FAQ

Über das NTC

Auftrags- und Initiativprojekte

Veröffentlichung von Schwachstellen

Rechtliche Rahmenbedingungen

NTC Kompetenznetzwerk

Über das Nationale Testinstitut für Cybersicherheit NTC

Welche Mission wird vom NTC verfolgt?

Das Nationale Testinstitut für Cybersicherheit NTC trägt zur Sicherheit und digitalen Souveränität der Schweiz bei, indem es kritische Schwachstellen von digitalen Produkten und Risiken neuer Digitaltechnologien vorausschauend erkennt und deren Mitigation unterstützt.
Welchen Beitrag leistet das NTC?

Der Verein führt Cybersicherheitsprüfungen von vernetzten Komponenten, Studien und Risikoanalysen mit Fokus auf Erhalt der Sicherheit und digitalen Souveränität der Schweiz durch. Dies umfasst Hard- und Software unabhängig von Hersteller und geografischer Herkunft, die in der Schweiz zum Einsatz kommen. Priorität haben Prüfaufträge mit Bezug zu kritischen Infrastrukturen, Behörden, wie der Polizei und der Armee, sowie Prüfungen von vernetzten Komponenten, die in grossen Stückzahlen in der Schweizer Wirtschaft und Zivilgesellschaft zum Einsatz kommen. Der Verein greift ergänzend auf die Kompetenzen aus Privatwirtschaft, Forschungs- und Bildungseinrichtungen im In- und Ausland zurück.
Weshalb ist der Auftrag des NTC wichtig?
In der Schweiz werden viele dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt. Diese Prüfungen sind für den Schutz der Gesellschaft und die Funktionsfähigkeit von Wirtschaft und Behörden unerlässlich. Das unabhängige und gemeinnützige Nationale Testinstitut für Cybersicherheit NTC schliesst die kritische Lücke fehlender Cybersicherheitsprüfungen.
- Das NTC gilt als zentraler Akteur für die Umsetzung der Schwerpunktthemen der Nationalen Cyberstrategie des Bundes und der Kantone, insbesondere bei den Massnahmen M4 «Analyse von Trends, Risiken und Abhängigkeiten» und M5 «Schwachstellen erkennen und verhindern» (abrufbar unter: https://www.newsd.admin.ch/newsd/message/attachments/76793.pdf).
- Mit der Annahme der Motion «Durchführung dringend notwendiger Cybersicherheitsprüfungen» erkannte das eidgenössische Parlament im Dezember 2024 die Existenz kritischer Sicherheitslücken an (abrufbar unter https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20243810).
- Das Bundesamt für Cybersicherheit BACS befürwortet NTC-Initiativprojekte: «Solche Sicherheitsprüfungen helfen, sichere und verfügbare digitale Dienstleistungen und Infrastrukturen bereitzustellen, die Cyberresilienz in der Schweiz zu erhöhen und unterstützen die Umsetzung der Nationalen Cyberstrategie (NCS)».
Welche Services bietet das NTC an?
Das NTC testet im Auftrag (entgeltlich) und Initiativ (auf eigene Kosten). Es bietet eine Reihe von Dienstleistungen zur Stärkung der Cybersicherheit in der Schweiz an. Dazu gehören:
- Sicherheitsprüfungen: Analyse und Bewertung der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen.
- Schwachstellenanalysen: Identifikation und Bewertung kritischer Sicherheitslücken, insbesondere in kritischen Infrastrukturen und weit verbreiteten Technologien.
- Forschung und Studien: Untersuchung neuer Bedrohungen und Entwicklung innovativer Sicherheitslösungen zur Förderung der digitalen Souveränität.
- Beratung und Wissenstransfer: Unterstützung von Behörden, Unternehmen und Organisationen durch Fachwissen, Schulungen und Best Practices.
Vorrang haben Prüfungen, die sich auf kritische Infrastrukturen, Behörden wie Polizei und Armee sowie auf vernetzte Komponenten konzentrieren, die in grossen Stückzahlen in der Schweizer Wirtschaft und Zivilgesellschaft genutzt werden.
Ist das NTC eine Bundesbehörde?

Nein, das NTC ist ein unabhängiger, gemeinnütziger Verein nach Schweizer Recht mit Sitz in Zug.
Wie finanziert sich das NTC?

Die Tätigkeit des Nationalen Testinstituts für Cybersicherheit NTC ist nicht gewinnorientiert. Die Finanzierung erfolgt durch die öffentliche Hand, Stiftungen und Gönner sowie durch Einnahmen aus Prüfaufträgen.
Wie unterscheiden sich die Dienstleistungen des NTC von privaten Anbietern?

