Bekanntmachung : Datum:
des Bundesministeriums für Bildung und Forschung von Richtlinien zur Förderung von Forschungsinitiativen zum Sicheren Cloud Computing
Vom 23.05.2012
Die Informations- und Kommunikationstechnologien (IKT) gehören zu den bedeutendsten Innovationsfeldern der Hightech-Strategie für Deutschland. Sie sind im Rahmen des Forschungsprogramms IKT 2020 ein Schwerpunkt der Innovationspolitik der Bundesregierung. Im Zentrum der Förderung stehen Technologieentwicklungen und Prozesse, die eine besondere volkswirtschaftliche Hebelwirkung entfalten, Technologieführerschaften erhalten und ausbauen sowie neue Dienstleistungen ermöglichen. Dabei müssen gesellschaftliche und rechtliche Fragestellungen bei der Konzeption der Forschungsaktivitäten mit berücksichtigt werden.
Das Bundesministerium für Bildung und Forschung hat im Rahmen der Hightech-Strategie der Bundesregierung das Themenfeld „Forschung für Sicheres Cloud Computing“ als einen Schwerpunkt der Forschungsförderung im Bereich der IKT ausgewählt, um das Innovationspotenzial im Bereich der Spitzenforschung auszubauen.
1 Zuwendungszweck, Rechtsgrundlage
1.1 Zuwendungszweck
Vom sicheren und zuverlässigen Funktionieren der IKT-Systeme und dem Vertrauen in die Sicherheit dieser Systeme hängen weite Bereiche des gesellschaftlichen und wirtschaftlichen Lebens ab. Dabei unterliegt die IKT einer rasanten Entwicklung, die besonders deutlich in den Diensten und Angeboten im Internet sichtbar wird. Das volle Potenzial des Internets soll für Bürgerinnen und Bürger, Kultur, Wissenschaft und Wirtschaft in Deutschland langfristig sinnvoll nutzbar gemacht werden. Dazu müssen gesellschaftliche und technische Rahmenbedingungen und Anforderungen identifiziert und umgesetzt werden, damit IT-Unternehmen im internationalen Wettbewerb einen Standortvorteil realisieren können.
Cloud Computing hat sich als überall und jederzeit verfügbare sowie flexibel einsetz- und erweiterbare Methode zur Bereitstellung von IT-Diensten weltweit etabliert. Cloud Computing birgt ein enormes Marktpotenzial, allein für den deutschen Markt wird für das Jahr 2012 ein Volumen von über 5 Mrd. € erwartet. Neben großen Chancen gibt es aber auch neue Herausforderungen. Etablierte Sicherheitstechnologien lassen sich oft nur eingeschränkt oder gar nicht auf Cloud-Applikationen anwenden, und die verteilte Struktur von Cloud-Infrastrukturen schafft neue Verwundbarkeiten.
Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt daher, die Forschung zu IT-Sicherheit in Cloud-Umgebungen gezielt zu unterstützen und auszubauen. Durch die vorliegende Bekanntmachung sollen industrielle Forschungs- und experimentelle Entwicklungsvorhaben in Deutschland gefördert werden.
1.2 Rechtsgrundlage
Vorhaben können nach Maßgabe dieser Richtlinien, der BMBF-Standardrichtlinien für Zuwendungen auf Ausgaben- bzw. Kostenbasis und der Verwaltungsvorschriften zu den §§ 23, 44 der Bundeshaushaltsordnung (BHO) durch Zuwendungen gefördert werden. Ein Rechtsanspruch auf Gewährung einer Zuwendung besteht nicht. Der Zuwendungsgeber entscheidet nach pflichtgemäßem Ermessen im Rahmen der verfügbaren Haushaltsmittel.
