FAQ

Die Tätigkeit des Nationalen Testinstituts für Cybersicherheit NTC ist nicht gewinnorientiert, sondern ausschliesslich im Interesse der Schweizer Gesellschaft und Wirtschaft. Die Finanzierung der Vereinstätigkeit erfolgt hauptsächlich durch die öffentliche Hand.

Nein, das NTC ist ein unabhängiger, nicht gewinnorientierter Verein nach Schweizer Recht.

Nein. Das NTC testet nicht im Auftrag von Produktanbietern, Herstellern oder Dienstleistern der Privatwirtschaft. Prüfaufträge im Zusammenhang mit kritischen Infrastrukturen und Behörden haben für das NTC oberste Priorität. Diese werden vollständig unabhängig durchgeführt. Eine Einflussnahme auf die Objektivität des NTC ist somit ausgeschlossen.

Nein. Zur Wahrung der Neutralität werden keine Zertifizierungen nach internationalen oder nationalen Normen durchgeführt, die von Produktanbietern, Herstellern oder Dienstleistern zur Stärkung ihrer Marktposition genutzt werden könnten.

Nein, das NTC testet weitgehend auf eigene Initiative und damit auf eigene Kosten Produkte auf Schwachstellen, die sonst nicht getestet würden. Dies sind typischerweise digitale Produkte und vernetzte Infrastrukturen, für die es keine Verantwortlichen (z.B. Verwaltungsräte), keine ausreichende Regulierung oder andere Auftraggeber gibt oder für die der Markt für Verifikation nicht funktioniert.

Ohne das NTC würden diese gesellschaftlich relevanten Produkte und Systeme oft gar nicht getestet. In der Praxis zeigt sich sogar, dass die Aktivitäten des NTC neue Projekte für die Privatwirtschaft generieren. Durch das Aufzeigen von Schwachstellen schärft der NTC das Sicherheitsbewusstsein in den betroffenen Organisationen. Sie erkennen die Wichtigkeit und Dringlichkeit des Themas und suchen häufig Unterstützung bei privaten Cybersicherheitsanbietern.

Ja, das NTC untersucht im Auftrag die Cybersicherheit von kritischen Infrastrukturen und Behörden, um die Sicherheit und Unabhängigkeit der Schweiz zu gewährleisten. Dabei kooperiert es mit Unternehmen aus dem privaten Sektor, anstatt mit ihnen zu konkurrieren. Sollten Prüfungen auch von Schweizer IT-Sicherheitsunternehmen durchgeführt werden können, müssen die angebotenen Leistungen des NTC marktkonform vergütet werden. Das NTC konkurriert nicht aktiv mit privaten Sicherheitsunternehmen.

Initiativprojekte sind vom NTC initiierte und eigenfinanzierte Tests von digitalen Produkten und vernetzten Infrastrukturen, um Schwachstellen aufzudecken. Das NTC entscheidet selbstständig, was und wie intensiv getestet wird, basierend auf Erfahrungen, Beobachtungen und Hinweisen von Partnern oder der Öffentlichkeit. Die Ergebnisse werden gemäss der Vulnerability Disclosure Policy veröffentlicht, um sie der Öffentlichkeit zugänglich zu machen.

Nein, es ist bekannt, dass nicht alle Betreiber kritischer Infrastrukturen die gleiche Priorität auf die Cybersicherheit legen können, da sie möglicherweise nicht über ausreichende Kompetenzen und Ressourcen verfügen. Wenn das NTC aufgrund von Erfahrungen, Beobachtungen und Hinweisen den Verdacht hat, dass das System eines kritischen Infrastrukturbetreibers von Schwachstellen betroffen sein könnte, werden punktuell Sicherheitstests initiiert.

Nein, aber unter bestimmten Umständen können die Namen von Herstellern und Produkten, die von einer Sicherheitslücke betroffen sind, veröffentlicht werden. Wenn in einem Produkt keine Schwachstellen gefunden wurden, werden keine Informationen veröffentlicht, da dies ein falsches Signal der Sicherheit aussenden könnte. Hersteller, die keinen Bericht über eine Sicherheitslücke erhalten haben, sollten nicht dazu ermutigt werden, nicht mehr in Cybersicherheit zu investieren. Die Tatsache, dass das NTC keine Schwachstellen gefunden hat, bedeutet nicht, dass es keine gibt.

