes Sicherheitsmanagement eingebunden werden. Ziel ist die Förderung von Forschungsprojekten, die einen systemischen Gesamtansatz für IT-Sicherheit in Kritischen Infrastrukturen zum Gegenstand haben und nicht nur auf eine rein technologische Lösung abzielen.

Eine besondere Herausforderung stellt die IT-Sicherheit auch für kleinere Betreiber von Kritischen Infrastrukturen dar, wie z. B. kommunale Energie- oder Wasserversorger. Sowohl die personellen als auch die finanziellen Ressourcen erlauben hier oft nicht die Entwicklung und den Betrieb individueller Lösungen. Dies führt häufig zum Einsatz von Standardlösungen, ohne dass der Betreiber selbst zuverlässig abschätzen kann, wie sicher seine IT damit wirklich ist und welche Wechselwirkungen zwischen einzelnen Komponenten bestehen.

Die Bekanntmachung hat zwei Schwerpunkte:

1. Neue Ansätze zur Beurteilung von IT-Sicherheit
   
   Grundvoraussetzung für einen kosteneffizienten Ansatz zur Erhöhung der IT-Sicherheit ist, dass überhaupt erst einmal Werkzeuge und Verfahren entwickelt werden, die es Betreibern Kritischer Infrastrukturen ermöglichen, das aktuelle Sicherheitsniveau zuverlässig zu beurteilen. Gefördert werden sollen daher Projekte zur Entwicklung von Metriken, Methoden und Verfahren zur Ermittlung und zur Beurteilung von IT-Sicherheit in Kritischen Infrastrukturen. Um diese Methoden auch für kleinere Betreiber von Kritischen Infrastrukturen sinnvoll einsetzbar zu machen, sollten die Verfahren einfach zu nutzen und kostengünstig umzusetzen sein. Im Rahmen des Risikomanagements sollen Verfahren und Instrumente für die Beurteilung der Angemessenheit des Sicherheitslevels erforscht werden.
   
2. Neue Ansätze zur Erhöhung der IT-Sicherheit
   
   Insbesondere kleinere Betreiber Kritischer Infrastrukturen haben einen großen Bedarf an IT-Sicherheitslösungen, die unkompliziert und kostengünstig zu einer Erhöhung des Schutzniveaus führen. Dies setzt Maßnahmen zur IT-Sicherheit voraus, die auf die jeweiligen spezifischen Anforderungen dieser Nutzer eingehen. Das kann unter Berücksichtigung der vorhandenen Alt-Systeme (Legacy-Systeme) und/oder unter dem Gesichtspunkt neuer robuster und modularer Systeme zur Reduktion der Komplexität erfolgen. Gefördert werden sollen Projekte, die solche Lösungen im Rahmen eines systemischen Gesamtansatzes möglichst branchen- oder sektorspezifisch erforschen.

Die Erhöhung der IT-Sicherheit Kritischer Infrastrukturen darf dabei nicht zu Lasten des Datenschutzes seiner Benutzer gehen. Gesucht werden Lösungen, die Sicherheit und Datenschutz kombinieren.

Eingereichte Skizzen zu Forschungsprojekten sollten mindestens einen dieser Schwerpunkte zum Gegenstand haben, können aber auch beide in einem Projekt behandeln. Die Projekte sollten in geeigneten, interdisziplinären Verbünden von Betreibern Kritischer Infrastrukturen, wissenschaftlichen Einrichtungen und gegebenenfalls weiteren Partnern aus der Wirtschaft durchgeführt werden.

Es ist vorgesehen, das Thema „IT-Sicherheit für Kritische Infrastrukturen“ mit weiteren Fördermaßnahmen aufzugreifen und weiter zu unterstützen.

Begleitforschung

Neben den Forschungsprojekten zu den genannten Schwerpunkten beabsichtigt das BMBF ein wissenschaftliches Begleitprojekt zu fördern.

Die Begleitforschung soll übergeordnete Fragestellungen zur IT-Sicherheit für Kritische Infrastrukturen bearbeiten. Dafür sollen die Einzelprojekte zusammengeführt, koordiniert und im Gesamtzusammenhang behandelt werden. Darüber hinaus sollen übergeordnete Aspekte identifiziert und bearbeitet werden, die für die IT-Sicherheit aller Kritischen Infrastrukturen von Bedeutung sind, wie z. B. die Sicherheitskultur bei unterschiedlichen Betreibern. Weitere relevante Fragestellungen können die unterschiedlichen Prinzipien des Krisenmanagements, Fragen der interkulturellen Risiko- und Sicherheitskommunikation sowie die Übertragbarkeit von Best Practices sein. Ziel ist die Erarbeitung gemein­samer, sektorenübergreifender Empfehlungen. Das wissenschaftliche Begleitprojekt sollte geeignete Veranstaltungen wie z. B. Workshops für die Bearbeitung dieser Themen vorsehen.

