Wie das NTC prüfen will, was andere nicht prüfen
Das Nationale Testinstitut für Cybersicherheit (NTC) hat es sich zum Ziel gesetzt, quasi ein Pendant zur Empa im Cyberbereich zu werden - umfassend, transparent und zum Wohle der Gesellschaft. Wie es auswählt, was es prüft, welche Meilensteine es nun anpeilt und weshalb die Schweiz überhaupt ein NTC braucht, sagt Raphael Reischuk, Mitgründer des NTC und Mitglied des Cybersecurity Advisory Board der SATW, im Interview.
Was ist die Idee hinter dem NTC?
Raphael Reischuk: In der Schweiz werden viele digitale Geräte und cyberphysische Komponenten betrieben, die nicht oder zu wenig auf Schwachstellen geprüft werden. Gleichzeitig kommen jeden Tag viele neue Schwachstellen ans Licht in Produkten, die nicht gründlich genug getestet wurden, bevor sie auf den Markt kamen. Genau da setzen wir an: Wir testen, was sonst nicht getestet wird.
Und was ist Ihre Rolle beim NTC?
Meine Kollegen nennen mich gern den "geistigen Vater des NTC" (lacht). Zusammen mit Thomas Held, dem ehemaligen Direktor der Denkfabrik Avenir Suisse, und einer 12-köpfigen Expertengruppe aus Wirtschaft und Forschung konzipierte ich in den Jahren 2019 und 2020 das Institut. Darauf aufbauend erfolgte die Gründung des Instituts zusammen mit Andreas Kaelin als Geschäftsführer sowie dem Zuger Regierungsrat Heinz Tännler und Nationalrat Franz Grüter als Präsident respektive Vizepräsident des Vorstands. Abgesehen von meiner Rolle als Vorstandsmitglied bin ich weiterhin einer der Impulsgeber, der die generelle strategische Richtung angibt, in der wir uns entwickeln wollen. Denn das NTC bleibt weiterhin mein Baby (lacht).
Und im November engagierten Sie Tobias Castagna, um das Team von Testexperten aufzubauen. Wie ist der aktuelle Stand des Projekts? Ist das NTC bereits operativ?
Wir sind bereits seit der Gründung im Dezember 2020 operativ. Es war mir sehr wichtig, keine Organisation zu gründen, die zunächst eine Ewigkeit mit sich selbst beschäftigt ist. Unmittelbar nach dem Start des NTCs waren wir damit beschäftigt, das Covid-Zertifikat zu analysieren – zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sowie dem Bundesamt für Informatik und Telekommunikation (BIT). Seitdem haben wir eine Reihe von Untersuchungen durchgeführt.
Wie gross ist das Team von Testexperten aktuell?
Derzeit beschäftigen wir drei festangestellte Testpersonen. Und wir werden weiter wachsen, auch wenn der Fachkräftemangel es nicht gerade leicht macht, die echten Top-Experten zu bekommen. Wir werden aber trotzdem keine Kompromisse bei der Qualität eingehen, um die bestmögliche Leistung zu erbringen.
Ist es für Sie - im Vergleich zur Privatwirtschaft - einfacher oder schwieriger, Fachkräfte zu rekrutieren?
Ich denke, für uns ist es tatsächlich ein bisschen einfacher. Als Non-Profit-Organisation agieren wir frei von den kommerziellen Interessen der Marktteilnehmer. Somit können wir uns vollständig unserem Ziel widmen: Wir testen, was sonst nicht getestet wird. Dieser klare Leitsatz beschreibt unsere Daseinsberechtigung – also neudeutsch unseren «Purpose» – recht gut und macht uns zusätzlich noch interessanter für die Fachkräfte. Wir wollen mit unseren Dienstleistungen zwar definitiv nicht mit der Privatwirtschaft konkurrieren. Aber wenn es um den Talentmarkt geht, schöpfen wir aus demselben Topf.
Was sind die nächsten Meilensteine, die Sie mit dem NTC anpeilen?
Grob gesagt, geht es nun darum zu beweisen, dass die 7,5 Millionen Franken, die der Kanton Zug investiert hat, eine gewinnbringende Investition für die gesamte Schweiz sind. Das können wir zeigen, indem wir unserem Versprechen gerecht werden, genau die Dinge zu prüfen, die eine kritische Relevanz für die Schweiz haben, aber derzeit noch nicht genügend untersucht werden. Das ist das Ziel, das wir bis Ende 2024 erreichen möchten.
Können Sie ein Beispiel für so ein Produkt nennen?
Natürlich. Vor kurzem prüften wir beispielsweise die Tiktok-App. In einigen Staaten ist diese App gesperrt - oder es wird aktuell darüber nachgedacht, sie zu sperren. Dennoch muss die Schweiz selbst eine unabhängige Meinung darüber bilden können, wie gefährlich diese App wirklich ist.
