FAQ

Die Tätigkeit des Nationalen Testinstituts für Cybersicherheit NTC ist nicht gewinnorientiert, sondern ausschliesslich im Interesse der schweizerischen Gesellschaft und Wirtschaft handelnd. Die Finanzierung der Vereinstätigkeit erfolgt hauptsächlich durch die öffentliche Hand.

Nein, das NTC ist ein eigenständiger, nicht gewinnorientierter Verein nach Schweizer Recht.

Nein. Das NTC testet nicht im Auftrag von Produktanbietern, Herstellern oder Dienstleistern der Privatwirtschaft. Prüfaufträge im Zusammenhang mit kritischen Infrastrukturen und Behörden haben für das NTC oberste Priorität. Diese werden in völliger Unabhängigkeit durchgeführt. Eine Einflussnahme auf die Objektivität des NTC ist somit ausgeschlossen.

Nein. Zur Wahrung der Neutralität werden keine Zertifizierungen nach internationalen oder nationalen Normen durchgeführt, die von Produktanbietern, Herstellern oder Dienstleistern zur Stärkung ihrer Marktposition genutzt werden könnten.

Nein, das NTC testet weitgehend auf eigene Initiative und damit auf eigene Kosten Produkte auf Schwachstellen, die sonst nicht getestet würden. Dies sind typischerweise digitale Produkte und vernetzte Infrastrukturen, für die es keine Verantwortlichen (z.B. Verwaltungsräte), keine ausreichende Regulierung oder andere Auftraggeber gibt oder für die der Markt für Verifikation nicht funktioniert.

Ohne das NTC würden diese gesellschaftlich relevanten Produkte und Systeme oft gar nicht getestet. In der Praxis zeigt sich sogar, dass die Aktivitäten des NTC neue Projekte für die Privatwirtschaft generieren. Durch das Aufzeigen von Schwachstellen schärft der NTC das Sicherheitsbewusstsein in den betroffenen Organisationen. Sie erkennen die Wichtigkeit und Dringlichkeit des Themas und suchen häufig Unterstützung bei privaten Cybersicherheitsanbietern.

Ja, das NTC untersucht im Auftrag die Cybersicherheit von kritischen Infrastrukturen und Behörden, um die Sicherheit und Unabhängigkeit der Schweiz zu gewährleisten. Dabei kooperiert es mit Unternehmen aus dem privaten Sektor, anstatt mit ihnen zu konkurrieren. Sollten Prüfungen auch von Schweizer IT-Sicherheitsunternehmen durchgeführt werden können, müssen die angebotenen Leistungen des NTC marktkonform vergütet werden. Das NTC konkurriert nicht aktiv mit privaten Sicherheitsunternehmen.

Initiativprojekte sind vom NTC initiierte und eigenfinanzierte Tests von digitalen Produkten und vernetzten Infrastrukturen, um Schwachstellen aufzudecken. Das NTC entscheidet selbstständig, was und wie intensiv getestet wird, basierend auf Erfahrungen, Beobachtungen und Hinweisen von Partnern oder der Öffentlichkeit. Die Ergebnisse werden gemäss der Vulnerability Disclosure Policy veröffentlicht, um sie der Öffentlichkeit zugänglich zu machen.

Nein, es ist bekannt, dass nicht alle Betreiber kritischer Infrastrukturen die gleiche Priorität auf die Cybersicherheit legen können, da sie möglicherweise nicht über ausreichende Kompetenzen und Ressourcen verfügen. Wenn das NTC aufgrund von Erfahrungen, Beobachtungen und Hinweisen den Verdacht hat, dass das System eines kritischen Infrastrukturbetreibers von Schwachstellen betroffen sein könnte, werden punktuell Sicherheitstests initiiert.

Die Art und Weise, wie Initiativprojekte als nicht beauftragte Projekte strukturiert sind, wirft eine Reihe von Fragen im Hinblick auf eine mögliche Strafbarkeit nach schweizerischem Strafrecht auf. Die Verantwortlichen des NTC wollten die Schweizer Rechtslage genau verstehen, um die relevanten Vorschriften beim Testen einzuhalten.

Das Gutachten kann hier heruntergeladen werden.

Das vollständige Gutachten ist in deutscher Sprache verfügbar. Die Zusammenfassung ist in Deutsch, Englisch, Französisch und Italienisch verfügbar.

Das NTC ist überzeugt, dass die verantwortungsvolle Offenlegung von Schwachstellen einen wichtigen Beitrag zur Erhöhung der Sicherheit der Schweiz leistet. Wie in den NTC-Richtlinien zur Offenlegung von Schwachstellen  festgehalten, verfolgt das NTC mit der Offenlegung von Sicherheitslücken drei Ziele:

1) In einem ersten Schritt werden Schwachstellendetails nur dem Anbieter offengelegt, um eine schnelle und präzise Behebung der Schwachstellen sicherzustellen und betroffene Systeme zu schützen.

2) Schwachstellenmuster werden öffentlich bekannt gegeben, damit andere Organisationen daraus lernen und ihre Systeme auf das Vorhandensein der identifizierten Muster überprüfen können. Darüber hinaus dienen diese Informationen der Forschung und den Herstellern zur Entwicklung von Massnahmen und zur Vermeidung von Fehlern.

3) Öffentliche Bekanntgabe von Schwachstellen, den betroffenen Produkten und den Herstellern als Warnung vor Sicherheitslücken, um den Nutzern die Möglichkeit zu geben, eigene Vorsichtsmassnahmen zu treffen, insbesondere wenn Patches von den Anbietern nicht oder verspätet zur Verfügung gestellt werden.