Die Zusammenarbeit von Koordinatoren der einzelnen Projekte und der Begleitforschung ist verpflichtend. Die Koordinatoren werden in die Arbeit des Begleitprojekts eingebunden und arbeiten aktiv mit. In den Arbeitsplänen aller Projekte sind entsprechende Ressourcen vorzusehen.

3 Zuwendungsempfänger

Antragsberechtigt im Rahmen von Verbundprojekten und für das Begleitprojekt sind staatliche und nichtstaat­liche Hochschulen, außeruniversitäre Forschungseinrichtungen sowie Unternehmen der gewerblichen Wirtschaft (insbesondere kleine und mittlere Unternehmen [KMU], Definition von KMU siehe http://www.forschungsrahmenprogramm.de/kmu-definition.htm ). Forschungseinrichtungen, die gemeinsam von Bund und Ländern grundfinanziert werden, kann nur unter bestimmten Voraussetzungen eine Projektförderung für ihren zusätzlichen Aufwand bewilligt werden. Die Verbundprojekte haben die Betreiber von Kritischen Infrastrukturen als Anwender der Lösungen mit einzubeziehen.

4 Zuwendungsvoraussetzungen

Die notwendigen Forschungs- und Entwicklungsarbeiten sind unter Berücksichtigung und Darstellung der technischen und wirtschaftlichen Risiken zu planen. Notwendige Voraussetzung für die Förderung ist das Zusammenwirken von Beteiligten aus der Wirtschaft mit der Wissenschaft zur Lösung von gemeinsamen Forschungsaufgaben (Verbund­projekte). Antragsteller müssen die Bereitschaft zur interdisziplinären Zusammenarbeit mitbringen und durch Vorarbeiten insbesondere im betreffenden Fachgebiet ausgewiesen sein. Ferner wird von den Antragstellern die Bereitschaft zur projektübergreifenden Zusammenarbeit mit anderen Verbünden erwartet.

Der Verbreitung der erreichten Ergebnisse und der Zusammenarbeit mit den Unternehmen der jeweiligen Anwenderbranche zur Verwertung der Ergebnisse wird große Bedeutung beigemessen. An den Verbundprojekten müssen deshalb Partner beteiligt sein, welche die Forschungsergebnisse zur breiten Anwendung bringen wollen und können.

Antragsteller sollen sich – auch im eigenen Interesse – im Umfeld des national beabsichtigten Vorhabens mit dem EU-Forschungsrahmenprogramm (cordis.europa.eu) vertraut machen. Sie sollen prüfen, ob das beabsichtigte Vor­haben spezifische europäische Komponenten aufweist und damit eine ausschließliche EU-Förderung möglich ist. Weiterhin ist zu prüfen, inwieweit im Umfeld des national beabsichtigten Vorhabens ergänzend ein Förderantrag bei der EU gestellt werden kann. Das Ergebnis der Prüfungen soll im nationalen Förderantrag kurz dargestellt werden.

Die Partner eines Verbundprojekts haben ihre Zusammenarbeit in einer schriftlichen Kooperationsvereinbarung zu regeln. Vor der Förderentscheidung über ein Verbundprojekt muss eine grundsätzliche Übereinkunft der Kooperationspartner über bestimmte vom BMBF vorgegebene Kriterien nachgewiesen werden. Einzelheiten können einem BMBF-Merkblatt – Vordruck 0110 – ( https://foerderportal.bund.de/easy/module/easy_formulare/download.php?datei=219 ) entnommen werden.

5 Art und Umfang, Höhe der Zuwendung

Die Zuwendungen können im Wege der Projektförderung als nicht rückzahlbare Zuschüsse gewährt werden.

Bemessungsgrundlage für Zuwendungen an Unternehmen der gewerblichen Wirtschaft sind die zuwendungsfähigen projektbezogenen Kosten, die in der Regel – je nach Anwendungsnähe des Vorhabens – bis zu 50 % anteilsfinanziert werden können. Nach BMBF-Grundsätzen wird eine angemessene Eigenbeteiligung – grundsätzlich mindestens 50 % der entstehenden zuwendungsfähigen Kosten – vorausgesetzt.

