IT-Sicherheit 16. August 2023

BSI will Sicherheit von Open-Source-Software erhöhen

Die im Dezember 2021 entdeckte Sicherheitslücke „Log4Shell“ brachte Open Source in Verruf. Ein BSI-Projekt soll nun die Resilienz kostenloser Software-Programme erhöhen.

Um die Sicherheit von Open Source Software zu erhöhen, hat das BSI eine breit angelegte Studie durchgeführt.

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates auf deren Sicherheitseigenschaften hin untersucht.

In Kooperation mit der mgm security partners GmbH hatte das BSI das Projekt "Codeanalyse von Open Source Software" (CAOS) 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll Entwicklerinnen und Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatanwendern genutzt werden.

Cyber-Angriffe lassen sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen. Das Projekt CAOS unterstützt dabei, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen. Das BSI überprüfte gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme Big-Blue-Button und Jitsi auf mögliche Mängel. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern sofort mitgeteilt - diese konnten die gefundenen Sicherheitslücken schnell beheben. Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahren adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Die im Dezember 2021 entdeckte Sicherheitslücke „Log4Shell“ führt nach Einschätzung des BSI zu einer kritischen IT-Sicherheitslage, da sie leicht auszunutzen ist und zudem in vielen Anwendungen steckt.

Diese Folgen hat die Sicherheitslücke „Log4Shell“

Im Dezember 2021 erschreckte die Sicherheitslücke „Log4Shell“ Hersteller und Nutzer von Sicherheitstechnik. Das BSI rief die höchste Warnstufe aus. Wie konnte es soweit kommen?

Weitere Codeanalysen für mehr Sicherheit von Open Source Software in Planung

Damit die Online-Funktion des Personalausweises genutzt werden kann, müssen Anbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der "eID-Card".

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur "Codeanalyse von Open Source Software" wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Webseite des BSI veröffentlicht. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung.

Interessierte erhalten auf der Homepage des BSI weitere Informationen zur Studie.

IT-Sicherheit

Meistgelesen

Bei der Drohnenabwehr geht es auch um die Lokalisierung des Operators.

Wirtschaftsschutz/-kriminaltität

Drohnenabwehr im Zuge der Uefa Euro 2024

Experten warnen vor Zwischenfällen mit Drohnen während der Euro 2024 und plädieren für entsprechende rechtliche Regeln und technische Abwehrlösungen.

Personalien

Trauer um Ulrich Schwieger

Der langjährige Vorsitzende des Fachausschusses für Übertragungstechnik (FA-ÜNT) im BHE e.V., Ulrich Schwieger, ist verstorben.

Diese Woche stehen unter anderem fluorfreie Löschmittel, eine Brandmeldezentrale und Neues aus dem Bereich SaaS im Fokus.

Produkte

Innovationen im Brandschutz und neue SaaS-Lösungen

Im Fokus diese Woche: alternative Löschmittel und SaaS-Lösungen für KI-fähige Kameras.

Es bedarf eines nachhaltigen Energiemanagements zur Verteilung des erzeugten Stroms.

Öffentliche Sicherheit

Milliardenschwerer Netzausbau für die Energiewende?

Der Strombedarf infolge der angestrebten Energiewende in Deutschland wächst stetig, doch es fehlt an einem sektorübergreifenden Energiemanagement.

KI-gestützte Gebäudeleittechnik spart Energie und Ressourcen in der Verwaltung.

Gefahrenmeldetechnik

KI-gestützte Gebäudesteuerung spart Energie

Moderne KI-gestützte Gebäudeleittechnik-Systeme helfen, die mechanischen und elektrischen Anlagen eines Gebäudes effizient und energiesparend zu verwalten.

Sicherheit aus erster Hand

Jeden Donnerstag erhalten Sie den kostenlosen Newsletter von Protector.de direkt in Ihr Postfach. Darin enthalten sind die wichtigsten und aktuellsten Meldungen aus der Sicherheitsbranche. Jetzt abonnieren!

Folgen Sie uns

Passend zu diesem Artikel

Die erste Ausgabe der Miba stieß auf großes Interesse und wurde von mehr als 80.000 Fachleuten besucht.

Messen & Veranstaltungen

Die Sicurezza 2023 schließt erfolgreich ab

Vergangenen November war die Sicurezza in Milano zum ersten Mal Teil der Miba. Diese brachte vier Messen unter ein Dach und informierte umfassend über die Trends der Branche.

Videokonferenzen werden immer häufiger abgehalten, sollten aber abhörsicher sein.

IT-Sicherheit

Wie kann man Videokonferenzen abhörsicher gestalten?

Wann ist eine Videokonferenz sicher? Welche Kriterien müssen erfüllt sein? Wirtschaft und Verwaltung müssen für mögliche Sicherheitslücken sensibilisiert werden.

Die GMZ von Securiton kann per App aus der Ferne bedient werden.

Gefahrenmeldetechnik

GMZ per App aus der Ferne bedienen

Auf die Gefahrenmelde- und Zutrittskontrollzentrale von Securiton kann jetzt per App aus der Ferne zugegriffen werden.