Das NTC bleibt im gesamten Prozess der Offenlegung von Schwachstellen in Kontakt mit der betroffenen Organisation und bemüht sich um eine Lösung, die für alle Beteiligten den grössten Nutzen bringt. Gemäss der NTC-Richtlinie zur Offenlegung von Schwachstellen  besteht eine gewisse Flexibilität bei der Genauigkeit der Offenlegung. Die Tatsache, dass Schwachstellen öffentlich bekannt gemacht werden, ist jedoch unbestreitbar.

Nein. Es gibt klare Regeln in der NTC-Richtlinien zur Offenlegung von Schwachstellen, die festlegen, wann Einzelheiten über den Anbieter, das Produkt oder die Schwachstelle bekannt gegeben werden. Wenn ein berechtigtes öffentliches Interesse an der Bekanntgabe der Details besteht, werden diese mitgeteilt.

Nein. Das NTC ist eigenständig und teilt normalerweise keine Informationen über Schwachstellen dem Nationalen Zentrum für Cybersicherheit NCSC oder anderen Dritten mit. Das NTC meldet Schwachstellen direkt dem Anbieter oder Eigentümer des Systems und hält sich dabei an die Schwachstellen-Offenlegungsrichtlinie sowie an die Empfehlungen der NCSC-Koordinationsrichtlinie zur Offenlegung von Schwachstellen NCSC-Koordinationsrichtlinie zur Offenlegung von Schwachstellen: 

Haben Sie eine Schwachstelle in einem IT-System oder in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt und möchten diese melden? Die goldene Regel ist, den Anbieter oder Eigentümer des Systems direkt zu informieren. Wenn diese Organisationen jedoch nicht auf Ihre Meldung reagieren oder ihre Antwort unzureichend ist, kann die NCSC als Vermittler fungieren, um solche Sicherheitsprobleme zu lösen.

Wie von der NCSC CVD vorgeschlagen und in den NTC-Richtlinien zur Offenlegung von Schwachstellen dargelegt, kann das NTC staatliche Stellen wie die NCSC informieren, wenn der Anbieter nicht erreichbar ist oder der Anbieter nicht in der Lage oder bereit ist, die Schwachstelle zu beheben.

Idealerweise wird das NTC in den Patch-Entwicklungsprozess einbezogen werden und das NTC ermutigt die Anbieter, mit den NTC-Testern zusammenzuarbeiten, um sicherzustellen, dass die Patches korrekt und vollständig sind. Oft wird direkt einen Quellcode-Patch vorgeschlagen, der den zugrundeliegenden Fehler behebt. Bei komplexen Fällen arbeitet das NTC in der Regel mit dem Software-Maintainern zusammen, um eine korrekte Lösung zu entwickeln und zu verifizieren.

Die NTC-Tester stehen zur Verfügung, um während des Patch-Entwicklungsprozesses Feedback zu geben - ein zusätzliches Paar Augen auf einem Sicherheitspatch kann einen großen Unterschied ausmachen, daher ermutigt das NTC Anbieter, sich mit den NTC-Testern in Verbindung zu setzen, wenn sie Fragen oder Ideen haben, die sie weiter diskutieren möchten. Es hat schon mehrere Fälle gegeben, in denen der ursprüngliche Patch unvollständig war oder versehentlich eine weitere Schwachstelle eingeführt hat, und das NTC hat dann mit dem Betreuer/Anbieter zusammengearbeitet, um eine korrekte Lösung zu finden.

Das NTC gibt oft zusätzliche Hinweise auf Möglichkeiten zur Code-Härtung, zur Verringerung der Angriffsfläche, zu Designverbesserungen, zum Testen und so weiter. Dies führt häufig zu strukturellen Verbesserungen, die über eine einzelne Fehlerbehebung hinausgehen. Die Zusammenarbeit bei diesen strukturellen Verbesserungen ist ein spezifisches Ziel des NTC und wird als wichtige langfristige Komponente seiner Arbeit angesehen.

Das NTC ermutigt Organisationen, eine Richtlinie zur Offenlegung von Schwachstellen (Vulnerability Disclosure Policy - VDP) einzuführen, die einen sicheren Hafen schafft, in dem Sicherheitsforscher Schwachstellen einfach und sicher melden können, ohne rechtliche Konsequenzen befürchten zu müssen.

Eine grosse Hilfe für Sicherheitsforscher ist eine "/.well-known/security.txt"-Datei auf der Website. Der "security.txt"-Standard ermöglicht das schnelle Auffinden des zuständigen Sicherheitskontaktes auf der Website einer Organisation. Der Standard sieht vor, dass eine Textdatei mit dem Namen "security.txt" im vordefinierten Verzeichnis "/.well-known" auf der Website der Organisation abgelegt wird. Diese Datei enthält mindestens die Kontaktdaten, die verwendet werden können, um mit dem zuständigen Sicherheitskontakt einer Organisation in Kontakt zu treten. Darüber hinaus können dort weitere sicherheitsrelevante Informationen gespeichert werden.

Hier ist ein Beispiel:
ncsc.admin.ch/.well-known/security.txt

Weitere Ressourcen, die Ihnen bei der Umsetzung einer Politik zur Offenlegung von Schwachstellen helfen können:

Vulnerability Disclosure Management - Ein Leitfaden für Organisationen und Unternehmen

Offenlegung von Schwachstellen - OWASP Cheat Sheet Series (Englisch)

Das Kompetenznetzwerk ist ein Pool von Cybersicherheitsspezialisten aus der Schweiz und dem Ausland. Das Netzwerk wird regelmässig vom NTC kontaktiert, wenn zusätzliche Expertise benötigt wird. Auf diese Weise wird sichergestellt, dass die notwendigen Kompetenzen vorhanden sind und die Anfragen in der erforderlichen Qualität bearbeitet werden können.