Digital
Schweiz

«Cyber-Empa» NTC will Schweizer Ziele hacken – ohne Vorwarnung

Tobias Castagna, Testleiter beim NTC in Zug.
Wenn das Team von Tobias Castagna vom Nationalen Testinstitut für Cybersicherheit NTC hackt, dann führt es Gutes im Schilde.Bild: watson / Shutterstock
Interview

Vielleicht dringen diese Hacker schon bald bei deinem Arbeitgeber ein – aus gutem Grund

Gestützt auf ein neues Rechtsgutachten, versuchen IT-Spezialisten im Auftrag des Nationalen Testinstituts für Cybersicherheit in fremde Systeme einzudringen. Eine Vorwarnung wird es nicht geben.
28.06.2023, 10:2229.06.2023, 11:30
Mehr «Digital»

Das Nationale Testinstitut für Cybersicherheit NTC hat am Montag ein juristisches Gutachten veröffentlicht, das aufhorchen lässt: Demnach dürfen Hacker unter Einhaltung gewisser Rahmenbedingungen in fremde, vor Zugriff geschützte Computersysteme eindringen.

Vorausgesetzt, das Eindringen erfolgt nicht mit krimineller Absicht, sondern aus der Motivation heraus, auf bestehende Schwachstellen hinzuweisen und die IT-Sicherheit zu erhöhen. In der Fachwelt wird dies als Ethical Hacking bezeichnet.

Gegenüber watson erklärt NTC-Testleiter Tobias Castagna, dass ein Team von internen und externen Cybersecurity-Fachleuten vermehrt solche Hackerangriffe durchführen wird. Auf eigene Initiative. Ohne Vorwarnung.

Wen werden die NTC-Hacker aufs Korn nehmen?

Vorrangig will das NTC digitale Produkte und technische Infrastrukturen untersuchen, «die nicht oder nicht ausreichend geprüft werden». Testleiter Castagna bestätigt, dass man bereits eine interne Liste mit konkreten «Zielen» führe.

Laut NTC-Bericht geht es erst einmal um «weitverbreitete, kritische, alternativlose und behördliche Systeme». Und zwar um jene, die «aufgrund von objektiven Anhaltspunkten als gefährdet erscheinen», etwa weil es Anhaltspunkte gebe, dass in einem System Sicherheitslücken vorhanden seien.

Castagna erklärt:

«Die Liste ist noch nicht vollständig und wird laufend ergänzt. Mögliche Zielsysteme werden laufend von eigenen Spezialisten sowie von Spezialisten aus dem NTC-Kompetenznetzwerk eingebracht.»

Der NTC-Testleiter lässt sich verständlicherweise nicht in die Karten blicken, wen die White-Hat-Hacker in den kommenden Wochen und Monaten hacken werden.

«Ob es sich dabei um staatliche oder privatwirtschaftliche Organisationen handelt, ist zweitrangig. Wichtig ist die gesellschaftliche Relevanz des Systems. Wir wollen mit unseren Ressourcen den grösstmöglichen Sicherheitsgewinn für die Schweiz erzielen.»

IT-Sicherheitslücken treten bekanntlich überall in der Wirtschaft auf, bei kleinen und mittleren Unternehmen (KMU), aber auch bei Grosskonzernen. Ein weiteres potenziell lohnenswertes Ziel für Cyberkriminelle sind staatliche Institutionen, ob auf Ebene Gemeinde, Kanton oder Bund.

Was hat das mit der Ransomware-Epidemie zu tun?

Sehr viel.

Bekanntlich gehören Cyberattacken durch professionelle, mehrheitlich russischsprachige Ransomware-Banden zu den grössten Risiken für hiesige Unternehmen.

NTC-Testleiter Castagna erklärt:

«Damit es zu Ransomware-Attacken kommen kann, müssen Unternehmen zunächst gehackt werden. Häufig nutzen die Cyberkriminellen dazu Sicherheitslücken in der IT-Infrastruktur der Unternehmen aus. Genau solche Sicherheitslücken werden vom NTC aufgedeckt und gemeldet, damit sie geschlossen werden können.»

Womit müssen die gehackten «Opfer» rechnen?

