zum Inhalt springen

    Sicherheitsprüfung von Open Source Software

    Tags:

    Das Nationale Testinstitut für Cybersicherheit NTC hat gemeinsam mit dem Bundesamt für Cybersicherheit (BACS) im Rahmen eines Pilotprojekts die beiden Open Source Software-Lösungen TYPO3 und QGIS auf Sicherheitslücken überprüft. Dabei wurden bei beiden Produkten Schwachstellen gefunden, die inzwischen von der Entwickler-Community behoben worden sind. Das Pilotprojekt hat gezeigt, dass gezielte Prüfungen die Sicherheit von Open Source Software (OSS) stärken und die Cyberresilienz der Schweiz erhöhen können. Das BACS prüft derzeit, wie Sicherheitsprüfungen von OSS künftig dauerhaft und strukturiert etabliert werden können.

    2025-test-reports-oss

    Lesen Sie die vollständigen Prüfberichte mit den technischen Details zu QGIS und TYPO3.  

    Open Source Software (OSS) ist heute ein zentraler Bestandteil der digitalen Infrastruktur auch in der Schweiz. Der Quellcode von OSS ist öffentlich zugänglich und kann weltweit von der Entwicklergemeinschaft eingesehen, weiterentwickelt und verbessert werden. Laut einer Studie der Berner Fachhochschule setzen 97 Prozent in der öffentlichen Verwaltung, im Bildungswesen, im Gesundheitssektor sowie in der Industrie mindestens in einem Bereich auf OSS. Die wirtschaftliche Bedeutung von OSS ist entsprechend gross. Doch mit der Verbreitung von Open Source Software wachsen auch die Herausforderungen. Nicht immer erfolgen regelmässige und strukturierte Sicherheitsüberprüfungen und Schwachstellen können angesichts der weiten Verbreitung rasch weitreichende Auswirkungen auf zahlreiche Organisationen haben. 

    Ein Pilotprojekt mit verschiedenen Beteiligten

    Im Bewusstsein dieser Risiken hat das Bundesamt für Cybersicherheit (BACS) gemeinsam mit dem Nationalen Testinstitut für Cybersicherheit NTC von November 2024 bis Juni 2025 ein Pilotprojekt zur Sicherheitsüberprüfung von Open Source Software durchgeführt. Ziel war es, exemplarisch zwei in der Verwaltung weit verbreitete und relevante OSS-Produkte, TYPO3 und QGIS, technisch zu prüfen, Schwachstellen zu identifizieren und gemeinsam mit der Entwickler-Community zu beheben. Die Auswahl der zu prüfenden Produkte erfolgte unter Einbezug der Sicherheitsverantwortlichen von Bund, Kantonen und Gemeinden. Die technische Analyse übernahm das NTC, während das BACS für die Koordination und Kommunikation der Schwachstellen im Rahmen des Coordinated-Vulnerability-Disclosure-(CVD)-Prozesses zuständig war. 

    TYPO3 und QGIS unter der Lupe

    TYPO3 ist ein Content-Management-System (CMS) zur Erstellung und Verwaltung von Webseiten. Es wird primär in grossen Organisationen wie Unternehmen, Hochschulen und Behörden eingesetzt, da es besonders gut für komplexe und mehrsprachige Webauftritte geeignet ist. Die Sicherheitsprüfung umfasste verschiedene Versionen von TYPO3 Core, sowie verschiedene Erweiterungen (Extensions). Bei der Prüfung wurden insgesamt acht Schwachstellen identifiziert: Zwei Schwachstellen in TYPO3 Core mit tiefem Schweregrad sowie sechs weitere Schwachstellen in verschiedenen Erweiterungen, darunter eine Schwachstelle mit der Einstufung «kritisch» und eine mit der Einstufung «hoch», drei «mittel» so wie eine mit der Einstufung «tief».

    QGIS ist ein Geoinformationssystem (GIS), mit dem sich räumliche Daten erfassen, bearbeiten, analysieren und visualisieren lassen. Es wird primär in der Umweltplanung, Stadtplanung, Geografie, Forschung und bei Behörden eingesetzt, um Karten zu erstellen und geodatenbasierte Entscheidungen zu unterstützen. Im Umfang der Sicherheitsprüfung waren der QGIS-Server, sowie der Webclient der QGIS-Organisation (QWC2). Dabei wurden insgesamt sechs Befunde identifiziert: Ein Befund von tiefer Einstufung beim QGIS-Server, und fünf Befunde beim QGIS-Webclient, zwei davon mit der Einstufung «hoch».

    Alle relevanten Sicherheitslücken wurden innerhalb der 90-Tage-Frist durch die verantwortlichen Open Source Entwicklerteams behoben. Die aktualisierten Software-Versionen stehen zum Download zur Verfügung und die technischen Details sind in den Prüfberichten und dem Vulnerability Hub des NTC dokumentiert.

    Cyberresilienz der Schweiz erhöht

    Die Rückmeldungen der Projektbeteiligten sind durchwegs positiv. Das BACS sieht im Pilotprojekt einen wichtigen Meilenstein auf dem Weg zu einer sicheren, widerstandsfähigen digitalen Schweiz. Konkret hat das Projekt die Transparenz zur Sicherheit von OSS erhöht, die Angriffsfläche reduziert und damit die Cyberresilienz gestärkt. Das Pilotprojekt leistet zudem einen konkreten Beitrag zur globalen Cybersicherheit. Darüber hinaus unterstützt das Vorhaben direkt die Umsetzung der Nationalen Cybersicherheitsstrategie (NCS), insbesondere das strategische Ziel «Sichere und verfügbare digitale Dienstleistungen und Infrastrukturen».

    Das BACS prüft derzeit Möglichkeiten, wie vergleichbare Sicherheitsprüfungen künftig langfristig unterstützt und finanziert werden können. Festzuhalten ist, dass die Sicherheit von Open Source Software nicht nur eine technische, sondern eine gesellschaftliche Aufgabe ist und ein entscheidender Faktor für die digitale Souveränität und Widerstandsfähigkeit der Schweiz.

    Die Medienmitteilung des BACS können Sie hier abrufen.