Diese 7,5 Millionen vom Kanton Zug werden nicht ewig halten. Wer finanziert darüber hinaus das NTC?
Wir setzen diese Mittel sehr bedacht ein, deshalb wird das Geld noch eine Zeit lang reichen. Wir sind sehr dankbar dafür, dass der Kanton Zug uns so grosszügig finanziell unterstützt. Nun hoffen wir, dass wir weitere Kantone und auch den Bund überzeugen können. So wollen wir eine Basisfinanzierung sicherstellen. Wenn wir einen Beitrag zur Sicherheit des Landes leisten, dann ist es auch Aufgabe der Öffentlichkeit, die Finanzierung sicherzustellen. Denkbar ist auch ein Finanzierungsmodell, wie es beispielsweise die Rega nutzt. Das heisst, Gönner zahlen einen kleinen Beitrag, ohne eine direkte Gegenleistung zu erwarten – also à fonds perdu.
Können Unternehmen das NTC beauftragen, ein Produkt zu testen?
Ja, aber ein Auftraggeber, der eine Prüfung finanziert, darf nicht sein eigenes Produkt testen lassen. Das ist in unseren FAQ auf der Website klar beschrieben. Wenn beispielsweise die Swisscom jedoch Netzwerkkomponenten eines anderen Herstellers testen will, bevor sie diese einsetzt, könnten wir den Auftrag annehmen.
Was für Verbindungen hat das NTC zur Privatwirtschaft, zur Forschung und zur Politik?
Wir wollen das Rad nicht neu erfinden, deswegen greifen wir auf die zahlreichen Kompetenzen zurück, die in der Schweiz schon vorhanden sind. Wir pflegen beispielsweise Kontakte zu ETH und EPFL, zum NCSC, zum CyberPeace Institute, zum Cyber-Defence Campus von Armasuisse und natürlich auch zur Privatwirtschaft. Der Cyberbereich entwickelt sich rasant – ohne mit anderen zusammenzuarbeiten, kommt niemand sehr weit.
Sie sagten, das nächste Ziel sei es, zu beweisen, dass die Schweiz das NTC braucht. Aber braucht die Schweiz das NTC? Es gibt doch schon genügend privatwirtschaftliche Unternehmen, die IT-Produkte und -Lösungen auf ihre IT-Mängel prüfen.
Die Privatwirtschaft wird nur dann aktiv, wenn ein Business Case dahintersteht. Der Markt ist jedoch voller Produkte, auf die dies nicht zutrifft. Heutzutage bringen viele Anbieter ihre Produkte einfach möglichst schnell auf den Markt, um sich einen Vorteil gegenüber dem Wettbewerb zu verschaffen. Und IT-Security wird dabei oft als eine ausbremsende Blockade verstanden. Zudem gibt es bei vielen dieser Produkte niemanden, der dafür zahlen würde, deren Cybersicherheit zu prüfen. Deswegen braucht es eine neutrale, unabhängige Stelle, die selbstständig aktiv wird, wenn sie Risiken erkennt und diese prüft – zum Wohle der Gesellschaft. Die Privatwirtschaft, die ihre eigenen kommerziellen Interessen verfolgt, deckt diesen Auftrag nicht ab – was völlig verständlich ist. Deshalb springen wir hier in die Bresche.
Was halten Sie eigentlich von der umgangssprachlichen Bezeichnung "Cyber-Empa" für das NTC?
Als wir den Ausdruck zum ersten Mal hörten, löste er im Team Freude aus. Die Empa ist eine etablierte Institution in der Schweiz und es ist sehr erfreulich, mit ihr verglichen zu werden. Aber eigentlich passt der Vergleich nicht so gut.
Weshalb nicht?
Die Empa prüft Baustoffe und Materialien. Sie kann davon ausgehen, dass die Eigenschaften, die sie in den Tests dieser Stoffe feststellt, sich auch fünf Jahre später nicht verändert haben werden. Das ist im Cyberspace völlig anders. Wir prüfen digitale Technologie. Und diese entwickelt sich rasant weiter. Das ist der entscheidende Unterschied: Im Gegensatz zur Empa können wir ein Produkt nicht einmal prüfen und erwarten, dass diese Einschätzung für mehrere Jahre gültig sein wird. Eigentlich müssten wir alles jeden Tag aufs Neue prüfen, um eine fundierte Aussage machen zu können über eine bestimmte Hard- oder Software.
Ich vermute, das heisst, dass das NTC keine Zertifizierungen für geprüfte Produkte aushändigen wird.