2 Gegenstand der Förderung
Auf dem Gebiet der Forschung zum Sicheren Cloud Computing werden folgende Themenkomplexe verfolgt:
- Datenschutz-, Datensicherheit- und Privacy-erhaltende Technologien in der Cloud
- Metriken und Mess-/Vergleichsverfahren für Sicherheit in Clouds
- Identitäts- und Access-Management bei (föderierten) Clouds
- Schwerpunkt „Datenschutz-, Datensicherheit- und Privacy-erhaltende Technologien in der Cloud“
Eine Verarbeitung personenbezogener Daten in der Cloud unterliegt speziellen Sicherheitsanforderungen, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen. Darüber hinaus muss ein Cloud-Anbieter auch Sorge tragen, dass ihm anvertraute persönliche Daten sowohl externen Angreifern als auch anderen Nutzern seiner Cloud-Infrastruktur gegenüber vertraulich und integer bleiben. Eine datenschutzfreundliche Verarbeitung von personenbezogenen Daten wird sich jedoch nur dann durchsetzen, wenn sie effizient und mit bestehenden Geschäftsprozessen kompatibel implementiert werden kann. Zudem sind bestehende rechtliche und regulatorische Vorgaben im Sinne von Compliance zu berücksichtigen.
Prioritärer Handlungsbedarf wird daher bei folgenden Themenbereichen gesehen:- Entwicklung von Verfahren zur Durchführung von Geschäftsprozessen, die inhärent datenschutzfreundlich sind und Datenverarbeitung in der Cloud soweit wie möglich vermeiden.
- Entwicklung und praktische Nutzbarmachung von Technologien zum Schutz der Vertraulichkeit und Integrität bei Speicherung und Verarbeitung personenbezogener Daten in der Cloud.
- Entwicklung von kryptographischen Schlüsseltechnologien zum Schutz der Vertraulichkeit von Daten.
- Schwerpunkt „Metriken und Mess-/Vergleichsverfahren für Sicherheit in Clouds“
Sicherheit als Leistungsparameter eines Cloud-Anbieters und die Einhaltung datenschutzrechtlicher Vorgaben sowie der Schutz personenbezogener Daten finden zwar als abstrakte Angaben Verwendung, lassen sich jedoch auch von professionellen Nutzern nur schwer überprüfen. Dies ist zum Teil auf die Komplexität cloud-basierter Geschäftsmodelle zurückzuführen, zum größeren Teil jedoch auf fehlende Messverfahren und fehlende Konventionen für Messpunkte und Messgrößen.
Prioritärer Forschungsbedarf wird daher bei folgenden Themenbereichen gesehen:- Entwicklung und kritische Bewertung von Verfahren zur (teil-)automatisierten Analyse von cloud-basierten Prozessen auf die Einhaltung datenschutzrechtlicher Vorgaben und Geschäftsbedingungen. Darauf aufbauende Entwicklung einer Basis für die Zertifizierung von Cloud-Angeboten sowie zum Monitoring während des Regelbetriebs.
- Identifizierung und Entwicklung von praktisch nutzbaren Metriken, die eine vergleichende Betrachtung verschiedener Angebote im Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungsprofile ermöglichen.
- Untersuchung der rechtlichen, insbesondere der haftungsrechtlichen, Konsequenzen einer Erhebung von Sicherheits-Messwerten und daraus abgeleiteten Empfehlungen.
- Schwerpunkt „Identitäts- und Access-Management bei (föderierten) Clouds“
Im Gegensatz zu herkömmlichen, auf einen Diensteanbieter fokussierten Dienstangeboten im Internet sind im Cloud-Kontext verschiedenste Akteure an einer System-Infrastruktur angebunden und müssen innerhalb dieser zuverlässig und vertrauenswürdig Daten austauschen können. So ist die Zusammenarbeit unterschiedlicher Cloud-Anbieter für einen gemeinsam erbrachten Dienst alltägliche Praxis. Die dabei auftretenden Vertragsbeziehungen sind dynamisch und kommen nur über das Internet zustande. Dabei kann nicht immer auf eine etablierte Nutzer- und Rollenzuordnung zurückgegriffen werden, was die vertrauenswürdige Kopplung unterschiedlicher Systeme erschwert. Hierzu ist eine plattform- und systemübergreifende, beweisbar sichere Identifizierung der Teilnehmer – sowohl zwischen Nutzern und Cloud-Anbietern als auch zwischen mehreren Systemen – erforderlich.