Auch wenn beim Ethical Hacking korrekt vorgegangen wird, droht den betroffenen Organisationen ein Reputationsschaden. Etwa durch falsche oder übertriebene Berichte in den Medien oder auf Social-Media-Plattformen.

watson hat deshalb nachgefragt, wie beim NTC der interne Entscheidungsprozess aussieht, ob und wie man über einen erfolgreichen Angriff öffentlich informiert wird.

NTC-Testleiter Castagna erklärt, dass mit dem Informieren über Schwachstellen drei Ziele verfolgt werden:

  • 1) die Behebung der Sicherheitslücke(n).
  • 2) die Förderung einer öffentlichen Diskussion über Sicherheitslücken und wie man sich dagegen schützt.
  • 3) die Warnung der User, damit sie die notwendigen Massnahmen ergreifen können, um sich zu schützen.
«Es liegt nicht in unserem Interesse, einen Reputationsschaden zu verursachen, und wir werden alles tun, um dies zu vermeiden, vorausgesetzt, dass wir die oben genannten Ziele erfüllen können. Das Rechtsgutachten empfiehlt beispielsweise, dass der Detaillierungsgrad der Veröffentlichung in bestimmten Situationen reduziert werden kann.»

Wie wird das NTC informieren?

Bei der Veröffentlichung der Sicherheitslücken werde sich das NTC an die eigene «Vulnerability Disclosure Policy» halten, erklärt Testleiter Castagna. «Wir beabsichtigen, die entsprechenden Veröffentlichungen auf unserer Website vorzunehmen. Diese ist für alle gleichermassen zugänglich.»

«Vor einer detaillierten Veröffentlichung sollten die identifizierten und dokumentierten Sicherheitslücken vollständig behoben sein», hält das juristische Gutachten fest.

Können Betroffene (entdeckte) Schwachstellen verschweigen?

Der NTC-Testleiter erklärt:

«Wir sind während des gesamten Prozesses der Offenlegung von Schwachstellen mit der betroffenen Organisation im Gespräch und werden nach einer Lösung suchen, die für alle Parteien den grösstmöglichen Nutzen bringt. Wir haben einen gewissen Spielraum, wie die Informationen veröffentlicht werden. Die Tatsache, dass die Informationen veröffentlicht werden, steht hingegen nicht zur Diskussion.»

Wird das NTC auch staatsnahe Grossbetriebe wie SBB und Swisscom hacken?

Das ist offenbar nicht auszuschliessen.

NTC-Testleiter Castagna betont:

«Das NTC testet, was sonst nicht getestet wird. Unternehmen wie Swisscom und SBB vermitteln nach aussen den Eindruck, dass das Thema Cybersicherheit eine wichtige Rolle spielt. Sie haben zum Beispiel eine ‹Vulnerability Disclosure Policy› und betreiben ein Bug-Bounty-Programm. Wir schliessen nicht aus, dass es auch bei solchen Unternehmen Systeme gibt, die noch zu wenig getestet werden, aber unser Fokus liegt auf Organisationen, die heute noch weniger sicherheitsaffin sind.»

Betreiber von kritischer Infrastruktur sind also auch im Visier?

Unternehmen, die für die Stromversorgung und andere gesellschaftlich unverzichtbare Leistungen zuständig sind, investieren überdurchschnittlich viel Geld in die Cybersicherheit: Darauf zählen die Bürgerinnen und Bürger.

Dazu NTC-Testleiter Castagna:

«In der Praxis stellen wir fest, dass nicht alle Betreiber kritischer Infrastrukturen der Cybersicherheit die gleiche Priorität einräumen. Wir testen, was sonst nicht getestet wird, und wenn es Betreiber kritischer Infrastrukturen gibt, die heute noch zu wenig tun, dann werden wir auch diese testen.»

Welche Rolle spielen Apple, Google und Microsoft?

Die US-Unternehmen Apple, Google (Alphabet) und Microsoft betreiben die aus Konsumentensicht grössten und wichtigsten Plattformen: iOS/iPadOS/macOS, Android, Windows.

watson wollte darum vom NTC wissen, welche Rolle diese Plattformbetreiber beim Ethical-Hacking-Vorhaben spielen. Wird das NTC darauf achten, dass die Fälle nach Betriebssystem/Plattform einigermassen gerecht verteilt sind?