Die Art und Weise, wie Initiativprojekte als nicht beauftragte Projekte strukturiert sind, wirft eine Reihe von Fragen im Hinblick auf eine mögliche Strafbarkeit nach schweizerischem Strafrecht auf. Die Verantwortlichen des NTC wollten die Schweizer Rechtslage genau verstehen, um die relevanten Vorschriften beim Testen einzuhalten.

Das Gutachten kann hier heruntergeladen werden. Das vollständige Gutachten ist in deutscher Sprache verfügbar. Die Zusammenfassung ist in Deutsch, Englisch, Französisch und Italienisch verfügbar.

Das NTC ist überzeugt, dass die verantwortungsvolle Offenlegung von Schwachstellen einen wichtigen Beitrag zur Erhöhung der Sicherheit der Schweiz leistet. Wie in der NTC Vulnerability Disclosure Policy festgehalten, verfolgt das NTC mit der Offenlegung von Sicherheitslücken drei Ziele:

1) Initiale private Offenlegung gegenüber dem Anbieter zur Sicherstellung einer zeitnahen und korrekten Behebung der Schwachstellen zum Schutz der betroffenen Systeme. 

2) Öffentliche Bekanntmachung von Informationen über Schwachstellenmuster, um sicherzustellen, dass sie sich nicht wiederholen.

3) Öffentliche Bekanntmachung als Warnung vor Sicherheitslücken, damit die Nutzer eigene Sicherheitsvorkehrungen treffen können. Dies gilt insbesondere dann, wenn Patches von den Anbietern nicht oder verspätet zur Verfügung gestellt werden.

Das NTC bleibt im gesamten Prozess der Offenlegung von Schwachstellen in Kontakt mit der betroffenen Organisation und bemüht sich um eine Lösung, die für alle Beteiligten den grössten Nutzen bringt. Gemäss der NTC Vulnerability Disclosure Policy  besteht eine gewisse Flexibilität bei der Genauigkeit der Offenlegung. Die Tatsache, dass Schwachstellen öffentlich bekannt gemacht werden, ist jedoch unbestreitbar.

Nein. In der NTC Vulnerability Disclosure Policy gibt es klare Regeln, die festlegen, wann Details über den Hersteller, das Produkt oder die Schwachstelle veröffentlicht werden. Weder der Name des Produkts und des Herstellers noch eine detaillierte Beschreibung der Schwachstelle werden veröffentlicht, wenn die folgenden Bedingungen erfüllt sind: 

• Der Hersteller behebt die Schwachstelle, ohne dass die Betroffenen etwas unternehmen müssen (z.B. bei einem Cloud-Dienst, bei dem der Nutzer keine Patches installieren muss).
• es gibt keine Hinweise darauf, dass die Schwachstelle ausgenutzt wurde (z.B. in den Logdateien).

Nein. Das NTC ist eigenständig und teilt normalerweise keine Informationen über Schwachstellen dem Bundesamt für Cybersicherheit BACS oder anderen Dritten mit. Das NTC meldet Schwachstellen direkt dem Anbieter oder Betreiber des Systems und hält sich dabei an die NTC Vulnerability Disclosure Policy sowie an die Richtlinien des BACS Coordinated Vulnerability Disclosure (CVD):

Haben Sie eine Schwachstelle in einem IT-System oder in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt? Die goldene Regel ist, den Anbieter oder den Systemeigner direkt zu informieren. Wenn diese Organisationen nicht oder unzureichend reagieren, kann das BACS bei der Lösung solcher Sicherheitsprobleme als Vermittler fungieren.

Wie von der BACS CVD vorgeschlagen und in der NTC Vulnerability Disclosure Policy dargelegt, kann das NTC staatliche Stellen wie das BACS informieren, wenn der Anbieter nicht erreichbar ist oder der Anbieter nicht in der Lage oder bereit ist, die Schwachstelle zu beheben.

Idealerweise wird das NTC in den Patch-Entwicklungsprozess einbezogen und das NTC ermutigt die Anbieter, mit den NTC-Testern zusammenzuarbeiten, um sicherzustellen, dass die Patches korrekt und vollständig sind. Oft wird direkt einen Quellcode-Patch vorgeschlagen, der den zugrundeliegenden Fehler behebt. Bei komplexen Fällen arbeitet das NTC in der Regel mit dem Software-Maintainern zusammen, um eine korrekte Lösung zu entwickeln und zu verifizieren.

