Das Nationale Testinstitut für Cybersicherheit NTC hat am Montag ein juristisches Gutachten veröffentlicht, das aufhorchen lässt: Demnach dürfen Hacker unter Einhaltung gewisser Rahmenbedingungen in fremde, vor Zugriff geschützte Computersysteme eindringen.
Vorausgesetzt, das Eindringen erfolgt nicht mit krimineller Absicht, sondern aus der Motivation heraus, auf bestehende Schwachstellen hinzuweisen und die IT-Sicherheit zu erhöhen. In der Fachwelt wird dies als Ethical Hacking bezeichnet.
Gegenüber watson erklärt NTC-Testleiter Tobias Castagna, dass ein Team von internen und externen Cybersecurity-Fachleuten vermehrt solche Hackerangriffe durchführen wird. Auf eigene Initiative. Ohne Vorwarnung.
Vorrangig will das NTC digitale Produkte und technische Infrastrukturen untersuchen, «die nicht oder nicht ausreichend geprüft werden». Testleiter Castagna bestätigt, dass man bereits eine interne Liste mit konkreten «Zielen» führe.
Laut NTC-Bericht geht es erst einmal um «weitverbreitete, kritische, alternativlose und behördliche Systeme». Und zwar um jene, die «aufgrund von objektiven Anhaltspunkten als gefährdet erscheinen», etwa weil es Anhaltspunkte gebe, dass in einem System Sicherheitslücken vorhanden seien.
Castagna erklärt:
Der NTC-Testleiter lässt sich verständlicherweise nicht in die Karten blicken, wen die White-Hat-Hacker in den kommenden Wochen und Monaten hacken werden.
IT-Sicherheitslücken treten bekanntlich überall in der Wirtschaft auf, bei kleinen und mittleren Unternehmen (KMU), aber auch bei Grosskonzernen. Ein weiteres potenziell lohnenswertes Ziel für Cyberkriminelle sind staatliche Institutionen, ob auf Ebene Gemeinde, Kanton oder Bund.
Sehr viel.
Bekanntlich gehören Cyberattacken durch professionelle, mehrheitlich russischsprachige Ransomware-Banden zu den grössten Risiken für hiesige Unternehmen.
NTC-Testleiter Castagna erklärt:
Auch wenn beim Ethical Hacking korrekt vorgegangen wird, droht den betroffenen Organisationen ein Reputationsschaden. Etwa durch falsche oder übertriebene Berichte in den Medien oder auf Social-Media-Plattformen.
watson hat deshalb nachgefragt, wie beim NTC der interne Entscheidungsprozess aussieht, ob und wie man über einen erfolgreichen Angriff öffentlich informiert wird.
NTC-Testleiter Castagna erklärt, dass mit dem Informieren über Schwachstellen drei Ziele verfolgt werden:
Bei der Veröffentlichung der Sicherheitslücken werde sich das NTC an die eigene «Vulnerability Disclosure Policy» halten, erklärt Testleiter Castagna. «Wir beabsichtigen, die entsprechenden Veröffentlichungen auf unserer Website vorzunehmen. Diese ist für alle gleichermassen zugänglich.»
«Vor einer detaillierten Veröffentlichung sollten die identifizierten und dokumentierten Sicherheitslücken vollständig behoben sein», hält das juristische Gutachten fest.
Der NTC-Testleiter erklärt:
Das ist offenbar nicht auszuschliessen.
NTC-Testleiter Castagna betont:
Unternehmen, die für die Stromversorgung und andere gesellschaftlich unverzichtbare Leistungen zuständig sind, investieren überdurchschnittlich viel Geld in die Cybersicherheit: Darauf zählen die Bürgerinnen und Bürger.
Dazu NTC-Testleiter Castagna:
Die US-Unternehmen Apple, Google (Alphabet) und Microsoft betreiben die aus Konsumentensicht grössten und wichtigsten Plattformen: iOS/iPadOS/macOS, Android, Windows.
watson wollte darum vom NTC wissen, welche Rolle diese Plattformbetreiber beim Ethical-Hacking-Vorhaben spielen. Wird das NTC darauf achten, dass die Fälle nach Betriebssystem/Plattform einigermassen gerecht verteilt sind?
Wie oben erklärt, geht es beim Ethical Hacking um das Aufspüren von IT-Sicherheitslücken ohne ausdrücklichen Auftrag und Einwilligung der Betroffenen. Pikant: Nach schweizerischem Recht (Stichwort «Hackerartikel») ist selbst der Versuch, in ein abgesichertes IT-System einzudringen, strafbar.
Werde «im Rahmen von Schwachstellenanalysen» gegen die Schweizer Gesetzgebung verstossen, könne man sich als Hacker unter gewissen Umständen auf den rechtfertigenden Notstand nach Art. 17 des Strafgesetzbuches (StGB) berufen, heisst es in der Mitteilung zum Gutachten.
Von der Wirtschaftskanzlei Walder Wyss in Zürich, laut «Bilanz» eine der führenden Anwaltskanzleien des Landes.
Die Juristinnen und Juristen des Unternehmens hatten unlängst einen weit bekannteren Klienten: die Credit Suisse (CS). Die Zürcher seien federführend gewesen bei der rechtlichen Beratung im CS-Lager, so die «Handelszeitung».
Das Nationale Testinstitut für Cybersicherheit NTC ist eine Non-Profit-Organisation mit Sitz in der Stadt Zug, die mit staatlichen Stellen, Forschungsinstituten und Privatunternehmen kooperiert. Sie wurde 2020 auf Initiative des Kantons Zug gegründet. Die NZZ hat sie als «Cyber-Empa» bezeichnet.
Die internen und externen Fachleute untersuchen «digitale Produkte und Infrastrukturen, die von der Privatwirtschaft nicht oder nicht ausreichend geprüft werden».
Zu den ersten Auftraggebern gehörte eine Bundesbehörde, das Nationale Zentrum für Cybersicherheit (NCSC): Die Fachleute des NTC prüften 2021 die Funktionalitäten und Sicherheit des Schweizer Covid-Zertifikatsystems.
Im Gegensatz zur Eidgenössischen Materialprüfungs- und Forschungsanstalt (Empa) führt das NTC keine Produkt-Zertifizierungen durch. Und um Interessenkonflikte zu vermeiden, testet es nicht im Auftrag von Produktherstellern.
