Im Frühling 2022 bejahte Zuger Kantonsrat eine Beteiligung des Kantons am Aufbau des Nationalen Testinstituts für Cybersicherheit (NTC); drei Monate später war die Anschubsfinanzierung in Höhe von 7,5 Millionen Franken gesichert. Raphael Reischuk, NTC-Mitgründer, verpflichtete im Oktober 2022 Tobias Castagna als Leiter des sogenannten "Cyber Empa". Wir haben die beiden zum Interview getroffen und über die Zukunft des NTC gesprochen.

Statt vom Nationalen Testinstitut für Cybersicherheit (NTC) wird oft auch von der "Cyber-Empa" gesprochen. Gefällt Ihnen die Bezeichnung? Reischuk: Die Empa ist aus der ETH heraus entstanden, insofern unterstreicht der Begriff durchaus unsere hohen Ziele. Die fachliche Leistung und nicht der Umsatz soll im Vordergrund stehen. Aber, der Begriff ist eigentlich irreführend…

Castagna: … wir testen keine statischen Produkte oder Werkstoffe, sondern die Cybersicherheit von digitalen Produkten und Infrastrukturen. Die ist dynamisch, weil sie morgen schon wieder anders sein kann.

Tobias Castagna, Sie sind seit rund einem Jahr Leiter der Testexperten am NTC. Gegründet wurde die Organisation aber schon im Jahr 2020. Seit wann ist denn das NTC nun wirklich operativ? Castagna: Es gibt nicht den Tag X. Bevor ich angefangen habe, gab es kein festangestelltes Team, das durfte ich ab November 2022 aufbauen.

Reischuk: Seine Einstellung war sicher ein wichtiger Meilenstein, auch wenn das NTC vorher schon einige Überprüfungen durchgeführt hat. Nennenswert ist hier beispielsweise das Covid-Zertifikat.

Raphael Reischuk, Sie haben sich das NTC ausgedacht, haben aber noch viele andere Mandate. Welche Rolle hat dies bei der NTC-Gründung gespielt? Reischuk: In der Anfangszeit habe ich noch viel ehrenamtlich gearbeitet. Irgendwann ging das nicht mehr. Also hat mein Arbeitgeber Zühlke ein Mandat vom Kanton Zug für den Aufbau des NTC erhalten. In dessen Rahmen war ich dann fürs NTC tätig.

Der Kanton Zug hat das NTC quasi im Alleingang finanziert. Warum? Reischuk: Er hat die komfortable Situation, dass er finanziell besser dasteht als viele andere. Heinz Tännler, der Regierungsrat, wollte in die Cybersicherheit investieren und sie verbessern. Infolgedessen hat der Kantonsrat das Budget für das NTC gesprochen und alles nahm seinen Lauf. Folglich gründeten wir im Dezember 2020 den Verein und dann kam gleich der erwähnte Test des Covid-Zertifikats.

Wie gross ist das NTC-Team heute? Castagna: Wir haben ein Kernteam aus 5 Testerinnen und Testern. Wir können uns rein auf das Testing konzentrieren, weil uns für Supporttätigkeiten wie HR, Finanzen und dergleichen mehrere Spezialistinnen und Spezialisten zur Seite stehen, die nach Bedarf beigezogen werden.

Greifen Sie weiterhin auf externe Testerinnen und Tester zurück? Castagna: Ja, je nach Technologie und Komplexität der Überprüfung ist der Beizug externer Experten sinnvoll. Unser externes Kompetenznetzwerk besteht derzeit aus 129 Expertinnen und Experten, die uns kennen und punktuell mithelfen.

Welche Aufgaben übernehmen Sie, Tobias Castagna? Castagna: Ich bin nicht operativ am Testen, falls Sie das meinen. Ich habe drei Hauptaufgaben: ein kompetentes und motiviertes Team von Testexpertinnen und Testexperten aufzubauen und zu führen, die Rahmenbedingungen für die Initiierung und erfolgreiche Durchführung von Prüfungen zu schaffen und die Beziehungen zu unseren Partnern in der Wirtschaft und der öffentlichen Verwaltung zu pflegen.

Was muss ein Tester nebst seiner fachlichen Qualifikation mitbringen? Gibts zum Beispiel Vorgaben bei der Nationalität? Gerade wenns um das Testing von kritischen Infrastrukturen geht, kann das doch durchaus eine Rolle spielen? Reischuk: Staatsangehörigkeit ist nicht per se ein Kriterium. Wir haben aber tiefe Background-Checks, die deutlich über die Prüfung des Strafregisterauszugs hinausgehen. Und natürlich schliessen wir gewisse Kandidaten aus, wenn der Einfluss eines nicht-demokratisch regierten Staats anzunehmen ist.

