Im schweizerischen Städtchen Zug entsteht ein Nationales Testinstitut für Cybersicherheit (NTC) für die Prüfung der Sicherheit vernetzter IT-Produkte und digitaler Anwendungen. Bis ins Jahr 2025 ist die Einstellung von rund 30 Cybersecurity-Spezialisten vorgesehen, die zusammen mit weiteren Experten aus dem In- und Ausland IT-Produkte auf Schwachstellen testen sollen. Das NTC prüft diese im Auftrag der Bundesverwaltung, der kantonalen und kommunalen Behörden, der Industrie sowie NGOs, bekundet das Testinstitut.

Kritische Infrastrukturen und vernetzte Geräte im Fokus

Priorität hätten dabei Aufträge mit Bezug zu kritischen Infrastrukturen, Behörden, wie der Polizei und der Armee, sowie Prüfungen von vernetzten Komponenten, die in großen Stückzahlen in der Schweizer Wirtschaft und Zivilgesellschaft zum Einsatz kommen, schreibt das Kompetenzzentrum. Es garantiere die neutrale und vertiefte Prüfung der Vertrauenswürdigkeit und Sicherheit von "cyber-physischen Komponenten", um einen strategischen Beitrag für die Erhaltung der Sicherheit und Unabhängigkeit der Schweiz zu leisten.

Dazu lade man ab sofort auch lokale und internationale Spezialisten für Cybersicherheit ein, diesen Auftrag gemeinsam mit dem NTC zu erfüllen, heißt es in einer Medienmitteilung. Die Institution baut im Kanton Zug eine eigene Test- und Forschungsinfrastruktur auf und arbeitet eng mit Hochschulen, privaten Anbietern von Sicherheitsprüfungen und internationalen Testzentren zusammen. Die Stadt ist auch bekannt als Hauptstadt des "Crypto Valley".

Sicherheits- und Qualitätsnormen für IT-Produkte

Nicht nur in der Schweiz sind Millionen an digitalen Komponenten, Geräte und Apps im Einsatz, wobei nahezu jedes digitale Produkt unbekannte Schwachstellen habe, beruft sich das NTC auf vorherrschende Expertenmeinung. Wegen deren zunehmenden Vernetzung und ihrer großen Verbreitung führe dies zu erheblichen Risiken für Gesellschaft und Wirtschaft.

Allerlei Gebrauchs- und Konsumgüter werden auf ihre Sicherheit und Verträglichkeit geprüft, bevor sie zum Einsatz kommen – von Maschinen über Chemikalien und Medikamente bis hin zu Lebensmitteln. Doch für viele IT-Produkte gibt es kaum Sicherheits- oder Qualitätsnormen und sie unterliegen keiner zentralen Prüfpflicht, noch werden sie von einer unabhängigen Instanz getestet. Es fehle außerdem an Anreizen für die Security-Dienstleister in der Wirtschaft, Sicherheitsprüfungen auf eigene Initiative und Kosten durchzuführen, bemängelt das Nationale Testinstitut. Folglich fänden Sicherheitsprüfungen zum Wohl der Gesellschaft heute nicht in benötigtem Umfang und Tiefe statt.

Cyberresilienz und sichere Lieferketten

Mit dem NTC soll die sogenannte Cyberresilienz sichergestellt werden. Dies soll auch in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC) geschehen, welches neu in ein Bundesamt überführt werden soll. Auch die Sicherheit der Lieferketten für digitale Produkte und ihr Schutz gegen sogenannte Supply-Chain-Attacks ist schon lange ein großes und wichtiges Thema. Es liegt zudem dem Schweizer IT-Branchendachverband "digitalswitzerland" besonders am Herzen: Dieser unterstreicht immer wieder, wie unabdingbar die Supply Chain Security geworden sei. "Digitalswitzerland" gehört deshalb auch zu den vehementen Unterstützern und Initiatoren des NTC-Testinstituts.

Prüf- und Forschungsprojekte werden vom NTC bei Bedarf auch auf Eigeninitiative hin ins Rollen gebracht, heißt es. Das NTC arbeitet dabei nicht gewinnorientiert. Es agiert vollständig unabhängig; finanzielle Beteiligungen durch Produkthersteller und Diensteanbieter sind satzungsgemäß ausgeschlossen, heißt es auf der NTC-Website.

Das NTC besteht seit Dezember 2020 und ist als Verein im Kanton Zug angesiedelt. Besonders mit vorangetrieben wurde das Projekt auch vom Finanzdirektor des Kantons Zug, Heinz Tännler, der auch als Präsident des NTC agiert. Nach der Zustimmung des Zuger Kantonsrats und dem Ablauf einer Einspruchsfrist diese Woche sei nun auch die Anschubfinanzierung gesichert. Die Investitionen sollen im zweistelligen Millionen-Bereich liegen. Im Verlauf der erfolgreich angeschlossenen Pilotphase prüfte im Juni 2021 das NTC im Auftrag des NCSC die Funktionalität und Sicherheit des Schweizer Covid-Zertifikatsystems. Nun kann der eigentliche Aufbau des NTC stattfinden.

(tiw)