Prioritärer Handlungsbedarf wird daher bei folgenden Themenbereichen gesehen:- Einbindung sicherer, personenbezogener Identifizierungsverfahren in Cloud-Umgebungen.
- Entwicklung von Verfahren zur sicheren (netzbasierten) Identifizierung von Objekten und zur gegenseitigen Identifizierung von Systemen sowie zur Kommunikation von Rollen- und Sicherheitskontexten zwischen Systemen.
- Entwicklung eines föderierten Identity Management-Ansatzes, in dem personenbezogene und objektbezogene Identifizierungsverfahren sicher kombiniert werden können.
Die in den drei Schwerpunkten jeweils genannten Themenbereiche sind nicht als abschließende und vollständige Aufzählung zu verstehen.
3 Zuwendungsempfänger
Antragsberechtigt sind in Deutschland ansässige Unternehmen sowie Hochschulen und außeruniversitäre Forschungseinrichtungen.
Forschungseinrichtungen, die gemeinsam von Bund und Ländern grundfinanziert werden, kann nur unter bestimmten Voraussetzungen ergänzend zu ihrer Grundfinanzierung eine Projektförderung für ihren zusätzlichen Aufwand bewilligt werden.
4 Zuwendungsvoraussetzungen
Gefördert werden Forschungs- und experimentelle Entwicklungsvorhaben, die gekennzeichnet sind durch ein hohes wissenschaftliches und technisches Risiko und deren erfolgreicher Abschluss zwingend die Verifikation und den Betrieb in einem Testbed, d. h. einer realitätsnahen, mit innovativen Sicherheitsmechanismen ausgestatteten Cloud-Umgebung voraussetzt. Als Regelfall ist die Förderung von Verbundprojekten unter Beteiligung mehrerer Unternehmen bzw. von Unternehmen und Forschungseinrichtungen vorgesehen, vorzugsweise mit Abdeckung der gesamten Wertschöpfungskette. In begründeten Fällen ist aber auch die Förderung von Vorhaben einzelner Antragsteller mit entsprechender Kompetenz auf dem Gebiet der IT-Sicherheit im Bereich Cloud Computing möglich.
Antragsteller sollen sich – auch im eigenen Interesse – im Umfeld des national beabsichtigten Vorhabens mit dem EU-Forschungsrahmenprogramm vertraut machen. Sie sollen prüfen, ob das beabsichtigte Vorhaben spezifische europäische Komponenten aufweist und damit eine ausschließliche EU-Förderung möglich ist. Weiterhin ist zu prüfen, inwieweit im Umfeld des national beabsichtigten Vorhabens ergänzend ein Förderantrag bei der EU gestellt werden kann. Das Ergebnis der Prüfungen soll im nationalen Förderantrag kurz dargestellt werden.
Nur bei Verbundprojekten: Die Partner eines „Verbundprojekts“ haben ihre Zusammenarbeit in einer Kooperationsvereinbarung zu regeln. Vor der Förderentscheidung muss eine grundsätzliche Übereinkunft über bestimmte vom BMBF vorgegebene Kriterien nachgewiesen werden. Einzelheiten können einem BMBF-Merkblatt – Vordruck 0110 (
https://foerderportal.bund.de/easy/easy_index.php?auswahl=easy_formulare&formularschrank=bmbf
) – entnommen werden.
5 Art und Umfang, Höhe der Zuwendung
Die Zuwendungen können im Wege der Projektförderung als nicht rückzahlbare Zuschüsse gewährt werden.
Bemessungsgrundlage für Zuwendungen an Unternehmen der gewerblichen Wirtschaft sind die zuwendungsfähigen projektbezogenen Kosten, die in der Regel – je nach Anwendungsnähe des Vorhabens – bis zu 50 % anteilsfinanziert werden können. Nach BMBF-Grundsätzen wird eine angemessene Eigenbeteiligung – grundsätzlich mindestens 50 % der entstehenden zuwendungsfähigen Kosten – vorausgesetzt.