Richtig. Zertifizierungen sind nicht zielführend und sie setzen falsche Anreize. Einerseits werden Unternehmen aus wirtschaftlichen Interessen nur gerade so viel tun, wie sie müssen, um eine Zertifizierung knapp zu erreichen - aber nur selten mehr. Und andererseits ist bei einem zertifizierten Produkt nicht klar, ob dieses Gütesiegel nach dem nächsten Softwareupdate noch gültig ist. Ausserdem widerspricht es unserem Neutralitätsanspruch: Wir wollen keine Zertifizierungen ausstellen, die ein Hersteller zur Stärkung seiner Marktposition nutzen könnte. Diese Einschätzung bezieht sich allerdings nur auf die Zertifizierung von Produkten. Für Prozesse sind Zertifizierungen wie etwa ISO 27001 durchaus sinnvoll.
Was halten Sie von Angeboten wie Bug-Bounty-Programme und Pentesting-Dienstleistungen?
Beide sind sehr wichtige Instrumente – wir arbeiten auch mit Anbietern aus diesen Bereichen zusammen. Aber für Bug-Bounty-Programme und Pentesting-Services benötigt es immer einen Auftraggeber im Hintergrund, der die finanziellen Mittel bereitstellt. Und wie gesagt, bei vielen Produkten auf dem Markt ist dieser Auftraggeber nicht gegeben.
Kommen Sie mit Ihren Testdienstleistungen hier der Privatwirtschaft nicht in die Quere?
Nein, denn wir bedienen ein anderes Segment als die Privatwirtschaft. Wenn ein Unternehmen ein eigenes Produkt testen will, bevor es auf den Markt kommt, wird das über privatwirtschaftliche Security-Firmen abgewickelt – nicht über das NTC. Wir kommen nur dann ins Spiel, wenn wir das Gefühl haben, dass ein Produkt bislang nicht getestet wurde. Folglich schnappen wir keiner Firma einen Auftrag weg.
Wie entscheiden Sie, welche Produkte getestet werden sollten?
Wir haben einen grossen Backlog, der auf zahlreichen Informationsquellen und Sensoren im Feld beruht. Die Einträge in diesem Backlog werden regelmässig priorisiert – dabei achten wir auf Merkmale wie etwa das Schadenspotenzial und die Wahrscheinlichkeit, mit der dieser Schaden eintreten könnte. Anhand dieser Priorisierung arbeiten wir den Backlog ab mit den Ressourcen, die wir haben.
Wie läuft so ein NTC-Test ab?
Grundsätzlich überlegen sich unsere Prüfer bei jedem Produkt und bei jeder Dienstleistung, wofür sie konzipiert wurde und wie sie missbräuchlich genutzt werden könnte. Dabei fragen sie sich, was die Entwickler vielleicht übersehen haben, was für Schwachstellen sie möglicherweise – bewusst oder unbewusst – eingebaut haben. Dafür muss man sowohl die technische als auch die Business-Seite verstehen. Die gefundenen Schwachstellen werden sauber dokumentiert und dem Hersteller mitgeteilt, damit dieser die Sicherheitslücken schliessen kann.
Was passiert, wenn der Hersteller nicht reagiert? Was für Mittel stehen Ihnen zur Verfügung, um das Problem zu lösen?
Es gibt eine Reihe von Eskalationsstufen, mit denen wir versuchen, den Druck sukzessiv zu erhöhen. Meldet sich der betroffene Anbieter nach einer definierten Frist nicht, schalten wir die nächste Instanz ein. Das könnte beispielsweise das NCSC sein. Nach Ablauf einer weiteren Frist, könnten wir auch die Medien und die Öffentlichkeit informieren, um den Druck weiter zu erhöhen. Dabei halten wir uns an die branchenüblichen Responsible-Disclosure-Prozesse.
Wie reagieren Unternehmen, wenn Sie wegen Schwachstellen kontaktiert werden?
Die Mehrheit der Unternehmen schätzt unsere Informationen und setzt alles daran, die Schwachstelle zu beheben. Es gibt aber auch Unternehmen, die solche Hinweise ignorieren – oder noch schlimmer: Sie verklagen die Personen, die die Schwachstellen gefunden haben.
Was für Garantien gibt es, dass die Prüfungen des NTC tatsächlich ohne Beeinflussung stattfinden?
Die wichtigste Garantie ist unsere finanzielle Unabhängigkeit. Wir haben keine Geldgeber im Hintergrund, die ihre eigenen Interessen verfolgen. Zudem führen wir sorgfältige Background-Checks bei unseren Mitarbeitenden durch.
Schwachstellen in IT-Produkten sind heutzutage leider keine Seltenheit. Inwiefern müssen wir Hersteller stärker zwingen, die IT-Sicherheit ernst zu nehmen? Brauchen wir in diesem Bereich striktere Regulierungen?
