BMBF: Bekanntmachung „Sichere Industrie 4.0 in der Praxis”

Förderziel und Zuwendungszweck

Die Industrieproduktion der Zukunft ist gekennzeichnet durch eine starke Individualisierung der Produkte aus hoch flexibilisierter Produktion sowie durch hochdynamische Geschäfts- und Wertschöpfungsprozesse inklusive IT-basierter Dienstleitungen (Industrie 4.0). Die Weiterentwicklung der IT und ihre umfassende Nutzung ermöglichen eine fundamentale Erneuerung und Optimierung industrieller Prozesse. Durch die Kommunikationsfähigkeit von Bauteilen und Produktionsmitteln und deren Vernetzung in der Industrie 4.0 ergeben sich auch weitreichende Sicherheitsanforderungen. Diese umfassen neben der Sicherheit gegenüber Cyberangriffen von außen auch neue Herausforderungen für den Datenschutz und den Schutz von Produktionswissen. Die steigenden Sicherheitsanforderungen gelten gleichermaßen für produzierende Unternehmen und deren Ausrüster. IT-Sicherheit wird so zu einem erfolgskritischen Faktor für die ausfallsichere Produktion und den Schutz von Know-how vor Wirtschaftsspionage.

In dem vom BMBF geförderten Nationalen Referenzprojekt zur IT-Sicherheit in Industrie 4.0 (IUNO) wurden umfassende generische Modelle, Werkzeuge und Referenzimplementierungen entwickelt. Die Komplexität der Werkzeuge als auch die notwendigen Vorgehensmodel le und Risikoanalysen stellen jedoch insbesondere kleine und mittlere Unternehmen (KMU) häufig vor große Herausforderungen. Der Transfer dieser IT-Sicherheitstechnologien in die industrielle Praxis ist gegenwärtig von zentraler Bedeutung; viele KMU benötigen bei deren Weiterentwicklung und anwendungsspezifischer Ausgestaltung Unterstützung.

Das Bundesministerium für Bildung und Forschung (BMBF) beabsichtigt daher, den Transfer und die bedarfsgerechte Anpassung und Entwicklung von Werkzeugen, Bedrohungsmodellen und Risikoanalyseverfahren zur IT-Sicherheit in der Industrie 4.0 zu fördern. Dies soll dazu beitragen, die Wettbewerbsfähigkeit deutscher Unternehmen für die Zukunft zu sichern und auszubauen. Der Digitalisierung und Vernetzung in der industriellen Fertigung soll so weiterer Vorschub geleistet und den Wachstumsmärkten der Informations- und Kommunikationstechnologien (IKT) und innovativer Dienstleistungen weiterer Auftrieb verliehen werden.

Mit einer Förderung wird beabsichtigt, die Partizipation von KMU an wissenschaftlichen Ergebnissen zu unterstützen. Den KMU kommt so eine wichtige Rolle bei Transfer und anwendungsorientierter Ausgestaltung von Forschungsergebnissen und ihrer zukünftigen Nutzung zu. Auf diese Weise soll die Förderung auch einen Beitrag zur technologischen Souveränität Deutschlands im Bereich der IT-Sicherheit leisten.

Die Fördermaßnahme setzt das Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit „Selbstbestimmt und sicher in der digitalen Welt” um und ist Teil der Hightech-Strategie der Bundesregierung sowie des Zehn-Punkte-Programms des BMBF für mehr Innovation in kleinen und mittleren Unternehmen. Informations- und Kommunikationssysteme sind wichtige Treiber innovativer Wertschöpfungsketten und Produkte in vielen Wirtschaftszweigen.

Die Ergebnisse des geförderten Vorhabens sollen vorrangig in der Bundesrepublik Deutschland oder dem EWR und der Schweiz genutzt werden.

Gegenstand der Förderung

Gegenstand der Fördermaßnahme ist der Transfer und die Weiterentwicklung von Werkzeugen, Methoden, Modellen und Konzepten als Grundlage für konkrete Maßnahmen zur Verbesserung der IT-Sicherheit in der Industrie 4.0. Die Fördermaßnahme knüpft inhaltlich an das Nationale Referenzprojekt zur IT-Sicherheit in der Industrie 4.0 (IUNO) an.

Das BMBF wird außerhalb dieser Richtlinie zudem ein begleitendes Basisprojekt fördern, in dem die umfangreichen Ergebnisse von IUNO weiterentwickelt und anwendungsorientiert ausgestaltet werden. Das Basisprojekt berät die im Rahmen dieser Richtlinie geförderten Projekte zu den Referenzergebnissen aus IUNO und stellt angepasste Lösungsbausteine zur Verfügung. Darüber hinaus leistet es die projektübergreifende Zusammenführung von Ergebnissen, die aus den geförderten Projekten für eine Referenzkonsolidierung zur Verfügung gestellt werden. Die Projekte sollen sich eng mit dem Basisprojekt über notwendige Anpassungen der Referenzarchitektur und der Lösungsbausteine abstimmen. Zusätzlich sollen dabei Erfahrungen aus der Nutzung der Werkzeuge an das Basisprojekt zurückgespielt werden, um die Lösungsbausteine kontinuierlich zu verbessern. Die Zusammenarbeit der einzelnen Projekte mit dem Basisprojekt ist verpflichtend; in den Arbeitsplänen aller Projekte sind entsprechende Ressourcen vorzusehen. Für das Basisprojekt können im Zuge der Bekanntmachung dieser Förderrichtlinie keine Skizzen eingereicht werden.