Zum Beispiel Russland? Reischuk: Angehörige von Staaten, die schadhafte Cyberaktivitäten nicht unter Strafe stellen, können ein Risiko für die Schweizer Souveränität darstellen. Es lassen sich nicht alle Verbindungen lückenlos aufzeigen, weswegen wir gelegentlich pauschale Entscheide treffen müssen.

Das ist eine klare Positionierung. Reischuk: Ja. Wir können uns auch vorstellen, künftig als Schlichtungsstelle aufzutreten, wenn in einem internationalen Konflikt digitale Waffen eingesetzt werden. Deshalb dürfen wir keine Mitarbeitenden aus potenziellen Konfliktparteien einstellen, sondern müssen so neutral sein, wie es nur geht.

Aktuell kümmern Sie sich aber ums Testing, und zwar von Produkten und digitalen Infrastrukturen, die sonst niemand testet. Können Sie ein Beispiel nennen? Castagna: Aktuell schauen wir uns die Ladeinfrastruktur für die Elektromobilität in der Schweiz an. Das ist eine stark digitalisierte Infrastruktur, die heute aufgebaut wird für die Zukunft.

Warum? Von wem kam der Auftrag? Castagna: Von niemandem, beziehungsweise von uns selbst. In erster Linie deshalb, weil niemand für einen solchen Auftrag bezahlt und dementsprechend niemand einen Anreiz hat, derlei Tests durchzuführen. Die Resultate zeigen, dass es nötig war.

Es gab also Sicherheitslücken. Wie gehen Sie in so einem Fall vor? Castagna: Wir kontaktieren die Hersteller und weisen Sie auf unsere Entdeckungen hin. Das Ziel ist es, die Lücken schnellstmöglich zu schliessen. Ist das nicht möglich, möchten wir Entscheider und Öffentlichkeit über die Schwachstellen informieren.

Die Hersteller freuen sich? Castagna: Sobald sie verstehen, dass wir keine Verkaufsabsichten haben, sind die meisten tatsächlich froh und dankbar.

Gibts auch Prüfaufträge, die Sie im Auftragsverhältnis annehmen? Castagna: Ja, die gibt es. Aber sie machen nur einen kleinen Teil unserer Arbeit aus. Wir beschäftigen bewusst kein Sales-Team und suchen auch nicht proaktiv nach Aufträgen. Ein Beispiel, in dem wir auch ohne Auftrag tätig wurden, ist die Tiktok-App. Die Bundeskanzlei war an einer Einschätzung zur Sicherheit interessiert, konnte aber kein Projekt dafür initiieren.

Zu welchem Schluss kamen Sie bei der Prüfung von Tiktok? Reischuk: Wir haben keine belastbare Evidenz gefunden, dass Userinnen und User abgehört werden. Wie die meisten Social Media Apps verlangt auch jene von Tiktok weitreichende Berechtigungen. Man muss sich also bewusst sein, dass es potenziell möglich ist, dass die App in bestimmten Situationen oder nach einem Update anfängt, zu spionieren. Dies ist zumindest technisch möglich. Problematisch ist zudem, dass keine Zwei-Faktor-Authentifizierung erzwungen wird. Gefährlich ist das beispielsweise dann, wenn die App von Politikerinnen und Politikern eingesetzt wird und deren Accounts vor Wahlen oder Abstimmungen gekapert werden, um Falschnachrichten zu verbreiten und die politische Stabilität im Land zu gefährden.

Was haben Sie der Bundeskanzlei infolgedessen geraten? Reischuk: Wir haben eine technische Risikoabschätzung abgegeben und wie bei allen unseren Initiativprojekten, den Bericht veröffentlicht. Aus politischen Entscheiden halten wir uns heraus. Die Bundeskanzlei hat sich jedenfalls nicht dafür entschieden, Tiktok zu verbieten.

Würden Sie auch Whatsapp, Facebook und Linkedin unter die Lupe nehmen? Castagna: Natürlich. Die Kriterien für die Wahl eines zu testenden Diensts sind genau festgelegt. Das Produkt oder der Dienst muss gesellschaftlich relevant und bislang noch wenig getestet worden sein.

Theoretisch könnten auch Hersteller zu Ihnen kommen und sich ein "NTC-Siegel" für Ihr Produkt abholen? Reischuk: Nein. Wer uns mit der Prüfung eines Produkts beauftragt, darf nie Stakes darin haben. Wir haben deshalb ein "Memorandum of Understanding" veröffentlicht, das die Zusammenarbeit mit Herstellern regelt. Diese ist nur unter der Bedingung möglich, dass alles offengelegt werden muss und das NTC die Dauer und Tiefe der Tests festlegt. Gewisse asiatische Hersteller haben deshalb von einer Zusammenarbeit abgesehen.

Haben andere Hersteller das Memorandum unterzeichnet? Reischuk: Nein, es sind einige internationale Hersteller daran interessiert. Die Gespräche laufen noch.

