BACS und NTC prüfen Open-Source-Software auf Sicherheitslücken
In einem Pilotprojekt hat das Bundesamt für Cybersicherheit zusammen mit dem Nationalen Testinstitut für Cybersicherheit Open-Source-Software-Lösungen überprüft. Das Projekt soll zeigen, dass solche Sicherheitsprüfungen die Cyberresilienz der Schweiz erhöhen können.
Open-Source-Software (OSS) hat eine hohe Bedeutung für öffentliche Verwaltung, Bildungswesen, Gesundheitssektor und Industrie. Aus diesem Grund prüfte das Bundesamt für Cybersicherheit (BACS) zusammen mit dem Nationalen Testinstitut für Cybersicherheit (NTC) OSS auf Schwachstellen. Im Rahmen eines Pilotprojekts wurden Typo3 und QGIS ausgewählt und untersucht; diese beiden Anwendungen sind in der Verwaltung weit verbreitet, wie das BACS und das NTC mitteilen. Das NTC habe die technische Analyse der Programme übernommen, das BACS die Koordination sowie Kommunikation der Schwachstellen im Rahmen des Coordinated-Vulnerability-Disclosure-(CVD)-Prozesses.
Bei Typo3 wurden verschiedene Versionen von Typo3 Core wie auch verschiedene Erweiterungen geprüft. Das NTC identifizierte insgesamt acht Schwachstellen, eine mit der Einstufung "kritisch" und eine "hoch". Die anderen waren "mittel" bis "tief". Bei QGIS wurde der QGIS-Server sowie der Webclient der QGIS-Organisation (QWC2) geprüft. Es wurden sechs Lücken festgestellt, zwei mit der Einstufung "hoch". Wie das BACS und das NTC mitteilen, haben die OSS-Entwicklerteams alle relevanten Sicherheitslücken innerhalb von 90 Tagen behoben. Im Vulnerability Hub des NTC wurden die technischen Details dokumentiert. Die ausführlichen Testberichte für QGIS und Typo3 sind auf der Website des NTC veröffentlicht.
Das Projekt wird vom BACS als "Meilenstein auf dem Weg zu einer sicheren, widerstandsfähigen digitalen Schweiz" bezeichnet und habe zu höherer Transparenz zur Sicherheit von OSS beigetragen. Gleichzeitig sei die Cyberresilienz und -sicherheit gestärkt worden. Ausserdem sei das Projekt im Einklang mit der Umsetzung der Nationalen Cybersicherheitsstrategie (NCS), mit welcher "sichere und verfügbare digitale Dienstleistungen und Infrastrukturen" ermöglicht werden sollen, wie es vom BACS weiter heisst. Zurzeit werde geprüft, ob es Möglichkeiten zur langfristigen Unterstützung von Sicherheitsprüfungen gebe. Das BACS kommt zum Schluss, dass die Sicherheit von OSS auch "eine gesellschaftliche Aufgabe und ein entscheidender Faktor für die digitale Souveränität und Widerstandsfähigkeit der Schweiz" sei.
Das BACS hat 2024 mit vier strategischen Säulen gearbeitet, um die Cybersicherheit der Schweiz zu verbessern. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Das sind die Löhne der Schweizer IT-Branche
Bund veröffentlicht Standardbestimmungen für Cybersicherheit in Beschaffungsverträgen
Digitale Souveränität wahrt Unabhängigkeit und Handlungsfähigkeit
T wie (AI) TRiSM
Auch persönliche Luftfahrzeuge wollen um die Wette düsen
E-Paper-Displays werden zu Museumsgut
Vom Pilotprojekt zur alltäglichen Hilfe – wie KI Verwaltungen wirklich entlastet
Datensouveräne KI – Datenhoheit und KI-Innovation im Unternehmenskontext
Abraxas – für die digitale Schweiz
