Künst­li­che Intel­li­genz für IT-Sicher­heit  – F&E‑Förderung mit bis zu 50% Zuschuss

Im Rah­men des For­schungs­rah­men­pro­gramms der Bun­des­re­gie­rung zur IT-Sicher­heit „Selbst­be­stimmt und sicher in der digi­ta­len Welt 2015 bis 2020“, för­dert das Bun­des­mi­nis­te­rium für Bil­dung und For­schung (BMBF) For­schungs­pro­jekte im Bereich der Künst­li­chen Intel­li­genz (KI) für IT-Sicher­heit. Die fort­schrei­tende Ent­wick­lung im Bereich der KI birgt ein gro­ßes Poten­zial zur Ver­bes­se­rung der IT-Sicher­heit. Deutsch­land besitzt sowohl bei der For­schung zu KI als auch zu IT-Sicher­heit große Kom­pe­ten­zen. Es gilt nun, die Zusam­men­ar­beit die­ser bei­den Berei­che enger zu ver­zah­nen um Inno­va­tio­nen zu beför­dern und gegen­sei­tige Syn­er­gien zu nut­zen.

1. Zuwen­dungs­zweck

Mit der fort­schrei­ten­den Digi­ta­li­sie­rung bie­ten die immer kom­ple­xe­ren IT-Sys­­teme eine Viel­zahl von Angriffs­flä­chen. Die Zahl der auf die Sys­teme durch­ge­führ­ten Atta­cken ist rie­sig und die Angriffs­me­tho­den ver­än­dern sich fort­wäh­rend. Erken­nung und Abwehr die­ser Angriffe stel­len die Betrei­ber der Sys­teme vor immer grö­ßere Her­aus­for­de­run­gen: Abwehr­stra­te­gien für kom­plexe Sys­tem­land­scha­fen sind oft sehr spe­zi­ell und müs­sen auf sich schnell ver­än­dernde Angriffe ange­passt wer­den. Außer­dem besteht die Not­wen­dig­keit, Angriffe in Echt­zeit zu erken­nen, um recht­zei­tig auf sie zu reagie­ren. Der Ein­satz maschi­nel­ler Lern­ver­fah­ren und Künst­li­cher Intel­li­genz (KI) kann dazu die­nen, dass ver­netzte IT-Sys­­teme sich in Zukunft eigen­stän­dig auf neue Bedro­hun­gen ein­stel­len. Der Ein­satz von Ver­fah­ren, die auf KI basie­ren, ist jedoch sehr anspruchs­voll. So ist mit der Inbe­trieb­nahme sol­cher Sys­teme oft­mals ein hoher zeit­li­cher Auf­wand ver­bun­den. Auch ist stets zu klä­ren, ob und inwie­weit der Mensch in den Erken­­nungs- und Abwehr­pro­zess ein­grei­fen kann bzw. soll.

Das Bun­des­mi­nis­te­rium für Bil­dung und For­schung (BMBF) beab­sich­tigt daher die anwen­dungs­ori­en­tierte F&E von IT-Sicher­heits­­­tech­­no­­lo­­gien und ‑ver­fah­ren auf Basis KI zu för­dern. Ziel ist es, die For­schung im Bereich der KI und der IT-Sicher­heit stär­ker mit­ein­an­der zu ver­bin­den, um Deutsch­land als Stand­ort inno­va­ti­ver IT-Sicher­heits­­­lö­­sun­­gen zu stär­ken. Zudem wird mit der För­de­rung beab­sich­tigt, die Zusam­men­ar­beit von Unter­neh­men und For­schungs­ein­rich­tun­gen im uni­ver­si­tä­ren und außer­uni­ver­si­tä­ren Bereich zu inten­si­vie­ren und beson­ders die Par­ti­zi­pa­tion klei­ner und mitt­le­rer Unter­neh­men (KMU) an wis­sen­schaft­li­chen Ergeb­nis­sen zu unter­stüt­zen. End­an­wen­dern, wie Sicher­heits­be­hör­den oder Unter­neh­men der betrieb­li­chen Wirt­schaft, kommt eine wich­tige Rolle beim Trans­fer und der anwen­dungs­ori­en­tier­ten Aus­ge­stal­tung der For­schungs­er­geb­nisse und ihrer zukünf­ti­gen Nut­zung zu. Auf diese Weise soll die För­de­rung auch einen wich­ti­gen Bei­trag zur tech­no­lo­gi­schen Sou­ve­rä­ni­tät Deutsch­lands im Bereich der IT-Sicher­heit leis­ten.