«Bei der Auswahl der Zielsysteme steht die gesellschaftliche Relevanz eines Systems im Vordergrund. Wir haben nicht die Absicht, bestimmte Lieferanten, seien es amerikanische, europäische, asiatische oder andere, zu bevorzugen. Wenn wir Systeme testen, die auf mehreren Plattformen laufen, werden wir darauf achten, dass die relevantesten berücksichtigt werden.»
Tobias Castagna, Leiter Testexperten

Unter welchen Umständen sind solche Hackerangriffe straffrei?

Wie oben erklärt, geht es beim Ethical Hacking um das Aufspüren von IT-Sicherheitslücken ohne ausdrücklichen Auftrag und Einwilligung der Betroffenen. Pikant: Nach schweizerischem Recht (Stichwort «Hackerartikel») ist selbst der Versuch, in ein abgesichertes IT-System einzudringen, strafbar.

Werde «im Rahmen von Schwachstellenanalysen» gegen die Schweizer Gesetzgebung verstossen, könne man sich als Hacker unter gewissen Umständen auf den rechtfertigenden Notstand nach Art. 17 des Strafgesetzbuches (StGB) berufen, heisst es in der Mitteilung zum Gutachten.

  • Das Eindringen in ein System sei nur dann gerechtfertigt, «wenn konkrete Hinweise vorliegen, dass ein System von potenziellen Sicherheitslücken betroffen ist».
  • Zudem müsse «die Aufdeckung, Dokumentation und Information über diese Sicherheitslücken den Zweck erfüllen, böswillige Zugriffe abzuwenden».

Von wem stammt das Rechtsgutachten zum Ethical Hacking?

Von der Wirtschaftskanzlei Walder Wyss in Zürich, laut «Bilanz» eine der führenden Anwaltskanzleien des Landes.

Die Juristinnen und Juristen des Unternehmens hatten unlängst einen weit bekannteren Klienten: die Credit Suisse (CS). Die Zürcher seien federführend gewesen bei der rechtlichen Beratung im CS-Lager, so die «Handelszeitung».

Wer steht hinter dem NTC?

Das Nationale Testinstitut für Cybersicherheit NTC ist eine Non-Profit-Organisation mit Sitz in der Stadt Zug, die mit staatlichen Stellen, Forschungsinstituten und Privatunternehmen kooperiert. Sie wurde 2020 auf Initiative des Kantons Zug gegründet. Die NZZ hat sie als «Cyber-Empa» bezeichnet.

Die internen und externen Fachleute untersuchen «digitale Produkte und Infrastrukturen, die von der Privatwirtschaft nicht oder nicht ausreichend geprüft werden».

Zu den ersten Auftraggebern gehörte eine Bundesbehörde, das Nationale Zentrum für Cybersicherheit (NCSC): Die Fachleute des NTC prüften 2021 die Funktionalitäten und Sicherheit des Schweizer Covid-Zertifikatsystems.

Im Gegensatz zur Eidgenössischen Materialprüfungs- und Forschungsanstalt (Empa) führt das NTC keine Produkt-Zertifizierungen durch. Und um Interessenkonflikte zu vermeiden, testet es nicht im Auftrag von Produktherstellern.

Merkbatt für White-Hat-Hacker
In einem neuen Merkblatt richtet sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) an ethische Hacker, wie swisscybersecurity.net schreibt. Sodann erinnere der EDÖB an die vom Nationalen Zentrum für Cybersicherheit (NCSC) eingerichtete Meldeplattform für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) und merke an, die dort gelisteten Rahmenbedingungen und Regeln seien als Ergänzung zu seinem Merkblatt zu verstehen.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Hacker finden Schwachstelle im E-Voting-System
Video: srf
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
2 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2
Schutz des Trinkwassers: Wasserversorger warnen vor neuer Pestizid-Zulassung
Die Schweiz soll sich bei der Zulassung von Pflanzenschutzmittel stärker auf die EU stützen. Das Parlament will dabei noch weitergehen als der Bundesrat. Das weckt Widerstand.

Es gab eine Zeit, da standen die Risiken der Pflanzenschutzmittel im Vordergrund. Das Parlament reagierte mit Verschärfungen. Doch inzwischen gewinnt die andere Seite Oberwasser. Das Pendel schwingt zurück.

Zur Story