Wir testen was sonst nicht getestet wird.

Unabhängige, vorausschauende Cybersicherheitsprüfungen – für eine sichere digitale Schweiz.

Das Nationale Testinstitut für Cybersicherheit NTC ist ein unabhängiger, gemeinnütziger Verein im Dienst der Öffentlichkeit. Als neutrale Instanz identifizieren wir proaktiv kritische Schwachstellen und fördern gezielt deren Behebung.

Damit schliessen wir eine kritische Lücke und stärken die digitale Resilienz der Schweiz.

Mehr Informationen über das NTC

Prüfungen am NTC

Prüfungen im Auftrag von Betreibern kritischer Infrastrukturen und Behörden

Das NTC testet im Auftrag von Betreibern kritischer Infrastrukturen und Behörden sowie Polizei und Armee, wenn höchste Unabhängigkeit und Objektivität gefordert sind. Unsere Prüfungen erfolgen nach transparenten Richtlinien frei von jeglicher Einflussnahme durch Produkthersteller, Dienstleister oder politische Interessen. Typische Anwendungsfälle sind Sicherheitsprüfungen von E-Government-Anwendungen, kritischen Steuerungssystemen oder behördenübergreifenden Plattformen.

Prüfungsumfang, Testtiefe und Zeitplan werden gemeinsam mit dem Auftraggeber festgelegt. Die Prüfung erfolgt grundsätzlich nur nach Einwilligung der direkt Beteiligten. Der Auftraggeber erhält einen abschliessenden Prüfbericht, der alle identifizierten Schwachstellen, Bewertungen und konkrete Handlungsempfehlungen dokumentiert. Auf Wunsch unterstützt das NTC bei der Responsible Disclosure.

Kontakt aufnehmen

Unsere Testmethodik

Was wir testen

Das NTC untersucht digitale Produkte und vernetzte Infrastrukturen mit hoher Relevanz für Wirtschaft und Gesellschaft – insbesondere dann, wenn aufgrund fehlender Anreize oder gesetzlicher Verpflichtungen - nicht ausreichend getestet wird.

Das NTC analysiert insbesondere systematisch vernetzte Systeme und Infrastrukturen – von Hardwarekomponenten über Web- und Mobile-Anwendungen, Cloud-Umgebungen bis hin zu industriellen Steuerungssystemen, IoT-Geräten und komplexen kritischen Infrastrukturen. Dabei setzt das NTC moderne Angriffsmethoden ein, um Schwachstellen in Hard- und Software frühzeitig aufzudecken und Risiken gezielt zu minimieren.

Das NTC testet nicht im Auftrag von Produktanbietern, Herstellern oder privatwirtschaftlichen Dienstleistern.
Wie wir testen

Das NTC prüft vollständig unabhängig – frei von Einflussnahme durch Hersteller, Dienstleister oder Politik. Das NTC identifiziert Risiken neuer Technologien vorausschauend und unterstützt aktiv deren Behebung.
Warum wir nicht zertifizieren

Statt Zertifikate oder Labels mit zeitlich begrenzter Aussagekraft auszustellen, erstellt das NTC transparente Prüfberichte, die die Resultate und den Zeitpunkt der Untersuchung dokumentieren. So schafft das NTC aktuelle, belastbare Grundlagen für fundierte Sicherheitsentscheide.
Warum wir Systeme ganzheitlich analysieren

Die fundierten Sicherheitsanalysen am NTC gehen über rein technische Prüfungen hinaus: Bei umfassenderen Analysen berücksichtigt das NTC neben technischen Schwachstellen auch unsichere Konfigurationen, Prozesse und organisatorische Aspekte ganzheitlich.
Wie wir die Behebung von Schwachstellen begleiten

Das NTC unterstützt aktiv die Behebung und Validierung von Schwachstellen, um eine nachhaltige Erhöhung des Sicherheitsniveaus zu erreichen. Idealerweise begleitet das NTC den Prozess – etwa durch technische Rückfragen, Entwurfskontrolle und Re-Tests. So trägt das NTC dazu bei, wirksame Schutzmassnahmen gezielt umzusetzen und Folgerisiken dauerhaft zu vermeiden.
Wie wir dringende Prüfaufträge ermöglichen

Bei dringenden Prüfaufträgen sind zeitnahe Ergebnisse wichtig. Da ein wesentlicher Teil der Überprüfungen durch das NTC selbst initiiert wird, sind die Terminvorgaben nicht von externen Auftraggebern abhängig. Dadurch ergibt sich die nötige zeitliche Flexibilität, um dringende Projekte zu priorisieren und zeitnah abzuschliessen.
Warum unsere Arbeit anerkannt ist

Das eidgenössische Parlament hat mit der Annahme der Motion Durchführung dringend notwendiger Cybersicherheitsprüfungen im Dezember 2024 die Relevanz von unabhängigen Sicherheitsprüfungen ausdrücklich anerkannt.