2. Gegen­stand der För­de­rung

Gegen­stand der För­de­rung ist die Erfor­schung und Ent­wick­lung neuer IT-Sicher­heits­­­lö­­sun­­gen basie­rend auf Ver­fah­ren der KI. Die Lösun­gen und Ver­fah­ren sol­len so gestal­tet wer­den, dass sie mög­lichst intui­tiv benutz­bar sind und in ver­schie­de­nen Anwen­dungs­kon­tex­ten Ein­satz fin­den kön­nen.

a) KI-gestützte IT-Sicher­heits­­­lö­­sun­­gen bei begrenz­ten Res­sour­cen

Betriebe müs­sen ihre Informations‑, Kom­­mu­­ni­­ka­­ti­ons- und Pro­duk­ti­ons­sys­teme best­mög­lich vor Cyber­an­grif­fen sichern, um der Gefahr mög­li­cher wirt­schaft­li­cher Schä­den und Repu­ta­ti­ons­ver­luste ent­ge­gen­zu­tre­ten sowie um sicher­heits­re­le­vante Zer­ti­fi­zie­rungs­an­for­de­run­gen zu erfül­len und gesetz­li­che Vor­schrif­ten ein­zu­hal­ten. Dies stellt beson­ders KMU auf­grund ihrer begrenz­ten Res­sour­cen für IT-Sicher­heit häu­fig vor große Her­aus­for­de­run­gen.

Ein wich­ti­ger Bestand­teil der Absi­che­rung der IT-Infra­­struk­­tur ist die Ana­lyse des Netz­werk­ver­kehrs durch Sys­teme zur Angriffs­er­ken­nung und ‑abwehr, soge­nann­ter Intru­­sion-Detec­­tion- bzw. Intru­­sion-Pre­­ven­­tion-Sys­­teme. Jedoch fehlt es häu­fig an IT-Sicher­heits­­­ex­per­­tise, die für die Kon­fi­gu­ra­tion und den Ein­satz solch kom­ple­xer Sys­teme not­wen­dig ist. Der Erfolg lern­ba­sier­ter Sys­teme hängt zudem in erheb­li­chem Maße von der Menge und Qua­li­tät der zur Ver­fü­gung ste­hen­den Trai­nings­da­ten ab. Bei ein­zel­nen Anwen­dern ste­hen diese häu­fig nicht in aus­rei­chen­dem Umfang zur Ver­fü­gung und kön­nen zudem auch nicht von ande­ren Unter­neh­men bezo­gen wer­den. Geför­dert wer­den des­halb Vor­ha­ben zu fol­gen­den For­schungs­aspek­ten:

• IT-Sicher­heits­­­lö­­sun­­gen mit ein­fach zu hand­ha­ben­den KI-Kom­­po­­nen­­ten, damit auch bei gerin­ger Kennt­nis der Ver­fah­ren sei­tens des Anwen­ders gute Erfolge beim Ein­satz der Lösun­gen erzielt wer­den.
• Selbst­ler­nende Sicher­heits­sys­teme, die auf Basis klei­ne­rer Daten­men­gen, wie sie in der Pra­xis von KMU vor­han­den sind, gute Angriffs­er­ken­nungs­ra­ten lie­fern.
• Lösun­gen, die unter Gewähr­leis­tung des Daten­schut­zes und ohne Preis­gabe sicher­heits­re­le­van­ter Infor­ma­tio­nen eine unter­neh­mens­über­grei­fende Nut­zung von Lern- und Trai­nings­da­ten ermög­li­chen.