Die NTC-Tester stehen zur Verfügung, um während des Patch-Entwicklungsprozesses Feedback zu geben und das NTC ermutigt Anbieter, sich mit den NTC-Testern in Verbindung zu setzen, wenn sie Fragen oder Ideen haben, die sie weiter diskutieren möchten. Es hat schon mehrere Fälle gegeben, in denen der ursprüngliche Patch unvollständig war oder versehentlich eine weitere Schwachstelle eingeführt hat, und das NTC hat dann mit dem Hersteller/Anbieter zusammengearbeitet, um eine korrekte Lösung zu finden.

Das NTC gibt oft zusätzliche Hinweise auf Möglichkeiten zur Code-Härtung, zur Verringerung der Angriffsfläche, zu Designverbesserungen, zum Testen und so weiter. Dies führt häufig zu strukturellen Verbesserungen, die über eine einzelne Fehlerbehebung hinausgehen. Die Zusammenarbeit bei diesen strukturellen Verbesserungen ist ein spezifisches Ziel des NTC und wird als wichtige langfristige Komponente seiner Arbeit angesehen.

• https://hub.ntc.swiss

Darüber hinaus kann eine Auswahl relevanter Schwachstellen auch in anderen Publikationen wie Kurzberichten, öffentlichen Warnungen, Pressemitteilungen, Newslettern usw. veröffentlicht werden. Die meisten dieser Veröffentlichungen sind im News-Bereich der NTC-Webseite zu finden:

• https://www.ntc.swiss/news 

Vorab ist es wichtig festzustellen, dass die überwiegende Mehrheit der Sicherheitslücken innerhalb der gesetzten Frist geschlossen wird. Wir sind davon überzeugt, dass die Offenlegung einer Handvoll ungepatchter Schwachstellen Angreifern kurzfristig nicht wesentlich hilft, langfristig aber nachweislich zu kürzeren Patch-Zeiten und häufigeren Patch-Zyklen führt.

Wie in der NTC Vulnerability Disclosure Policy beschrieben, wird bei der Veröffentlichung den Detaillierungsgrad reduziert, wenn kein Patch verfügbar ist. Alternativ können wir in solchen Fällen auch das Bundesamt für Cybersicherheit BACS über die Schwachstelle informieren.

Das NTC ermutigt Organisationen, eine Richtlinie zur Offenlegung von Schwachstellen (Vulnerability Disclosure Policy - VDP) einzuführen, die einen sicheren Hafen schafft, in dem Sicherheitsforscher Schwachstellen einfach und sicher melden können, ohne rechtliche Konsequenzen befürchten zu müssen.

Eine grosse Hilfe für Sicherheitsforscher ist eine "/.well-known/security.txt"-Datei auf der Website. Der "security.txt"-Standard ermöglicht das schnelle Auffinden des zuständigen Sicherheitskontaktes auf der Website einer Organisation. Der Standard sieht vor, dass eine Textdatei mit dem Namen "security.txt" im vordefinierten Verzeichnis "/.well-known" auf der Website der Organisation abgelegt wird. Diese Datei enthält mindestens die Kontaktdaten, die verwendet werden können, um mit dem zuständigen Sicherheitskontakt einer Organisation in Kontakt zu treten. Darüber hinaus können dort weitere sicherheitsrelevante Informationen gespeichert werden.

Hier ist ein Beispiel: ncsc.admin.ch/.well-known/security.txt

Weitere Quellen, die bei der Einführung einer Richtlinie zur Offenlegung von Schwachstellen helfen können:

• Security.txt - Hinterlegen Sie Ihren Sicherheitskontakt auf Ihrer Webseite
• Leitfaden des BACS: Vulnerability Disclosure Management - Ein Leitfaden für Organisationen und Unternehmen
• Offenlegung von Schwachstellen - OWASP Cheat Sheet Series (Englisch)

Das Kompetenznetzwerk ist ein Pool von Cybersicherheitsspezialisten aus der Schweiz und dem Ausland. Das Netzwerk wird regelmässig vom NTC kontaktiert, wenn zusätzliche Expertise benötigt wird. Auf diese Weise wird sichergestellt, dass die notwendigen Kompetenzen vorhanden sind und die Anfragen in der erforderlichen Qualität bearbeitet werden können.