Daran angelehnt leistet das NTC einen aktiven Beitrag zur Umsetzung der Nationalen Cyberstrategie (NCS), insbesondere in den Massnahmen M4 «Analyse von Trends, Risiken und Abhängigkeiten» sowie M5 «Schwachstellen erkennen und verhindern». Die Relevanz und Wirkung dieser Beiträge werden im aktuellen Bericht zur Umsetzung der Nationalen Cyberstrategie (NCS) 2024 vom Mai 2025 nochmals hervorgehoben:

Um Trends, Risiken und Abhängigkeiten frühzeitig zu erkennen, analysiert das Nationale Testinstitut für Cybersicherheit NTC digitale Technologien und Entwicklungen. So untersuchte das NTC beispielsweise potenzielle Risiken im Zusammenhang mit Europas Systemabhängigkeiten sowie – in Absprache mit dem BACS – die Apps Temu und TikTok und leitete daraus konkrete Handlungsempfehlungen ab. Diese Arbeiten leisten einen Beitrag zu strategischen Resilienzentscheidungen, zur Stärkung des Fachwissens in der Schweiz und zur Sensibilisierung für technologische Trends.

Bundesamt für Cybersicherheit (BACS)

Mehr Informationen in den FAQ

Unsere Testfelder

Application Penetration Testing

Sicherheitsprüfung von Anwendungen – seien es Web- und Mobile-Anwendungen, Desktop-Anwendungen oder APIs – inklusive Code-Review und nach anerkannten Standards wie OWASP ASVS.

Mobile Application Penetration Testing

Sicherheitsprüfung von mobilen Anwendungen für Android und iOS nach anerkannten Standards wie OWASP MASVS.

Sicherheitsprüfung von IoT- und OT-Systemen

Bewertung vernetzter Geräte (Internet der Dinge) und industrieller Steuerungssysteme (ICS/SCADA/DCS) unter Einbezug von Normen wie IEC 62443.

Prüfung von Hardware-Komponenten

Analyse physischer Geräte und eingebetteter Systeme wie Steuergeräte, Sensoren und Chips. Dies umfasst auch das Auslesen und Reverse Engineering von Firmware sowie Angriffe auf Debugging- oder andere interne Schnittstellen. Dabei werden Normen wie EN 18031 berücksichtigt.

Cloud-Sicherheitsprüfung

Untersuchung von Cloud-Umgebungen und SaaS-Plattformen auf Fehlkonfigurationen, unzureichende Zugriffskontrollen oder Schwachstellen in hybriden Cloud-Szenarien. Dabei kann es sich um Cloud-Umgebungen von Hyperscalern wie Azure, AWS oder GCP handeln, aber auch um solche von lokalen IT-Dienstleistern. Dabei werden Empfehlungen wie CIS Benchmarks berücksichtigt.

Sicherheitsanalyse von Open-Source-Software

Prüfung von Open-Source-Software und -Bibliotheken mit grossen Relevanz und Verbreitung in der Schweiz. Ziel ist es, kritische Schwachstellen, wie sie 2021 in Log4j aufgetreten sind, oder Backdoors, wie sie 2024 in XZ Utils entdeckt wurden, zu identifizieren.

Netzwerk- und Sicherheits-infrastrukturprüfung

Analyse von Netzwerkinfrastrukturen – seien es Firewalls, VPNs, Router, WLAN-Netzwerke oder Basisdienste wie DNS, E-Mail und VoIP – zur Identifizierung von Konfigurationsfehlern, Protokollschwächen oder mangelhafter Segmentierung.

Client-/Server-Infrastrukturprüfung

Sicherheitsüberprüfung von Clients (z. B. Windows, Linux, Android, iOS, VDI), Servern (z. B. Windows, Unix) sowie Virtualisierungslösungen (z. B. VMware, Hyper-V) und Container-Technologien (z. B. Docker).

Prüfung neuer Technologien (z. B. KI-Systeme)

Analyse aufkommender moderner Technologien wie KI- und Machine-Learning-Systeme, Ladeinfrastruktur für Elektromobilität, Smart Grid im Hinblick auf den Ausbau erneuerbarer Energien sowie Quantencomputer, um Sicherheitslücken aufzudecken und vorausschauend das Bewusstsein für neue Risiken für die Schweizer Gesellschaft zu schärfen.

Rechtliche Rahmenbedingungen und Responsible Disclosure

Rechtliche Integrität

Sicherheitsprüfungen in Systemen Dritter erfolgen mit Zustimmung der verantwortlichen Stellen und gemäss den geltenden rechtlichen Rahmenbedingungen der Schweiz.

Verantwortungsvolle Offenlegung von Schwachstellen

Vertrauliche Meldung: zur schnellen Behebung werden Schwachstellen zunächst vertraulich an den Hersteller oder Betreiber gemeldet.
Öffentliche Bekanntmachung: In Absprache mit den Prüfpartnern und nach Ablauf einer angemessenen Frist kann eine Veröffentlichung der Prüfungsergebnisse erfolgen. Dies dient dazu, auf typische Schwachstellenmuster hinzuweisen und eine frühzeitige Warnung bei ausbleibender oder verzögerter Behebung zu ermöglichen.

Vulnerability Disclosure Policy