Das NTC führt Cybersicherheitsprüfungen im Auftrag von Betreibern kritischer Infrastrukturen und Behörden durch, sofern strikte Unabhängigkeit und Objektivität gefordert sind. Eine Einflussnahme auf die Sicherheitsprüfungen durch Produkthersteller, Dienstleister oder Akteure aus Politik und Behörden ist dabei ausgeschlossen. Ebenso testet das NTC aus eigener Initiative digitale Produkte und Anwendungen, die in der Schweiz - sei es aufgrund fehlender Anreize oder gesetzlicher Verpflichtungen - nicht ausreichend getestet werden.

Auftrags- und Initiativprojekte

Übernimmt das NTC Auftragsprojekte?

Ja, das NTC untersucht im Auftrag die Cybersicherheit von kritischen Infrastrukturen und Behörden, um die Sicherheit und Unabhängigkeit der Schweiz zu gewährleisten. Das NTC testet nicht im Auftrag von Produktanbietern, Herstellern oder Dienstleistern der Privatwirtschaft.
Was ist ein Initiativprojekt?

Bei Initiativprojekten testet das NTC auf eigene Initiative und eigene Kosten – frei von politischen und wirtschaftlichen Interessen – digitale Produkte und Anwendungen, die in der Schweiz nicht ausreichend getestet werden.
Wird nach einem Test ein Label oder Zertifikat vergeben?

Nein. Das NTC erstellt Prüfberichte für festgelegte Testperioden und verzichtet bewusst auf die Vergabe von Labels und Zertifikaten, da diese eine begrenzte zeitliche Aussagekraft haben und falsche Anreize setzen.

Veröffentlichung von Schwachstellen - Vulnerability Disclosure

Warum veröffentlicht das NTC Schwachstellen?

Das NTC verfolgt mit der verantwortungsvollen Offenlegung von Schwachstellen drei Ziele:

1. Private Offenlegung gegenüber dem Hersteller zur schnellen und richtigen Behebung der Schwachstellen.

2. Öffentliche Bekanntmachung von Schwachstellenmustern, um Wiederholungen zu verhindern.

3. Warnung vor Sicherheitslücken, damit Nutzer eigene Schutzmassnahmen ergreifen können, insbesondere bei verspäteten oder fehlenden Patches.
Wo veröffentlicht das NTC Schwachstellen?
Schwachstellen werden in der Regel auf dem NTC Vulnerability Hub veröffentlicht:
- https://hub.ntc.swiss
Relevante Schwachstellen können auch in anderen Publikationen wie Kurzberichten, Pressemitteilungen oder Newslettern veröffentlicht werden. Die meisten dieser Veröffentlichungen sind auf der NTC-Webseite zu finden:
- https://www.ntc.swiss
Wie werden Schwachstellen bei Auftragsprojekten kommuniziert?

Schwachstellen und Risiken werden unter Einhaltung rechtlicher Vorgaben wie folgt kommuniziert:

a. Meldung an die verantwortliche Stelle: Alle Schwachstellen werden zunächst ausschliesslich der zuständigen Stelle (z. B. Hersteller oder Auftraggeber) mit einem Proof-of-Concept Exploit gemeldet («responsible disclosure»). Ist der Auftraggeber nicht selbst verantwortlich, wird er lediglich über schwerwiegende Schwachstellen informiert – ohne technische Details. Eine Weitergabe an Dritte erfolgt ohne Nennung des Auftraggebers.

b. Optionale Veröffentlichung: In Absprache mit dem Auftraggeber kann das NTC Schwachstellen mit angemessenem Detaillierungsgrad veröffentlichen (z. B. auf https://hub.ntc.swiss), jedoch ohne Nennung des Auftraggebers.

c. Meldung an Behörden: Besonders schwerwiegende Schwachstellen werden dem Bundesamt für Cybersicherheit (BACS) oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet – ebenfalls anonymisiert.

d. Prüfbericht: Nach Abschluss des Auftrags erhält der Auftraggeber eine vollständige Übersicht aller identifizierten Schwachstellen.
Wie werden Schwachstellen bei Initiativprojekten kommuniziert?
Schwachstellen und Risiken werden unter Einhaltung rechtlicher Vorgaben wie folgt kommuniziert:

a. Meldung an die verantwortliche Stelle: Identifizierte Schwachstellen werden zunächst ausschliesslich der zuständigen Stelle (z. B. Hersteller oder Prüfpartner) mit einem Proof-of-Concept Exploit gemeldet („responsible disclosure“). Ist der Prüfpartner nicht verantwortlich, wird er nur über die Existenz schwerwiegender Schwachstellen informiert – ohne technische Details. Eine Weitergabe an Dritte erfolgt ohne Nennung des Prüfpartners.