Ihr arbeitet täglich mit Schwachstellen. Das Parlament hat jetzt kürzlich für Betreiber kritischer Infrastrukturen die Meldepflicht für Cyberangriffe verabschiedet, dabei aber jene für Schwachstellen explizit ausgeklammert. Ein guter Entscheid? Reischuk: Ja. Schwachstellen sind Sprengstoff. Wenn man sie meldet, landen sie in einer Datenbank bei einem Amt. Und wenn diese von böswilligen Akteuren abgegriffen werden, kann es gravierende Folgen haben. Problematisch ist auch, wenn die neue Meldestelle zu nah am Nachrichtendienst wäre.

Um Schwachstellen zu entdecken, müssen Sie Unternehmen angreifen. Wodurch legitimiert sich das? Castagna: Untersuchungen sind nötig, weil sonst das Gefährdungspotenzial nicht aufgedeckt werden kann. Es kommt auch vor, dass Unternehmen ihre Schwachstellen kennen, sie aber aus verschiedenen Gründen nicht schliessen. Eine erfolgreiche Analyse von gutmütigen Hackern kann da helfen.

Das beantwortet aber nicht die Frage der Legitimation. Castagna: Das Rechtsgutachten "Strafbarkeit von Ethical Hacking" der Kanzlei Walder Wyss zeigt: Ja, sofern das oberste Ziel die Schliessung der Sicherheitslücken ist und keine Bereicherungs- oder Profilierungsabsichten bestehen, ist unser Vorgehen legitim.

Nur ist halt Rechtsgutachten nicht gleich Rechtsgutachten. Es kommt immer darauf an, wer wen fragt und bezahlt. Reischuk: Zunächst muss man festhalten, dass bis heute ein Gerichtsurteil zu dieser Thematik fehlt, es gibt keine Präzedenzfälle. Um etwas Licht ins Dunkle zu bringen, haben wir das Rechtsgutachten angestossen. Wir haben die Kanzlei um eine unabhängige Einschätzung gebeten. Auf das Ergebnis hatten wir dabei keinen Einfluss.

Wünschen Sie sich, dass es demnächst zu einem Gerichtsurteil kommt? Castagna: Wenn es im Sinne des Ethical Hackings und der Sicherheit der Schweiz ist, dann schon (lacht). Es besteht leider die Gefahr, dass aus einem einzelnen Fall ein untaugliches Gesetz gestrickt wird — getreu dem Sprichwort "Hard cases make bad law".

Ist es nicht ein schmaler Grat zwischen böswilligen Angriffen und Ihrer Methode? Reischuk: Ganz und gar nicht. Wir haben klare Prozesse etabliert, um Missbrauch auszuschliessen. Alles, was wir tun, wird dokumentiert, die Freigaben erfolgen nach dem 4-Augen Prinzip usw. Wenn wir eine Lücke finden, entnehmen wir höchstens ein Datensample, um die Schwachstelle zu verifizieren. Bösartige Akteure hingegen stehlen typischerweise alles, was sie kriegen können und veröffentlichen es nach einer Lösegeldforderung im Darkweb.

Wir haben es anfangs gesagt: Der Kanton Zug hat die Anschubfinanzierung von 7,5 Millionen geleistet. Bis wann reicht das Geld? Castagna: Je nachdem, wie wir wirtschaften, ist das Geld früher oder später aufgebraucht. Wir reden aber hier von Jahren und nicht Wochen oder Monaten. Wir möchten noch möglichst lange davon zehren.

Das geht aber noch etwas konkreter. Reischuk: Die Kantonsfinanzierung ist geregelt bis 2025. Jetzt kümmern wir uns darum, dass wir das NTC mit unserem nicht-gewinnorientierten Ansatz weiterhin über öffentliche Mittel finanzieren können. Dafür befinden wir uns in Gesprächen mit dem Kanton Zug, weiteren Kantonen und dem Bund.

Aber wenn die Finanzierung des Kantons Zug ausläuft und Sie keinen Ersatz finden… Reischuk: … daran denken wir nicht, das ist keine Option. Wir werden bis zu diesem Zeitpunkt eine andere Lösung gefunden haben.

Stand jetzt gibts aber noch keine Zusage und stand jetzt wäre es so, wenn diese 7,5 Millionen Franken aufgebraucht sind, gibts das NTC nicht mehr. Reischuk: Genau, aber das ist unwahrscheinlich.

Haben Sie einen Plan B, falls es mit der öffentlichen Finanzierung nicht klappt? Würden Sie auf Privatfinanzierung mit Gewinnorientierung umstellen? Reischuk: Nein. Kommerzielle Anreize würden die Idee im Sinne der Allgemeinheit verderben und wären der Sache nicht dienlich.