Bemessungsgrundlage für Hochschulen, Forschungs- und Wissenschaftseinrichtungen und vergleichbare Institutionen sind die zuwendungsfähigen projektbezogenen Ausgaben (bei Helmholtz-Zentren und der Fraunhofer-Gesellschaft – FhG – die zuwendungsfähigen projektbezogenen Kosten), die individuell bis zu 100 % gefördert werden können.
Die Bemessung der jeweiligen Förderquote muss den Gemeinschaftsrahmen der EU-Kommission für staatliche Beihilfen für Forschung, Entwicklung und Innovation (FuEuI-Beihilfen) berücksichtigen. Dieser Gemeinschaftsrahmen lässt für kleine und mittlere Unternehmen (KMU) differenzierte Aufschläge zu, die ggf. zu einer höheren Förderquote führen können.
Die mögliche Förderdauer beträgt in der Regel zwei bis drei Jahre.
6 Sonstige Zuwendungsbestimmungen
Bestandteil eines Zuwendungsbescheides auf Kostenbasis werden grundsätzlich die Nebenbestimmungen für Zuwendungen auf Kostenbasis des BMBF an Unternehmen der gewerblichen Wirtschaft für FuE*-Vorhaben (NKBF98).
Bestandteil eines Zuwendungsbescheides auf Ausgabenbasis werden die Allgemeinen Nebenbestimmungen für Zuwendungen zur Projektförderung (ANBest-P) und die Besonderen Nebenbestimmungen für Zuwendungen des BMBF zur Projektförderung auf Ausgabenbasis (BNBest-BMBF98).
7 Verfahren
7.1 Einschaltung eines Projektträgers und Anforderung von Unterlagen
Mit der Abwicklung der Fördermaßnahme „Sicheres Cloud Computing“ hat das BMBF folgenden Projektträger beauftragt:
Projektträger
im Deutschen Zentrum für Luft- und Raumfahrt e.V.
Linder Höhe
51147 Köln
Ansprechpartner:
Dominik Neubauer
Telefon: 0 22 03/6 01-39 46
Telefax: 0 22 03/6 01-28 66
E-Mail: dominik.neubauer@dlr.de
Internet:
http://www.pt-dlr.de
Vordrucke für Förderanträge, Richtlinien, Merkblätter, Hinweise und Nebenbestimmungen können unmittelbar beim Projektträger angefordert werden.
7.2 Angebot einer Partnering-Veranstaltung
Skizzeneinreichern wird die Möglichkeit geboten, im Rahmen einer Partnering-Veranstaltung Kontakte zu anderen Forschergruppen sowie zu Anbietern von Cloud Computing-Diensten aufzubauen. Weitere Informationen zu diesem Angebot können unmittelbar beim Projektträger angefordert werden.
7.3 Zweistufiges Förderverfahren
Das Förderverfahren ist zweistufig angelegt.
7.3.1 Vorlage und Auswahl von Projektskizzen
In der ersten Verfahrensstufe können beim beauftragten Projektträger des BMBF
bis zum 30. September 2012
Projektskizzen eingereicht werden.
Gilt nur für Verbundprojekte: Für Verbundprojekte ist eine Projektskizze in Abstimmung mit dem vorgesehenen Verbundkoordinator einzureichen.
Der genannte Stichtag gilt nicht als Ausschlussfrist. Verspätet eingehende Projektskizzen können jedoch möglicherweise nicht mehr berücksichtigt werden.
Projektskizzen müssen einen konkreten Bezug zu den Kriterien dieser Bekanntmachung aufweisen und alle wesentlichen Aussagen zur Beurteilung und Bewertung enthalten. Sie sollen nicht mehr als 10 Seiten umfassen und über das Internetportal
https://www.pt-it.de/ptoutline/application/SCC1
online erstellt werden. Die für eine Beteiligung an der Bekanntmachung benötigten Informationen sind dort verfügbar. Damit die Online-Version der Projektskizze Bestandskraft erlangt, muss diese zusätzlich zu dem oben genannten Termin unterschrieben beim beauftragten Projektträger eingereicht werden.
