BSI:
Open-Source-Code auf dem Prüfstand


[9.8.2023] Cyber-Angriffe lassen sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen. Das Projekt CAOS will dazu beitragen, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen.

Im Rahmen eines Projekts zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates auf deren Sicherheitseigenschaften untersucht. Gestartet war das Projekt CAOS – kurz für: Codeanalyse von Open Source Software – bereits im Jahr 2021. Das BSI kooperierte dazu mit dem Software-Sicherheitsunternehmen mgm security partners. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll Entwicklerinnen und Entwickler bei der Erstellung sicherer Software-Anwendungen unterstützen und das Vertrauen in Open Source Software steigern, berichtet das BSI. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatanwendern genutzt werden.
BSI und mgm security partners überprüften den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern sofort mitgeteilt – diese konnten die gefundenen Sicherheitslücken schnell beheben. Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahren adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
Die ebenfalls untersuchten eID-Templates sind Teil der geplanten Einführung der eID-Card, der neuen Chipkarte mit Online-Ausweis, mit der sich Bürgerinnen und Bürger bei Inanspruchnahme digitaler Dienstleistungen authentifizieren können. eID-Templates sollen es verschiedenen Diensteanbietern – namentlich WordPress und Nextcloud – erleichtern, ein solches Authentifizierungsangebot in ihre Infrastruktur zu integrieren.
Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur Codeanalyse von Open Source Software wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse sollen nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Website des BSI veröffentlicht werden. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung. (sib)

Codeanalyse Videokonferenzsysteme – Ergebnisse (PDF; 3,9 MB) (Deep Link)
Codeanalyse eID-Templates (PDF; 1,4 MB) (Deep Link)
https://www.bsi.bund.de

Stichwörter: IT-Sicherheit, BSI, mgm security partners, Open Source Software, CAOS



Druckversion    PDF     Link mailen


 Anzeige

Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
BSI: IT-Sicherheitskennzeichen für Zoom
[11.9.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
Zwei Versionen der Videokonferenzlösung Zoom haben ein IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik erhalten.
IT-Sicherheit: Feuerwehr und Firewall Bericht
[2.9.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Die Panelteilnehmenden des Vitako-Empfangs.
Schwandorf: Siegel für IT-Sicherheit
[29.8.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Bayerns Finanz- und Heimatminister Albert Füracker (2.v.r.) übergibt das LSI-Siegel „Kommunale IT-Sicherheit“ an die Stadt Schwandorf.
Interview: Wertvolle Lehren gezogen Interview
[14.8.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
Mirco Pinske
München: Hauptabteilung für IT-Sicherheit
[2.8.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
In München kümmert sich jetzt eine eigene Hauptabteilung um die IT-Sicherheit.
Weitere FirmennewsAnzeige

SAP S/4HANA: Klare Sicht im Rechnungswesen
[10.9.2024] Die Bremer Stadtreinigung AöR arbeitet seit Anfang 2022 auf einem SAP S/4HANA-System und realisierte im Anschluss an dieses Migrations- projekt den Umstieg auf die elektronische Rechnungseingangsverarbeitung mit der xSuite. mehr...

SCCON vernetzt Politik, Verwaltung und Digitalwirtschaft: Drei Tage Fokus auf die Digitalisierung des öffentlichen Sektors auf der Smart Country Convention Berlin
[1.9.2024] Bürokratiebändiger, Digitalisierungsfans und Smart City Enthusiasten – sie alle kommen vom 15. – 17. Oktober 2024 auf der Smart Country Convention in Berlin zusammen. Ob Leitlinien für den Einsatz von KI in der Verwaltung, digitaler Zwilling in der Smart City oder personalisierte Verwaltung auf dem Smartphone – es gibt bereits heute zahlreiche innovative Lösungen für die Digitalisierung von Städten, Gemeinden und Behören. Spitzenvertreterinnen und -vertreter aus Verwaltung, Politik und Wissenschaft, Pioniere der Digitalwirtschaft, Hidden Champions und lokale Branchenköpfe zeigen auf der Smart Country Convention 2024, wie wir die Herausforderungen der Digitalisierung gemeinsam bewältigen können. mehr...

Dokumentenmanagement: Zukunftsweisende Rechnungsbearbeitung mit SAP
[21.8.2024] Rechnungen treffen in Unternehmen in allen Formaten und auf unterschiedlichen Wegen ein: im Papierformat, per E-Mail als PDF oder bereits als E-Rechnung im XML-Format. Letzteres Format ist im Public Sector schon gesetzt, im B2B wird es nun zum 1.1.2025 verpflichtend. Für die Rechnungsverarbeitung in SAP gibt es bereits erprobte Lösungen am Markt. Wichtig ist, dass diese auch mit der neuen Produktgeneration S/4HANA in ihren verschiedenen Ausprägungen funktionieren. mehr...
Suchen...

 Anzeige

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
regio iT GmbH
52070 Aachen
regio iT GmbH
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
Aktuelle Meldungen