b. Frist zur Behebung: Herstellern wird eine Frist von 90 Tagen ab Zeitpunkt des Absetzens der Meldung zur Behebung eingeräumt. Falls betroffene Drittparteien Schutzmassnahmen ergreifen müssen, kann diese Frist um 30 Tage verlängert werden.

c. Veröffentlichung von Schwachstellen:
- Behobene Schwachstellen: Können mit Zustimmung des Herstellers detailliert veröffentlicht werden (z. B. auf hub.ntc.swiss). Ohne Einverständnis erfolgt die Veröffentlichung in reduzierter Form.
- Nicht behobene Schwachstellen: Können mit einem angemessenen Detaillierungsgrad veröffentlicht werden, jedoch stets ohne Nennung des Prüfpartners.
d. Meldung an Behörden: Besonders schwerwiegende Schwachstellen werden dem Bundesamt für Cybersicherheit (BACS) oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet – ebenfalls anonymisiert.

e. Prüfbericht: Nach Abschluss des Prüfauftrags erhält der Prüfpartner eine vollständige Übersicht aller identifizierten Schwachstellen.
Wie wir kommuniziert, wenn keine Schwachstellen gefunden werden?

Werden keine Schwachstellen entdeckt, erfolgt keine Veröffentlichung, um kein falsches Signal der Sicherheit zu vermitteln. Hersteller, die keinen Bericht über Sicherheitslücken erhalten, sollten weiterhin in Cybersicherheit investieren, da das Fehlen eines Fundes nicht bedeutet, dass keine Schwachstellen existieren.
Unterstützt das NTC bei der Behebung von Schwachstellen?

Das NTC wird idealerweise in den Patch-Entwicklungsprozess eingebunden und ermutigt Anbieter zur Zusammenarbeit, um sicherzustellen, dass Patches korrekt und vollständig sind. Oft wird ein Quellcode-Patch vorgeschlagen, der den Fehler behebt. In Fällen, in denen ein Patch unvollständig oder fehlerhaft ist, arbeitet das NTC mit dem Anbieter an einer Korrektur. Zusätzlich gibt das NTC Empfehlungen zur Code-Härtung, Angriffsflächenreduzierung und Designverbesserungen, was oft zu strukturellen Verbesserungen führt, die über einzelne Fehlerbehebungen hinausgehen. Diese Zusammenarbeit ist ein langfristiges Ziel des NTC.
Was können Anbieter tun, um die verantwortungsvolle Offenlegung von Sicherheitslücken zu erleichtern?

Das NTC empfiehlt Organisationen, eine Richtlinie zur Offenlegung von Schwachstellen (Vulnerability Disclosure Policy - VDP) zu etablieren, die einen sicheren Rahmen für die Meldung von Schwachstellen ohne rechtliche Konsequenzen bietet. Zum Beispiel gemäss: Offenlegung von Schwachstellen - OWASP Cheat Sheet Series (Englisch)

Eine nützliche Massnahme ist die „/.well-known/security.txt“-Datei auf der Website, die den zuständigen Sicherheitskontakt schnell auffindbar macht. Hinterlegen Sie den Kontakt ihrer Sicherheitsbeauftragten gemäss: Security.txt - Hinterlegen Sie Ihren Sicherheitskontakt auf Ihrer Webseite

Rechtliche Rahmenbedingungen für Ethical Hacking

Wie handhabt das NTC den Umgang mit Ethical Hacking?

Bei der Durchführung von Schwachstellenanalyse werden eine Reihe von Fragen im Hinblick auf eine mögliche Strafbarkeit nach schweizerischem Strafrecht aufgeworfen. Dennoch sieht die aktuelle Nationale Cyberstrategie des Bundes (NCS) die Institutionalisierung ethischen Hackings vor.

Das NTC führt innerhalb der rechtlichen Rahmenbedingungen ohne eine ausdrückliche Einverständniserklärung keine Sicherheitstests an laufenden operativen Systemen durch.

NTC Kompetenznetzwerk

Was ist das Kompetenznetzwerk NTC?

Das Kompetenznetzwerk ist ein Pool von Cybersicherheitsspezialisten aus der Schweiz und dem Ausland. Das Netzwerk wird regelmässig vom NTC kontaktiert, wenn zusätzliche Expertise benötigt wird. Auf diese Weise wird sichergestellt, dass die notwendigen Kompetenzen vorhanden sind und die Anfragen in der erforderlichen Qualität bearbeitet werden können.

Haben Sie noch Fragen?