Die Projektskizzen sind nach folgender Gliederung zu erstellen:
- Thema und Zielsetzung des Vorhabens.
- Neuheit des Lösungsansatzes, Stand der Wissenschaft und Technik, Patentlage.
- Notwendigkeit der Zuwendung: Wissenschaftlich-technisches und wirtschaftliches Risiko mit Begründung der Notwendigkeit staatlicher Förderung.
- Markpotenzial, Marktumfeld, wirtschaftliche und wissenschaftliche Konkurrenzsituation.
- Kurzdarstellung des/der beantragenden Unternehmen/s, konkrete Darlegung des Geschäftsmodells und Marktperspektiven mit Zeithorizont und Planzahlen, Darstellung des aufzubringenden Eigenanteils.
- Arbeitsplan, ggf. Verbundstruktur mit Arbeitspaketen aller beteiligten Partner.
- Finanzierungsplan.
- Verwertungsplan.
Aus der Vorlage einer Projektskizze kann kein Rechtsanspruch auf eine Förderung abgeleitet werden.
Die eingegangenen Projektskizzen werden nach folgenden Kriterien bewertet:
- Bedeutung des Forschungsziels: gesellschaftlicher Bedarf und Produktrelevanz
- wissenschaftlich-technische Qualität des Lösungsansatzes
- Innovationshöhe des wissenschaftlich-technischen Konzepts
- technologisches und wirtschaftliches Potenzial
- Qualifikation der Partner
- Projektmanagement und ggf. Verbundstruktur
- Qualität und Umsetzbarkeit des Verwertungsplans, Kommerzialisierungsperspektive, Marktpotenzial
- Beitrag des Projekts zur zukünftigen Positionierung des Unternehmens am Markt
- Abschätzung der mit den wissenschaftlich-technischen Innovationen verbundenen gesellschaftlichen, wirtschaftlichen und ökologischen Chancen und Risiken.
Auf der Grundlage der Bewertung werden die für eine Förderung geeigneten Projektideen ausgewählt. Die eingereichten Projektvorschläge stehen untereinander im Wettbewerb. Das BMBF behält sich vor, sich bei der Förderentscheidung durch unabhängige Experten beraten zu lassen.
Der Antragsteller hat keinen Rechtsanspruch auf Rückgabe einer eingereichten Projektskizze.
7.3.2 Vorlage förmlicher Förderanträge und Entscheidungsverfahren
In der zweiten Verfahrensstufe werden die Interessenten bei positiv bewerteten Projektskizzen aufgefordert, einen förmlichen Förderantrag vorzulegen, über den nach abschließender Prüfung entschieden wird.
Die Erstellung von förmlichen Förderanträgen soll durch die Nutzung des elektronischen Antragssystems „easy“ erfolgen (
https://foerderportal.bund.de/easy/easy_index.php?auswahl=easy_formulare&formularschrank=bmbf
).
Für die Bewilligung, Auszahlung und Abrechnung der Zuwendung sowie für den Nachweis und die Prüfung der Verwendung und die ggf. erforderliche Aufhebung des Zuwendungsbescheides und die Rückforderung der gewährten Zuwendung gelten die Verwaltungsvorschriften zu § 44 BHO sowie die §§ 48 bis 49a des Verwaltungsverfahrensgesetzes, soweit nicht in diesen Förderrichtlinien Abweichungen zugelassen sind.
8 Inkrafttreten
Diese Förderrichtlinien treten am Tag nach der Veröffentlichung im Bundesanzeiger in Kraft.
Bonn, den 23. Mai 2012
Bundesministerium
für Bildung und Forschung
Im Auftrag
Dr. Lange
*
FuE = Forschung und Entwicklung