Unabhängige Prüfungen der Cybersicherheit sind notwendig
Viele dringend notwendige Cybersicherheitsprüfungen von vernetzten Infrastrukturen, Geräten und Anwendungen werden in der Schweiz nicht durchgeführt.
Die rasante Entwicklung der Digitalisierung in der Schweiz bringt grosse Entwicklungschancen aber auch eine stark zunehmende Bedrohungslage im Cyberbereich mit sich. Cyberangriffe stellen eine reale Bedrohung für alle Bereiche des öffentlichen Lebens dar - für Verwaltung, Wirtschaft und Gesellschaft. Die Häufigkeit, das Schadenspotenzial und die technische Raffinesse der Angriffe nehmen stetig zu.
Die Sicherheit und Unabhängigkeit der Schweiz ist besonders dann gefährdet, wenn unsichere cyber-physische Komponenten eingesetzt werden. Im Bereich der digitalen Produkte und Infrastrukturen gibt es derzeit jedoch kaum Gesetze oder verbindliche Standards, keine verbindlichen flächendeckenden Mindestanforderungen und keine gesetzlich verankerte Produkthaftung für Software. In der Folge gelangen zahlreiche unsichere Produkte und Anwendungen ungeprüft auf den Schweizer Markt.
Herstellern, Betreibern und Vertreibern von Produkten fehlen oft die nötigen Anreize, um aus eigener Initiative und auf eigene Kosten die dringend notwendigen Cybersicherheitsprüfungen zu initiieren. Die Verantwortlichkeiten und Kompetenzen für Cybersicherheit – gerade in Organisationen in neuen Technologiefeldern – sind häufig nicht hinreichend definiert oder sensibilisiert. In der Schweiz werden daher nicht genügend neutrale und finanziell unabhängige Prüfkapazitäten aufrechterhalten.
Das NTC erkennt kritische Schwachstellen vorausschauend und fördert deren Behebung. Die gewonnenen Erkenntnisse werden der Bevölkerung, den Behörden und der Wirtschaft zur Verfügung gestellt.
SCHWERPUNKT UNSERER ARBEIT
Um Cyberrisiken zu minimieren, identifizieren wir kritische Schwachstellen proaktiv und sorgen für deren Behebung– mit und ohne Auftrag.
Die vom NTC durchgeführten Sicherheitsbewertungen basieren auf internationalen Empfehlungen und Standards, die für vertiefende Analysen entsprechend ergänzt werden. Um fundierte Beurteilungen zu gewährleisten, greift das NTC auf vorhandene Kompetenzen aus Privatwirtschaft, Forschung und Bildungseinrichtungen im In- und Ausland zurück.
Prüfmodalitäten
Das NTC führt Initiativ- und Auftragsprojekte durch, um Schwachstellen vorausschauend zu erkennen und deren Behebung zu fördern.
Das NTC dringt nicht ohne Einverständnis in fremde Systeme ein, da man sich auf zu heiklem Rechtsgebiet befindet
Initiativprojekte werden auf eigene Kosten durchgeführt
Auftragsprojekte für kritische Infrastrukturen und Behörden erfolgen gemäss den Allgemeinen Prüfbestimmungen für Auftragsprojekte
Das Bundesamt für Cybersicherheit (BACS) unterstützt das NTC offiziell bei seinen Sicherheitsüberprüfungen (offizielles Referenzschreiben)
«Wir erstellen Prüfberichte, verzichten aber auf Labels und Zertifikate, da deren Aussagekraft begrenzt ist.»
Dr. Raphael M. Reischuk, Gründungsmitglied
«Wir bleiben mit unseren Aktivitäten stets neutral.»
Andreas W. Kaelin, Geschäftsführung
Eine Beeinflussung des Marktes für Hard- und Softwarekomponenten findet nicht statt. Die Tests werden nicht mit dem Ziel der Verkaufsförderung durch Hersteller oder Händler durchgeführt. Die Objektivität des NTC ist sowohl eine Voraussetzung für unsere Arbeit als auch ein Garant für unsere Leistung.
