Wir suchen nach neuartigen Lösungen im Bereich der Smartphone-Sicherheit. Die Technologie muss noch nicht voll ausgereift sein, aber ein überzeugender Proof of Concept (PoC) sollte innerhalb eines Jahres und mit weniger als CHF 100'000.- realisierbar sein.

Ziel ist es, dass die Technologie dabei hilft, die Sicherheit von Smartphone-Anwendungen von Drittanbietern und deren potenzielle Bedrohungen effizient und umfassend zu analysieren. Zudem sollen Anwendungen getestet werden, die in einem unveränderten (nicht gerooteten) Betriebssystem laufen, und gleichzeitig dynamische Testmöglichkeiten bieten.

Nachfolgend sind einige Beispiele von Technologien zur Sicherheit von Smartphones aufgelistet, welche von Interesse sind. Wir freuen uns aber auch auf verwandte Technologien, welche nicht aufgelistet sind.

Beispiel: Black-Box-Tests
Testen einer Anwendung ohne Dekompilierung, Reverse Engineering oder Einblick in ihren internen Code oder ihre Struktur. Die Tests werden durch Interaktion mit der Benutzeroberfläche (User Interface, UI) und durch Beobachtung der Interaktion der Anwendung mit dem Netzwerk oder dem Gerät durchgeführt, um bösartiges Verhalten zu erkennen. Ein möglicher Ansatz wäre die Verwendung von Deep Reinforcement Learning zur Vorhersage von Anwendungsinteraktionen, zur Erkennung von UI-Elementen oder zur Generierung von Eingaben für das Ausfüllen von Formularen oder Anmeldungen.

Beispiel: Benutzerdatenschutz mit Black-Box-Tests
Einsatz von Black-Box-Tests von Anwendungen um Risiken für die Privatsphäre der Nutzerinnen und Nutzer zu ermitteln wie beispielsweise die Erkennung gefährlicher Berechtigungen, die den Anwendungen gewährt werden (z. B. Auslesen des Telefonstatus, genaue Standortbestimmung, usw.). Mit Hilfe von «Black-Box»-Prüfungen könnte festgestellt werden, ob die Berechtigungen einer Anwendung (durch Ausnutzung einer legitimen Anwendung oder durch die schädliche Anwendung selbst) gegenüber der angegebenen Funktionalität in gefährlicher Weise ausgeweitet wurden.

Beispiel: Dynamische Anwendungstests
Die Anwendung wird vollautomatisch getestet, während sie ausgeführt wird. Neben Black-Box-Tests gibt es weitere Möglichkeiten, Anwendungen dynamisch mit oder ohne Verwendung der Benutzerschnittstelle zu testen. Ein Beispiel wäre das sogenannte Fuzzing oder andere dynamische Analysetechniken.

Beispiel: Betriebssystem -Tests
Das Ziel könnte darin bestehen, das Standardbetriebssystem auf einem Smartphone zu testen. Dabei soll bösartiges oder unbeabsichtigtes Verhalten des Betriebssystems oder der standardmässig installierten Anwendungen erkannt werden. Die Tests könnten durch die Interaktion mit der Benutzeroberfläche durchgeführt werden oder durch die Erkennung von Änderungen, die durch Anwendungen verursacht werden, wie z. B. die Änderung von Berechtigungen oder anderen Eigenschaften.

Wir suchen keine Lösungen, die wesentliche Änderungen der Infrastruktur erfordern oder Risiken bergen könnten. Wir sind nicht an Konzepten, Studien oder an Lösungen interessiert, die sich in einem sehr frühen Entwicklungsstadium befinden. Wir sind nicht an Beratungsvorschlägen oder nicht-technischen Lösungen interessiert.

1. Die Gründung des Startups ist per Oktober 2023 jünger als sieben Jahre
2. Die Gründer/i-nnen sind nach wie vor Investoren oder Investorinnen und aktiv
3. Das Unternehmen hat mindestens drei Angestellte, darunter aktive Gründe
4. Der Finalist der Challenge erhält einen Vertrag zur Integration des Machbarkeitsnachweises der Technologie im VBS
5. Der gewonnene Vertrag hat einen Wert von maximal CHF 100‘000.-. Der Wert richtet sich nach dem erforderlichen Arbeitsaufwand zur Integration des Machbarkeitsnachweise
6. Der Machbarkeitsnachweis wird durch den Cyber-Defence Campus unterstützt
7. Diese Challenge ist weder ein Preisausschreiben noch eine Ausschreibung. Es ist eine Marktforschungs-Challenge für die Suche nach einer vielsprechenden Technologie, die den Ansprüchen des VBS rund um die Bedrohung durch Cyber-Spionage am besten gerecht wird. Die Teilnahme der Unternehmen ist freiwillig.
8. Der Machbarkeitsnachweis hat nicht zum Ziel, im Betrieb effektiv umgesetzt zu werden
9. Jegliche Akquisition wird über eine Ausschreibung erfolgen, und der Machbarkeitsnachweis ist keine Garantie für ein zusätzliches Mandat oder einen Kauf
10. Alle Unternehmen, die an der Challenge teilnehmen, d. h. nicht nur das siegreiche Unternehmen, werden in eine Ausschreibung und weitere Challenges miteinbezogen
11. Das Unternehmen ist bereit, die Allgemeinen Geschäftsbedingungen der Schweizerischen Eidgenossenschaft (AGB) ohne Vorbehalt zu akzeptieren. Anbieter, die Änderungen (Ergänzungen/Anpassungen) anbringen, werden von der Challenge ausgeschlossen.

• Technologie steht im Zusammenhang mit Smartphone-Sicherheit
• Technologische Relevanz und Nutzbarkeit für die Schweizer Armee
• Machbarkeit des Projekts
• Innovationsfaktor und Wirkungspotenzial für die Schweizer Armee
• Tragfähigkeit des Technologiekonzepts
• Doppelte Verwendung (zivil, militär)
• Unternehmen aus der Schweiz werden höher bewertet; die Neugründung kann jedoch international sein.

• Das Startup muss die Registrierungsvorlage des Calls ausfüllen und das Dokument an die angegebene Adresse senden.
• Der Cyber-Defence Campus wird die zehn besten Unternehmen auswählen und um weitere Informationen und Details bitten.
• Die drei besten Unternehmen werden eingeladen, eine Präsentation ihres Unternehmens und ihrer Technologie zu halten.
• Während der Cyber-Defence Campus-Konferenz  werden die drei Finalisten einen 10-minütigen Pitch geben und das Unternehmen mit der besten Bewertung wird zum Gewinner gekürt.

• Anmeldefrist 31.08.2023
• Auswahl der zehn besten Lösungen 08.09.2023
• Die besten drei Startups präsentieren sich bei der Schweizer Armee 13.09.2023
• CYD Campus Konferenz: Vorstellung der drei besten Lösungen und Bekanntgabe des Gewinners 26.10.2023