BSI will Sicherheit von Open-Source-Software erhöhen
Das BSI hat Videokonferenzsysteme und eID-Templates auf deren Sicherheitseigenschaften hin untersucht. In Kooperation mit der mgm security partners GmbH hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Projekt „Codeanalyse von Open-Source-Software“ (CAOS) 2021 gestartet.
Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open-Source-Software zu erhöhen. Das Projekt soll Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open-Source-Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatanwendern genutzt werden.
Cyberangriffe lassen sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen. Das Projekt CAOS unterstützt dabei, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen. Das BSI überprüfte gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern sofort mitgeteilt – diese konnten die gefundenen Sicherheitslücken schnell beheben. Weitere Mängel wurden innerhalb eines Responsible-Disclosure-Verfahrens adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
Damit Bürger die Online-Funktion des Personalausweises nutzen können, müssen Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“.
Um die Sicherheit von Open-Source-Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open-Source-Software“ wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren auf der Webseite des BSI veröffentlicht. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung.