SECURITY1. August 2023

eID-Templates und Videokonferenzen: BSI will Sicherheit von Open-Source-Software erhöhen

Skorzewiak
/bigstock.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen eines Forschungsprojektes zur Codeanalyse von Open Source Software Videokonferenzsysteme und eID-Templates auf ihre Sicherheitseigenschaften untersucht. In beiden Bereichen setzen Banken, Versicherungen und Finanzdienstleister bevorzugt auf Open-Source-Lösungen aus dem Hintergrund, dass diese als sicherer eingestuft werden können. Doch das ist nur ein Teil der Wahrheit.

Gemeinsam mit mgm security partners hat das BSI das Projekt Codeanalyse von Open Source Software” (CAOS) 2021 gestartet. Gegenstand und Ziel des Projektes ist die Durchführung von Schwachstellenanalysen mit dem Ziel, die Softwaresicherheit von Open Source Software zu erhöhen. Das Projekt soll bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software erhöhen. Der Schwerpunkt wird dabei auf Anwendungen liegen, die vermehrt von Behörden oder Privatanwendern genutzt werden.

Cyberattacken sind in den meisten Fällen auf Fehler im Programmcode der betroffenen Applikationen zurückzuführen. Das Projekt CAOS hilft, häufige Schwachstellen und allgegenwärtige Risiken zu identifizieren und zu beseitigen. Gemeinsam mit der mgm security partners hat das BSI den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi, die auch in vielen Unternehmen der Finanzindustrie sowie bei Banken und Versicherungen vorkommen, auf mögliche Schwachstellen untersucht. Über kritische Schwachstellen informierte das BSI umgehend die jeweiligen Entwickler, die die gefundenen Sicherheitslücken zügig beheben konnten. Weitere Schwachstellen wurden im Rahmen eines Responsible-Disclosure-Verfahrens behoben. Bei den jetzt veröffentlichten Ergebnissen handelt es sich um eine Verknüpfung von Sourcecode-Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Open Source: Weitere Codeanalysen sollen folgen

Damit Verbraucher die Möglichkeit haben, die Online-Funktion des Personalausweises zu nutzen, müssen Diensteanbieter ihre Angebote in die Infrastruktur für elektronische Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher machen und sind Teil der geplanten Einführung der “eID-Card”. Die eID-Funktionalitäten werden bislang noch selten im Banken- und Versicherungskontext genutzt, wären aber durchaus dafür geeignet, eine Vielzahl möglicher neuer durchgängig digitaler Lösungen voranzutreiben

Weitere Codeanalysen sind geplant, um die Sicherheit von Open Source Software in Zukunft zu verstärken und durchgängig zu gewährleisten. Das Projekt “Codeanalyse von Open Source Software” wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Website des BSI veröffentlicht. Dabei wird den Entwicklern vor der Veröffentlichung eine angemessene Frist zur Behebung der Sicherheitslücken eingeräumt.

Die Studie sowie zwei getrennte Ergebnisberichte finden sich auf der Seite des BSI.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert