Bundesamt für Sicherheit in der Informationstechnik

Im Rahmen des Projekts soll für die BSI TR-03121 eine Metrikimplementierung ausgearbeitet werden, um die Qualität der Hintergrundersetzung von Gesichtsbildern effektiv und einheitlich bewerten zu können. Dazu gehört eine Analyse und ein Vergleich der bestehenden Metriken und der Aufbau eines Referenzdatensatzes von Gesichtsbildern mit hoher Variabilität. Darüber hinaus soll ein Algorithmus zur Hintergrundersetzung entwickelt werden, um als Referenzimplementierung verfügbare Algorithmen hinsichtlich Performanz und Qualität einordnen zu können. Die zu vergleichenden Algorithmen und gerätebasierten Lösungen stammen dabei aus zwei Aufrufen an die Öffentlichkeit. Abschließend soll untersucht werden, inwieweit und in welchem Ausmaß Morphing-Detektion (MAD) auf hintergrundersetzte Bilder reagiert, um über den Einfluss und mögliche Probleme Kenntnis zu gewinnen.

Das Referat T 11 „Sichere Halbleiter-Technologien“ betreibt eine Arbeitsumgebung zur Untersuchung von ICs auf Hardware-Schwachstellen. Ein in der Praxis häufig genutztes Mittel sind Angriffe über die Injektion von elektromagnetischen Pulsen (EMFI). Hierbei spielen die exakte Position und der Zeitpunkt, an der der Fehler eingebracht wird, eine entscheidende Rolle. Je höher die zeitliche und räumliche Auflösung des Systems ist, desto mehr, oft auch gefährlichere Angriffe lassen sich damit durchführen. Das Referat verfügt bereits über ein EMFI-System. Dieses ist für grundlegende Angriffe geeignet, erreicht aber lediglich Spannungen von maximal 500 V und Pulslängen von 80 ns mit Spulendurchmessern von minimal ca. 1mm. Daher soll nun ein hochpräzises EMFI-System beschafft werden, das sowohl eine deutlich höhere zeitliche und räumliche Auflösung sowie Spannung erreicht, als auch in der Lage ist, zeitlich sehr eng beieinander liegende Doppelpulse zu erzeugen. Mit einem solchen System kann die Lücke zwischen EMFI- und LFI-Angriffen deutlich verkleinert werden. Da EMFI-Systeme deutlich günstiger sind als LFI-Systeme (ca. 10% des Preises) und weder obligatorisch eine Öffnung des Prüflings erfordern (kein IR-Mikroskop benötigt), noch ein so hohes Risiko mit sich bringen, den Prüfling durch die Injektion zu zerstören, ergibt sich hier eine neue Bedrohungslage, da Angreifer hierdurch u.U. mit weniger Budget sehr effiziente Angriffe durchführen können. Das zu liefernde System muss mindestens folgende technische Vorgaben erfüllen: - Mind. zwei mit dem System kompatible Spulen enthalten; der größte Spulendurchmesser beträgt max. 500 µm - Spannung über der Spule mind. 1000 V - Die Polarität der Pulse muss einstellbar sein, um mit ansonsten identischen Parametern Störpulse induzieren zu können - Pulsanstiegszeit max. 5ns - Alle Pulsparameter (Spannung, Verzögerung, Polarität…) per Software einstellbar - Aussenden von Doppelpulsen mit min. Abstand von 25 ns - Das System muss automatisierbar sein. Hierfür benötigte Treiber werden dem BSI zur Verfügung gestellt. Die Kosten hierfür müssen im Angebotspreis enthalten sein. - Das System ist vorzugsweise unter Linux ansteuerbar. Hierfür benötigte Treiber werden dem BSI zur Verfügung gestellt. Die Kosten hierfür müssen im Angebotspreis enthalten sein. - Es ist eine Ansteuersoftware mitzuliefern, die dem BSI zur dauerhaften Nutzung ohne weitere Kosten überlassen wird (Lizenzmodelle sind nicht zulässig). Die Systemanforderungen für den Betrieb der Software sind im Angebot anzugeben. - Das System verfügt vorzugsweise über eine räumliche Trennung des Hochspannungsteils von den Spulen, so dass die Spulen mit möglichst geringer Beeinträchtigung der Sicht platziert werden können. - Die Spulen sind vorzugsweise federnd gelagert, um eine Beschädigung durch Mechanik möglichst zu vermeiden. Der AN liefert und montiert das System (Herbeiführung der Betriebsbereitschaft) an dem vom BSI vorgesehenen Aufstellort (s. Kapitel 1.4). Eine Anleitung für die Montage bzw. Demontage des Systems ist mitzuliefern. Anschließend ist die Funktionsfähigkeit des Systems durch eine entsprechende Demonstration nachzuweisen. Details sind der Leistungsbeschreibung (siehe Anlage) zu entnehmen.

Das Ziel dieses Projektes ist die Analyse und Darstellung zur Bestimmung des Status quo der öffentlichen Ladeinfrastruktur und die Ableitung von Maßnahmen zur Verbesserung der Cybersicherheit des Ökosystems zur Ladung von Elektrofahrzeugen in Deutschland. Mit Vergabe im Rahmen dieser Ausschreibung wird gleichzeitig der Teil der Maßnahme 38 des Masterplans Ladeinfrastruktur II abgeschlossen, der sich auf die Prüfung, ob zusätzliche Maßnahmen zum Schutz der Ladeinfrastruktur vor Cyberangriffen notwendig sind, bezieht. Um den Status quo hinreichend zu beschreiben, werden Dokumente zu entsprechenden Schwerpunktthemen zur aktuellen Gefährdungslage, der regulativen Landschaft und den aktuellen Audit- und Prüfaktivitäten der öffentlichen Ladeinfrastruktur erstellt. Die Dokumente weisen nicht nur auf bestehende Regularien, Anforderungen und Aktivitäten hin, sondern beleuchten auch bestehende Mängel, Lücken und Gefährdungen. Das Projektabschlussergebnis ist ein Eckpunktepapier, welches als Hausaufgabenheft zur Verbesserung der Cybersicherheitslage öffentlicher Ladeinfrastruktur in Deutschland aus Sicht des BSI dienen soll. Das Eckpunktepapier beinhaltet sowohl eine Zusammenfassung der Dokumente aus AP 2-4, sowie Maßnahmenvorschläge aus den UAP 5.1 und 5.2. Details sind der Leistungsbeschreibung (siehe Anlage) zu entnehmen.

Für EUCC und die dort verankerte Evaluierung und Zertifizierung von Produkten auf Basis der Common Criteria (CC) werden im Auftrag der ENISA derzeit sog. State-ofthe-Art (SoA) Dokumente zu verschiedenen Themenschwerpunkten erstellt. Hierzu zählt insbesondere bzgl. der CC Assurance Class ALC - Life-cycle support die Erstellung eines SoA-Dokuments zum Thema ALC Re-use Methodology. Zielsetzung dieses Dokuments ist eine effiziente und scheme-übergreifend harmonisierte Methodologie zur Wiederverwendung von ALC-bezogenen Evaluierungsergebnissen. Für die Entwicklung, Abstimmung und Dokumentation einer solchen harmonisierten ALC Re-use Methodology hat das BSI als CC-Zertifizierungsstelle aus strategischen Gründen die Federführung übernommen. Die Umsetzung und Erfüllung dieser Aufgabe soll Gegenstand des vorliegenden BSI-Projekts sein.

Die Auswirkungen der Digitalisierung betreffen nahezu alle gesellschaftlichen Bereiche und gewinnen zunehmend an Bedeutung in der gesamtgesellschaftlichen Entwicklung. Die mit dem digitalen Wandel verbundenen Herausforderungen im Themenfeld Cybersicherheit können daher nur mit einem gesamtgesellschaftlichen Ansatz bewältigt werden. Das BSI als die Cybersicherheitsbehörde des Bundes gestaltet in diesem Sinne Informationssicherheit für Staat, Wirtschaft und Gesellschaft. Ziel des BSI muss es daher sein, Cybersicherheit für, mit und in der gesamten Gesellschaft zu gestalten. Geschlossene Diskursgruppen sollen aufgebrochen und - über persönliche Kontakte und bilaterale Gespräche hinaus - ein dauerhafter Dialog mit allen gesellschaftlichen Gruppen etabliert werden. Hierzu sind Vertrauen und Vernetzung für das BSI als Kern der Cybersicherheitsarchitektur notwendig. In dem darauf aufsetzenden Projekt Dialog für Cybersicherheit (von 10/2020 bis 10/2023) konnten auf Grundlage des im Vorgängerprojekt erarbeitet Dialogmodells, der Dialog für Cybersicherheit in die Praxis überführt werden. Seit 11/2023 wird der Dialog für Cybersicherheit als Daueraufgabe im BSI umgesetzt und dient der Erfüllung der Strategie des BSI, eine „Cybernation Deutschland“ zu bauen. Der Multi-Stakeholderdialog mit allen gesellschaftlichen Gruppen (Wirtschaft, Staat, Wissenschaft, organisierte Zivilgesellschaft, Medien und Kultur) und dem BSI, wird als partizipativer Dialog auf Augenhöhe umgesetzt. Herzstück des Dialogprozesses ist die jährlich stattfindenden Denkwerkstatt „Sichere Informationsgesellschaft“. Im Zentrum der Veranstaltung stehen das Kennenlernen, die Vertrauensbildung zwischen den Teilnehmenden und die Herausbildung von Workstreams. Teilnehmende, in der Regel zwischen 50 bis 70 Personen, sind hierbei die Stakeholder:innen der fünf Gruppen Wirtschaft, Staat, Wissenschaft, organisierte Zivilgesellschaft, Medien und Kultur wie auch Vertreter:innen des BSI und der AG. Eine Teilnahme des zukünftigen AN an der Denkwerkstatt ist nicht vorgesehen. Die Herausbildung von Workstreams erfolgt durch eingereichte Ideen-Skizzen zu Themen, Fragestellungen und Visionen der Cybersicherheit, die mit den Dialogpartnerinnen und -partnern diskutiert und in Workstream-Skizzen überführt werden. Die Auswahl von zwei umzusetzenden Workstreams erfolgt durch die Teilnehmenden der Denkwerkstatt demokratisch. In den kommenden bis zu 9 Monaten werden die zwei Workstreams als kleine agile Projekte umgesetzt, an deren Ende konkrete Produkte oder Ergebnisse stehen. Die aktuellen Workstreams, die auch den thematischen Background der zu betreuenden Workstremas 2024/2025 im Rahmen dieser BA bilden, sind hier einzusehen: https://www.dialog-cybersicherheit.de/workstreams/ Fertig bearbeitete Beispiele aus der Vergangenheit sind hier zu finden: : https://www.dialog-cybersicherheit.de/media/). Ziel der Ausschreibung ist es, die zwei Workstreams organisatorisch zu begleiten und somit zur erfolgreichen Umsetzung des Dialogprozesses beizutragen. Alle in den Vorgängerprojekten erarbeiteten und relevanten Dokumente, die als Grundlage einzelner Arbeitspakete (APe) dienen, werden vor der Auftaktbesprechung vom Auftraggeber (AG) bereitgestellt. Details sind der Leistungsbeschreibung (siehe Anlage) zu entnehmen.