Bemessungsgrundlage für Hochschulen, Forschungs- und Wissenschaftseinrichtungen und vergleichbare Institutionen sind die zuwendungsfähigen projektbezogenen Ausgaben (bei Helmholtz-Zentren und der Fraunhofer-Gesellschaft – FhG –die zuwendungsfähigen projektbezogenen Kosten), die individuell bis zu 100 % gefördert werden können.

Die Bemessung der jeweiligen Förderquote muss den Gemeinschaftsrahmen der EU-Kommission für staatliche Beihilfen für Forschung, Entwicklung und Innovation (FuEuI-Beihilfen) berücksichtigen. Dieser Gemeinschaftsrahmen lässt für KMU differenzierte Aufschläge zu, die gegebenenfalls zu einer höheren Förderquote führen können.

Die mögliche Förderdauer beträgt in der Regel zwei bis drei Jahre.

6 Sonstige Zuwendungsbestimmungen

Bestandteil eines Zuwendungsbescheids auf Kostenbasis werden grundsätzlich die Nebenbestimmungen für Zuwendungen auf Kostenbasis des BMBF an Unternehmen der gewerblichen Wirtschaft für FuE*-Vorhaben (NKBF98).

Bestandteil eines Zuwendungsbescheids auf Ausgabenbasis werden die Allgemeinen Nebenbestimmungen für Zuwendungen zur Projektförderung (ANBest-P) und die Besonderen Nebenbestimmungen für Zuwendungen des BMBF zur Projektförderung auf Ausgabenbasis (BNBest-BMBF98).

7 Verfahren

7.1 Einschaltung eines Projektträgers und Anforderung von Unterlagen

Mit der Abwicklung der Fördermaßnahme „IT-Sicherheit für Kritische Infrastrukturen“ hat das BMBF folgenden Projektträger beauftragt:

VDI/VDE Innovation und Technik GmbH
Projektträger Kommunikationssysteme; IT-Sicherheit
Steinplatz 1
10623 Berlin

Ansprechpartner: Robert Gehring

Telefon: 0 30/31 00 78-3 86
Telefax: 0 30/31 00 78-2 47
Internet: www.vdivde-it.de/KIS/foerderbekanntmachungen/bm-kritis

Vordrucke für Förderanträge, Richtlinien, Merkblätter, Hinweise und Nebenbestimmungen können von der Website des Projektträgers heruntergeladen werden:
www.vdivde-it.de/projektfoerderung/dokumente-fuer-die-projektfoerderung

7.2 Zweistufiges Förderverfahren

Das Förderverfahren ist zweistufig angelegt.

7.2.1 Vorlage und Auswahl von Projektskizzen

In der ersten Stufe sind dem Projektträger

bis spätestens zum 4. November 2013

zunächst Projektskizzen in schriftlicher Form auf dem Postweg sowie in elektronischer Form unter www.vdi.de/tz-pt in deutscher Sprache vorzulegen. Bei Verbundprojekten sind die Projektskizzen in Abstimmung mit dem vorgesehenen Verbundkoordinator vorzulegen.

Die Vorlagefrist gilt nicht als Ausschlussfrist. Verspätet eingehende Projektskizzen können aber möglicherweise nicht mehr berücksichtigt werden.

Projektskizzen sollen einen Umfang von 15 DIN-A4-Seiten inklusive Anlagen nicht überschreiten. Sie müssen ein fachlich beurteilbares Grobkonzept und eine grobe Finanzplanung beinhalten. Im Grobkonzept sollen die Ziele des Verbundprojekts, die Organisationsstruktur und das Arbeitsprogramm vor dem Hintergrund des aktuellen Standes von Forschung und Technologie sowie der Relevanz für die IT-Sicherheit bei Kritischen Infrastrukturen erläutert werden.

Für die geplanten Forschungs- und Entwicklungsarbeiten müssen eine überzeugende wissenschaftliche Begründung sowie ein Verwertungskonzept vorgelegt werden. In diesem müssen Marktpotenziale und Verwertungsmöglichkeiten unter Berücksichtigung der Wettbewerbssituation und der späteren Wertschöpfung in Deutschland dargestellt werden.

Es wird empfohlen, vor der Einreichung der Projektskizzen direkt mit dem Projektträger VDI/VDE-IT unter der oben genannten Telefonnummer Kontakt aufzunehmen.

Aus der Vorlage der Projektskizze kann kein Rechtsanspruch auf eine Förderung abgeleitet werden.