a.) Management von IT-Sicherheitsrisiken

Die IT-Sicherheit im Unternehmen hängt vom Zusammenspiel aller Komponenten ab. In jedem Industriebetrieb sind große Teile der Produktionsinfrastruktur individuell aufgebaut. Die Ergebnisse einer Bedrohungsanalyse hängen daher von der konkreten Situation im Unternehmen ab. Aus diesem Grund müssen generische Modelle auf deren Passfähigkeit untersucht und für den jeweiligen Fall angepasst und konkretisiert werden.

Gegenstand der Förderung ist deshalb die Erprobung, Entwicklung und Anpassung von neuen Konzepten, Methoden und Management-Werkzeugen

• zur kontinuierlichen Evaluation des Sicherheitslevels der Anwenderunternehmen,
• zur Identifikation von Integrations- und Migrationspfade mit dem Ziel der systematischen Verbesserung des Sicherheitslevels der Anwenderunternehmen
• sowie deren Demonstration im konkreten Unternehmenskontext.

b.) Technologietransfer zur Erhöhung des Schutzniveaus in Industrieunternehmen

Wichtig für die Industrie 4.0 sind Cyber-physische Systeme. Diese bilden die Schnittstelle zwischen der vernetzen, digitalen Welt und der physischen Welt. Maschinen in der Produktion sind durch sie mit dem Unternehmensnetzwerk verbunden. Da die Lebenszyklen von Maschinen typischerweise sehr lang sind, unterscheiden sie sich drastisch von denen der auf ihnen eingesetzten Software, die viel kürzeren Patchzyklen unterliegt. Die Absicherung von vernetzten Bestandsmaschinen stellt daher eine große Herausforderung dar. Es müssen Maßnahmen entwickelt werden, um Maschinenbetreiber und Integratoren bei der Umsetzung von IT-Sicherheitslösungen im Bestand zu unterstützen. Darüber hinaus sind bestehende IT-Sicherheitskonzepte und -werkzeuge anzupassen und in die industrielle Praxis zu transferieren, um so das IT-Sicherheitsfachwissen in das Produktionsumfeld zu bringen.

Gegenstand der Förderung ist deshalb unter anderem:

• Transfer und Anpassung von Lösungsbausteinen aus dem Referenzprojekt IUNO mit Unterstützung des Basisprojektes
• Konzepte, Methoden und Werkzeuge zur systematischen Erhöhung des Schutzniveaus zur Schaffung widerstandsfähiger Infrastrukturen
• Die Verbesserung der Benutzbarkeit von IT-Sicherheitslösungen

c.) Wirtschaftlichkeit und Datenschutz von Schutzmaßnahmen

Die Wirtschaftlichkeit ist ein entscheidender Faktor bei der praktischen Umsetzung von Sicherheitsmaßnahmen. Höhere Schutzniveaus sind in der Regel mit höheren Kosten verbunden. Schutzmechanismen müssen daher in Balance stehen mit dem identifizierten notwendigen Schutzniveau. In einer zunehmend individualisierten Produktion fallen zudem immer mehr personenbeziehbare Daten an und es bedarf neuer Methoden und Konzepte, um die Speicherung und Verarbeitung dieser Daten mit den Regelungen des Datenschutzes in Einklang zu bringen. Es ist somit erforderlich, mögliche Sicherheitsmaßnahmen sowohl unter wirtschaftlichen als auch unter datenschutzrechtlichen Aspekten zu betrachten.

Gegenstand der Förderung sind beispielsweise:

• Konzepte, Methoden und Werkzeuge zur Bewertung der Wirtschaftlichkeit neuer IT­Sicherheitsmaßnahmen
• Konzepte, Methoden und Werkzeuge zum Management personenbeziehbarer Daten in individualisierter und verteilter Produktion

Querschnittsthemen wie Normung, Standardisierung und vorbereitende Arbeiten zur Zertifizierung sollten, soweit erforderlich, in den Vorhaben berücksichtigt werden.

Im Rahmen dieser Richtlinie werden kleine Verbundvorhaben gefördert. Diese bestehen vorzugsweise aus einem oder mehreren KMU, die IT-Sicherheitsmaßnahmen im Unternehmen umsetzen wollen und einem Software- oder IT-Sicherheitsdienstleister, vorzugsweise ebenfalls KMU, das diese Umsetzung begleitet bzw. vornimmt. Dabei greift das Konsortium auf die wissenschaftlichen Arbeiten des Basisvorhabens zurück. Die skizzierten Ergebnisse der Vorhaben müssen über den aktuellen Stand der Wissenschaft und Technik hinausgehen. Die Dauer der Vorhaben ist in der Regel auf 2 Jahre anzulegen.

Anlässlich der Veröffentlichung der Förderbekanntmachung finden zwei Informationsveranstaltungen am 6. und 12. November 2018 statt.