b) KI-gestützte IT-Sicher­heits­­­lö­­sun­­gen für Netz­werk­si­cher­heit

Viele Angriffe sind an den Kom­mu­ni­ka­ti­ons­kno­ten­punk­ten im Inter­net erkenn­bar, über die sowohl Steu­e­rungs- und Kon­troll­be­fehle des Angrei­fen­den als auch Daten des Ange­grif­fe­nen über­tra­gen wer­den. Für eine aus­sa­ge­kräf­tige Ana­lyse reicht jedoch oft die Betrach­tung eines ein­zel­nen Kno­tens nicht aus. Statt­des­sen ist eine koor­di­nierte Unter­su­chung vie­ler ver­teil­ter Kno­ten erfor­der­lich. Zugleich stei­gert die rasante Ver­net­zung durch das Inter­net der Dinge die Diver­si­tät der mit­ein­an­der kom­mu­ni­zie­ren­den Geräte. Bei­spiele sind indus­tri­elle Anla­gen, ver­netzte auto­nom fah­rende Fahr­zeuge oder intel­li­gente per­sön­li­che Assis­ten­ten, die alle sehr unter­schied­li­che Kom­mu­ni­ka­ti­ons­pro­to­kolle ver­wen­den. Benö­tigt wer­den des­halb Ver­fah­ren der KI, die diese hete­ro­ge­nen Quel­len aus­wer­ten kön­nen, um sich anbah­nende Bedro­hun­gen recht­zei­tig zu erken­nen. Gegen­stand der För­de­rung ist des­halb die F&E neuer inno­va­ti­ver IT-Sicher­heits­­­lö­­sun­­gen,

• die in der Lage sind, aus hete­ro­ge­nen, ver­teilt vor­lie­gen­den Daten­men­gen, Aus­sa­gen zur Bedro­hungs­lage abzu­lei­ten,
• die unter Berück­sich­ti­gung mensch­li­cher Ein­griffs­mög­lich­kei­ten (teil-)automatisierte Ent­schei­dun­gen bezüg­lich not­wen­di­ger Ver­tei­di­gungs­maß­nah­men tref­fen,
• die bevor­ste­hen­den Angriffe mög­lichst genau vor­her­sa­gen kön­nen.

c) Wei­ter­ent­wick­lung KI-gestüt­z­­ter IT-Sicher­heits­­­lö­­sun­­gen

Neben der Aus­wer­tung von Kom­mu­ni­ka­ti­ons­da­ten gibt es wei­tere Mög­lich­kei­ten, Cyber­an­griffe zu erken­nen und zu ver­hin­dern. Eine besteht in der Bewer­tung der Sicher­heits­qua­li­tät von Soft- und Hard­ware mit­tels selbst­ler­nen­der Sys­teme, bei­spiels­weise durch intel­li­gen­tes auto­ma­ti­sier­tes Tes­ten. Ver­fah­ren des maschi­nel­len Ler­nens sind jedoch im All­ge­mei­nen nicht trans­pa­rent hin­sicht­lich der tat­säch­lich gelern­ten Merk­male. Auf­grund des­sen ist die Zuver­läs­sig­keit und Qua­li­tät der beim Trai­ning erlern­ten Sicher­heits­mo­delle nur schwer ein­zu­schät­zen. Auch die Sicher­stel­lung der Ver­füg­bar­keit der teil­weise sen­si­blen Daten zum Trai­nie­ren der Modelle ist mit gro­ßen Her­aus­for­de­run­gen ver­bun­den. Durch einen koor­di­nier­ten Ansatz bei der Nut­zung IT-sicher­heits­­­re­­le­­van­­ter Trai­nings­da­ten kön­nen dabei Syn­er­gie­ef­fekte ent­ste­hen und genutzt wer­den. Auch wird an eini­gen Stel­len bereits ver­sucht, syn­the­ti­sche Daten zum Trai­ning der Sys­teme zu ver­wen­den. Ziel der För­de­rung im Rah­men die­ser Richt­li­nie ist unter ande­rem:

• Die Ent­wick­lung trans­pa­ren­ter Sicher­heits­tech­no­lo­gien unter Ver­wen­dung neuer KI-Ver­­­fah­­ren. Diese sind anhand eines Demons­tra­tors zu zei­gen und zu eva­lu­ie­ren.
• Eine ver­bes­serte Erken­nung von Angrif­fen auf lern­sys­tem­ba­sierte IT-Sicher­heits­­­lö­­sun­­gen. Diese soll an pra­xis­na­hen Bei­spie­len gezeigt und eva­lu­iert wer­den.
• Neue Ansätze zur Erzeu­gung syn­the­ti­scher Trai­nings­da­ten zur Ver­bes­se­rung der Ent­schei­dungs­qua­li­tät selbst­ler­nen­der IT-Sicher­heits­­­sys­­teme. Diese sind in der Anwen­dung zu demons­trie­ren und zu eva­lu­ie­ren.

Daten­schutz, das Recht auf infor­ma­tio­nelle Selbst­be­stim­mung, der Schutz der Pri­vat­sphäre und wei­tere recht­li­che Bestim­mun­gen sind – soweit rele­vant – zu berück­sich­ti­gen, ins­be­son­dere in Hin­blick auf die Ver­wert­bar­keit der Lösun­gen. Quer­schnitts­the­men, wie Nor­mung, Stan­dar­di­sie­rung und vor­be­rei­tende Arbei­ten zur Zer­ti­fi­zie­rung, soll­ten, soweit erfor­der­lich, in den Vor­ha­ben berück­sich­tigt wer­den.

Im Rah­men der För­der­be­kannt­ma­chung wer­den vor­zugs­weise inter­dis­zi­pli­näre Ver­bünde, in begrün­de­ten Aus­nah­me­fäl­len auch Ein­zel­vor­ha­ben geför­dert. Ver­bünde sol­len vor­han­dene Exper­tise im Bereich der KI und der IT-Sicher­heit mit­ein­an­der ver­bin­den. Der Pra­xis­be­zug der Pro­jekte und die Ver­wert­bar­keit der Ergeb­nisse sind durch eine ange­mes­sene Betei­li­gung von Anwen­dern, wie bei­spiels­weise Unter­neh­men, Sicher­heits­be­hör­den oder Betrei­ber Kri­ti­scher Infra­struk­tu­ren, in der Ver­bund­struk­tur sicher­zu­stel­len. Die skiz­zier­ten Lösun­gen müs­sen deut­lich über den aktu­el­len Stand der Wis­sen­schaft und Tech­nik hin­aus­ge­hen. Die Mach­bar­keit der Lösun­gen ist vor­zugs­weise in einem Demons­tra­tor nach­zu­wei­sen.

3. Zuwen­dungs­emp­fän­ger

Antrags­be­rech­tigt sind staat­li­che und nicht staat­li­che Hoch­schu­len, außer­uni­ver­si­täre For­schungs­ein­rich­tun­gen, Ver­bände und Ver­eine sowie sons­tige Orga­ni­sa­tio­nen mit F&E‑Interesse sowie Unter­neh­men der gewerb­li­chen Wirt­schaft. Zum Zeit­punkt der Aus­zah­lung einer gewähr­ten Zuwen­dung wird das Vor­han­den­sein einer Betriebs­stätte oder Nie­der­las­sung (Unter­neh­men) bzw. einer sons­ti­gen Ein­rich­tung, die der Tätig­keit des Zuwen­dungs­emp­fän­gers dient (Hoch­schule, For­schungs­ein­rich­tung, Ver­bände und Ver­eine sowie sons­tige Orga­ni­sa­tio­nen mit F&E‑Interesse) in Deutsch­land ver­langt. Die Betei­li­gung von Start-ups, KMU sowie mit­tel­stän­di­schen Unter­neh­men wird aus­drück­lich erwünscht und bei der Pro­jekt­be­gut­ach­tung posi­tiv berück­sich­tigt.

Die natio­na­len Vor­ga­ben für mit­tel­stän­di­sche Unter­neh­men im Sinne die­ser För­der­richt­li­nie sind Unter­neh­men, die ein­schließ­lich ver­bun­de­ner oder Part­ner­un­ter­neh­men zum Zeit­punkt der Antrag­stel­lung eine Größe von 1.000 Mit­ar­bei­tern und einen Jah­res­um­satz von 100 Mil­lio­nen Euro nicht über­schrei­ten.

4. Art und Umfang, Höhe der Zuwen­dung

Die Zuwen­dun­gen wer­den im Wege der Pro­jekt­för­de­rung als nicht­rück­zahl­ba­rer Zuschuss gewährt. Bemes­sungs­grund­lage für Zuwen­dun­gen an Unter­neh­men der gewerb­li­chen Wirt­schaft und für Vor­ha­ben von For­schungs­ein­rich­tun­gen, die in den Bereich der wirt­schaft­li­chen Tätig­kei­ten fal­len, sind die zuwen­dungs­fä­hi­gen pro­jekt­be­zo­ge­nen Kos­ten. In der Regel kön­nen diese – je nach Anwen­dungs­nähe des Vor­ha­bens – unter Berück­sich­ti­gung der bei­hil­fe­recht­li­chen Vor­ga­ben bis zu 50 % anteil­fi­nan­ziert wer­den. Nach BMBF-Grun­d­­sä­t­­zen wird eine ange­mes­sene Eigen­be­tei­li­gung – grund­sätz­lich min­des­tens 50 % der ent­ste­hen­den zuwen­dungs­fä­hi­gen Kos­ten – vor­aus­ge­setzt.