Ja, es braucht deutlich mehr Regulation – bei der Lebensmittel- und Automobilindustrien ist das ja auch so. Ist es nicht möglich, diese Regulierungen global durchzusetzen, müssen wir Vorschriften bei der Einführung und Inverkehrssetzung von Produkten aufstellen. Solche Regeln müssen nicht zwingend sperrig sein. Aber sie müssen einen gewissen Basisschutz abdecken. Ich rede hier von ganz einfachen Sachen. So sollten Geräte – insbesondere IoT-Geräte – keine Standardpasswörter haben dürfen. Jedes Gerät muss ein individuelles Passwort haben – oder die Geräte müssen vor der erstmaligen Nutzung die User auffordern, das Passwort zu ändern. Solche Grundregeln sind essenziell für die Sicherheit der Gesellschaft und der Wirtschaft. Essenziell, aber nicht trivial. Deswegen werden wir wohl noch die nächsten 5 bis 10 Jahre darüber diskutieren.
Der Kanton Zug beteiligt sich auch am Aufbau der Plattform ITSec4KMU. Somit kommen derzeit zwei wichtige Projekte für die IT-Sicherheit aus dem Kanton. Was genau macht Zug zum Cybersecurity Hub der Schweiz?
Dafür gibt es mehrere Gründe. Ein Faktor ist sicherlich die glückliche finanzielle Ausgangslage, in der sich der Kanton befindet. Ferner hat der Kanton Zug auch einen gewissen Unternehmergeist; er ist neuen Themen gegenüber nicht abgeneigt, sondern begegnet diesen mit offenen Armen. Das sieht man auch am Zuger Crypto Valley. Wer solche technologischen Themen vorantreibt, muss auch die IT-Sicherheit im Auge behalten. Genau das erkannte der Kanton Zug und lancierte deshalb diese beiden Security-Projekte.
Was ist Ihrer Meinung nach zurzeit das grösste IT- oder Cyberproblem?
Das grösste Problem derzeit sind generative Sprachmodelle, wie sie etwa ChatGPT nutzt. Über den Chatbot wird gerade eine Technologie auf die grosse Mehrheit der Bevölkerung losgelassen, deren Konsequenzen wir bei weitem noch nicht verstanden haben. Nun integrieren auch Apps wie Snapchat eine Schnittstelle zu ChatGPT. Solche auf Machine Learning gestützten Chatbots können beispielsweise falsche Identitäten vorgaukeln und Fake News generieren und diese verbreiten – und das personalisiert und automatisiert! Das wird eine massive Zerreissprobe für unsere Demokratie.
Wie meinen Sie das?
Die grösste Gefahr für die Gesellschaft besteht darin, dass Ableger der Künstlichen Intelligenz es wirklich jedem einfach machen, diese Technologie zu nutzen. Das schliesst auch Cyberkriminelle mit ein: ChatGPT beispielsweise senkt die Einstiegshürde markant für Möchtegern-Hacker. Jeder, der sich zuhause langweilt und noch keinen moralischen Kompass entwickelt hat, wird nicht mehr auf die Idee kommen, Graffitis an Hauswände zu malen. Stattdessen wird er mit ChatGPT herumspielen und kommt damit wahrscheinlich schnell zu ersten Erfolgen, die ihn motivieren, weiterzumachen. ChatGPT kann nämlich auch Schwachstellen in Source Code finden, Exploits dafür generieren und diese automatisch ausrollen. Die Wahrscheinlichkeit, dass junge Menschen auf die falsche Bahn kommen, ist somit massiv höher als früher.
Wie kann man dem entgegenwirken?
Die technologische Entwicklung kann man nicht stoppen. Deswegen ist es auch nicht sinnvoll, dies via Moratorien zu versuchen. Was wir aber verhindern müssen, ist die massenhafte Verbreitung solcher Technologien. ChatGPT knackte die Marke von 100 Millionen Nutzerinnen und Nutzern bedeutend schneller als Facebook und Instagram. So eine Verhaltensänderung kann man nicht erzwingen. Aber es ist trotzdem etwas, das die Menschheit lernen muss. Unerprobte Technologien in einem so frühen Stadium öffentlich zugänglich zu machen, noch dazu via Snapchat massenhaft auch an Minderjährige, ist aus meiner Sicht unverantwortlich. Medikamente werden ja auch nicht verschrieben oder in Apotheken angeboten, während sie noch erforscht werden. Das gilt für viele Produktkategorien wie etwa auch Fahrzeuge. Neue Technologien, die die Gesellschaft nachhaltig verändern können, sollten zunächst in kleinen Testgruppen untersucht werden. Denn wir dürfen die Entscheidung, wie sich die Welt entwickelt, nicht einer Handvoll CEOs von grossen Unternehmen überlassen.
Die grenzenlos scheinenden Möglichkeiten von ChatGPT sind derzeit in aller Munde. Von diesen können aber auch Cyberkriminelle Gebrauch machen. Was also bedeutet der Chatbot für die Security? Dieser Frage gingen Netzmedien und Check Point in einem gemeinsamen Webinar nach. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.