Durchführung von Sicherheitsanalysen und Evaluierungen an Produkten und Services sowie an Standards und Test-spezifikationen aus den Bereichen Consumer und Public IoT (PraCyS)

Summary

Mit diesem Rahmenvertrag sollen Aufgaben als Dienstleistung zur Gestaltung der Cybersicherheit in den Bereichen Consumer IoT und Public IoT sowie E-Mail-Diensten und allgemein dem digitalen Verbraucherschutz übernommen werden. Explizit ausgenommen sind hierbei regulierte IoT-Produkte aus dem Energiesektor (wie Mess- und Steuerungseinrichtungen gemäß MsbG und EnWG), Energiewendeanlagen (wie PV-Wechselrichter, Energiemanagementsysteme und Batteriespeicher), regulierte IoT-Produkte aus dem Gesundheitswesen und der Telematik-Infrastruktur, dem Bereich intelligenter Transportsysteme sowie industrieller Anwendungen. Die Ergebnisse dienen zur Verbesserung der Vollständigkeit, Testbarkeit und Anwendbarkeit von neuen Standards, die z.B. im Rahmen des CRA Anwendung finden werden. Überdies sollen Handlungsempfehlungen und Demonstratoren für die Cybersicherheitsprävention entwickelt werden mit dem Ziel, die Cyberresilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Für unsere Standardisierungsarbeiten sind praxisorientierte Erkenntnisse von hoher Bedeutung. Hierfür müssen Schwachstellen von Produkten analysiert und bewertet, Standards und Testspezifikation anhand von konkreten Produkten auf deren Praxistauglichkeit evaluiert (Proof of Concept, PoC) und neue Technologien (z.B. Sicherheitsprotokolle) auf deren Anwendbarkeit untersucht werden, bevor diese in Standards eingebracht werden können. Bei Bekanntwerden von Schwachstellen in Produkten und Services aus den o. g. Bereichen werden bei Bedarf Ersteinschätzungen durchgeführt, Handlungsempfehlungen und begleitet Prozesse erstellt, die zur Schließung der Schwachstelle beitragen wie bspw. den CVD-Prozess. Abhängig von der Kritikalität und den Spezifika der vorliegenden Schwachstelle kann zu einer fachspezifischen Einschätzung z.B. ein praktisches Nachstellen der Schwachstelle oder eine Betroffenheitsprüfung erforderlich sein. Erkenntnisse aus der Entwicklung und Pflege der Standards, sowie Studien und Sicherheitsanalysen sind wichtiger Bestandteil der Präventionsarbeit des BSI zur Sensibilisierung und Stärkung der Cyberresilienz von Staat, Wirtschaft und Gesellschaft. Zur Prävention veröffentlicht das BSI darüber hinaus Handlungsempfehlungen, Testtools bzw. Prüfumgebungen und entwickelt Demonstratoren, z.B. für Messen, um verbreitete Schwachstellen praxisnah präsentieren zu können. Eine weitere wichtige Aufgabe des BSI ist der technische Verbraucherschutz. Im Rahmen von Sicherheitsuntersuchungen ausgewählter digitaler Verbraucherprodukte kann das BSI aktuelle IT-Sicherheitsrisiken am Markt identifizieren, um die gewonnenen Erkenntnisse für die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern zu nutzen.