Pilotprojekt zur Prüfung von Sicherheitslücken in quelloffener Pogrammierungen (Open Source Software)

Quelloffene freie Programmierungen haben den Vorteil, daß man nicht von oftmals ausländischen Konzernen abhängig ist wie Microsoft, Google / Alphabet, Apple und Co. 

Das Bundesamt für Cybersicherheit (BACS) hat gemeinsam mit dem Nationalen Testinstitut für Cybersicherheit (NTC) im Rahmen eines Pilotprojekts die beiden quelloffenen Programmierlösungen (Open Source Software) TYPO3 und QGIS auf Sicherheitslücken überprüft.

Dabei wurden bei beiden Produkten Schwachstellen gefunden, die inzwischen von der Entwicklergemeinschaft behoben worden sind.

Das Pilotprojekt haben laut dem BACC gezeigt, daß gezielte Prüfungen die Sicherheit von quelloffener Programme(Open Source Software) stärken und die Cyberresilienz der Schweiz erhöhen können.

Das BACS prüft derzeit, wie Sicherheitsprüfungen von OSS künftig dauerhaft und strukturiert etabliert werden können.

Quelloffene Software (Open Source Software) (OSS) ist heute ein zentraler Bestandteil der digitalen Infrastruktur auch in der Schweiz. Der Quellcode von OSS ist öffentlich zugänglich und kann weltweit von der Entwicklergemeinschaft eingesehen, weiterentwickelt und verbessert werden. Laut einer Studie der Berner Fachhochschule setzen 97 Prozent in der öffentlichen Verwaltung, im Bildungswesen, im Gesundheitssektor sowie in der Industrie mindestens in einem Bereich auf OSS. Die wirtschaftliche Bedeutung von OSS ist entsprechend groß. Doch mit der Verbreitung von quelloffener Software (Open Source Software) wachsen auch die Herausforderungen. Nicht immer erfolgen regelmäßige und strukturierte Sicherheitsüberprüfungen, und Schwachstellen können angesichts der weiten Verbreitung rasch weitreichende Auswirkungen auf zahlreiche Organisationen haben.

Ein Pilotprojekt mit verschiedenen Beteiligten

Im Bewußtsein dieser Risiken hat das Bundesamt für Cybersicherheit (BACS) gemeinsam mit dem Nationalen Testinstitut für Cybersicherheit (NTC) von November 2024 bis Juni 2025 ein Pilotprojekt zur Sicherheitsüberprüfung von quelloffener Software (Open Source Software) durchgeführt. Ziel war es, exemplarisch zwei in der Verwaltung weit verbreitete und relevante OSS-Produkte, TYPO3 und QGIS, technisch zu prüfen, Schwachstellen zu identifizieren und gemeinsam mit der Entwicklergemeinschaft zu beheben. Die Auswahl der zu prüfenden Produkte erfolgte unter Einbezug der Sicherheitsverantwortlichen von Bund, Kantonen und Gemeinden. Die technische Analyse übernahm das NTC, während das BACS für die Koordination und Kommunikation der Schwachstellen im Rahmen des Coordinated-Vulnerability-Disclosure-(CVD)-Prozesses zuständig war.

TYPO3 unter der Lupe

TYPO3 ist ein Inhaltsverwaltungs-System (CMS) zur Erstellung und Verwaltung von Webseiten, das sehr kompliziert zu bedienen ist im Vergleich zu anderen Systemen wie z. B. Bludit-CMS, CMSimple_XH oder auch Getsimple-CMS. Eine Anwwender-Schulung, nur um es rudimentär bedienen zu können kostet auf schon 1.000 Franken aufwärts.

Typo3 lohnt sich daher nicht für den Einsatz kleinerer Webseiten. Sondern wird bei umganreicheren  Internet-Projekten eingesetzt, primär in großen Organisationen wie Unternehmen, Hochschulen und Behörden eingesetzt, da es besonders gut für komplexe und mehrsprachige Webauftritte geeignet ist.

Die Sicherheitsprüfung umfaßte verschiedene Versionen von „TYPO3 Core“ sowie verschiedene Erweiterungen (Extensions).

8 Schwachstellen identifziert

Bei der Prüfung wurden insgesamt acht Schwachstellen identifiziert: Zwei Schwachstellen in „TYPO3 Core“ mit tiefem Schweregrad sowie sechs weitere Schwachstellen in verschiedenen Erweiterungen, darunter eine Schwachstelle mit der Einstufung «kritisch» und eine mit der Einstufung «hoch», drei «mittel» sowie eine mit der Einstufung «tief».

Auch QGIS geprüft

QGIS ist ein Geoinformationssystem (GIS), mit dem sich räumliche Daten erfassen, bearbeiten, analysieren und visualisieren lassen. Es wird primär in der Umweltplanung, Stadtplanung, Geografie, Forschung und bei Behörden eingesetzt, um Karten zu erstellen und geodatenbasierte Entscheidungen zu unterstützen.

Im Umfang der Sicherheitsprüfung standen der QGIS-Server sowie der Webclient der QGIS-Organisation (QWC2). Dabei wurden insgesamt sechs Befunde identifiziert: Ein Befund von tiefer Einstufung beim QGIS-Server und fünf Befunde beim QGIS-Webclient, zwei davon mit der Einstufung «hoch».

Alle relevanten Sicherheitslücken wurden innerhalb der 90-Tage-Frist durch die verantwortlichen quelloffenen Entwicklergruppen behoben.

Die aktualisierten Programm-Versionen stehen zum Herunterladen zur Verfügung, und die technischen Details sind in den Prüfberichten und dem Vulnerability Hub des NTC dokumentiert.

Cyberresilienz der Schweiz erhöht

Die Rückmeldungen der Projektbeteiligten sind durchweg positiv. Das BACS sieht im Pilotprojekt einen wichtigen Meilenstein auf dem Weg zu einer sicheren, widerstandsfähigen digitalen Schweiz.

Konkret hat das Projekt die Transparenz zur Sicherheit von OSS erhöht, die Angriffsfläche reduziert und damit die Cyberresilienz gestärkt. Das Pilotprojekt leistet zudem einen konkreten Beitrag zur globalen Cybersicherheit. Darüber hinaus unterstützt das Vorhaben direkt die Umsetzung der Nationalen Cybersicherheitsstrategie (NCS), insbesondere das strategische Ziel «Sichere und verfügbare digitale Dienstleistungen und Infrastrukturen».

Digitale Souveränität: Sicherheitsprüfungen als gesellschaftliche Aufgabe

Das BACS prüft derzeit Möglichkeiten, wie vergleichbare Sicherheitsprüfungen künftig langfristig unterstützt und finanziert werden können.

Festhaltens sei, daß die Sicherheit von quelloffener Software (Open Source Software) nicht nur eine technische, sondern eine gesellschaftliche Aufgabe ist und ein entscheidender Faktor für die digitale Souveränität und Widerstandsfähigkeit der Schweiz, so das BACS.

(pd, rm)