Die Projektskizzen sind nach folgender Gliederung zu erstellen:

1. Thema und Zielsetzung des Vorhabens
2. Neuheit des Lösungsansatzes, Stand der Wissenschaft und Technik, Patentlage
3. Notwendigkeit der Zuwendung: Wissenschaftlich-technisches und wirtschaftliches Risiko mit Begründung der Notwendigkeit staatlicher Förderung
4. Markpotenzial, Marktumfeld, wirtschaftliche und wissenschaftliche Konkurrenzsituation
5. Kurzdarstellung des/der beantragenden Unternehmen/s, konkrete Darlegung des Geschäftsmodells und Markt­perspektiven mit Zeithorizont und Planzahlen, Darstellung des aufzubringenden Eigenanteils
6. Arbeitsplan, gegebenenfalls Verbundstruktur mit Arbeitspaketen aller beteiligten Partner
7. Finanzierungsplan
8. Verwertungsplan

Die eingegangenen Projektskizzen werden nach folgenden Kriterien bewertet:

• Bedeutung des Forschungsziels: gesellschaftlicher Bedarf und Relevanz der Skizze im Rahmen der Schwerpunkte der Bekanntmachung
• wissenschaftlich-technische Qualität des Lösungsansatzes und Anwendungsbezug
• Neuheit und Innovationshöhe des wissenschaftlich-technischen Konzepts
• technologisches und wirtschaftliches Potenzial
• Qualifikation der Partner
• Projektmanagement
• Qualität und Umsetzbarkeit des Verwertungskonzepts, Kommerzialisierungsperspektive, Marktpotenzial
• Angemessenheit der geplanten finanziellen Aufwendungen
• Abschätzung der mit den wissenschaftlich-technischen Innovationen verbundenen gesellschaftlichen, wirtschaft­lichen und ökologischen Chancen und Risiken.

Für die Begleitforschung ist in der Projektskizze zusätzlich die wissenschaftliche Expertise und einschlägige Erfahrungen in vergleichbaren Projekten zu belegen.

Für die Verbundprojekte wird zudem die Qualität der Verbundstruktur als Kriterium herangezogen; die Einbeziehung von Betreibern Kritischer Infrastrukturen ist verpflichtend.

Auf der Grundlage der Bewertung werden die für eine Förderung geeigneten Projektideen ausgewählt. Die eingereichten Projektvorschläge stehen untereinander im Wettbewerb. Das BMBF behält sich vor, sich bei der Förderentscheidung durch unabhängige Experten beraten zu lassen.

Der Antragsteller hat keinen Rechtsanspruch auf Rückgabe einer eingereichten Projektskizze.

7.2.2 Vorlage förmlicher Förderanträge und Entscheidungsverfahren

In der zweiten Verfahrensstufe werden die Interessenten bei positiv bewerteten Projektskizzen aufgefordert, gegebenenfalls in Abstimmung mit dem vorgesehenen Verbundkoordinator einen förmlichen Förderantrag vorzulegen, über den nach abschließender Prüfung entschieden wird. Das Auswahlergebnis wird den Interessenten schriftlich mitgeteilt.

Die Erstellung von förmlichen Förderanträgen soll durch die Nutzung des elektronischen Antragssystems „easy-Online“ erfolgen. Informationen dazu erhalten Antragsteller online beim Projektträger: www.vdivde-it.de/KIS/foerderbekanntmachungen/bm-kritis .

Für die Bewilligung, Auszahlung und Abrechnung der Zuwendung sowie für den Nachweis und die Prüfung der Verwendung und die gegebenenfalls erforderliche Aufhebung des Zuwendungsbescheids und die Rückforderung der gewährten Zuwendung gelten die Verwaltungsvorschriften zu § 44 BHO sowie die §§ 48 bis 49a des Verwaltungsverfahrensgesetzes, soweit nicht in diesen Förderrichtlinien Abweichungen zugelassen sind.

7.2.3 Angebot einer Informationsveranstaltung

Skizzeneinreichern wird die Möglichkeit geboten, Ende August im Rahmen einer Informationsveranstaltung Kontakte zu möglichen Partnern für ein gemeinsames Verbundprojekt aufzubauen. Informationen dazu erhalten Antragsteller online beim Projektträger: www.vdivde-it.de/KIS/foerderbekanntmachungen/bm-kritis

8 Inkrafttreten

Diese Förderrichtlinien treten am Tag nach der Veröffentlichung im Bundesanzeiger in Kraft.

Bonn, den 5. August 2013

Bundesministerium für Bildung und Forschung
Im Auftrag
Dr. Klaus Heller

FuE = Forschung und Entwicklung