BSI analysiert Open Source Software Nextcloud auf Sicherheitslücken und findet mehrere Schwachstellen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Open-Source-Kollaborationssoftware Nextcloud einer umfassenden Sicherheitsprüfung unterzogen. Dabei wurden mehrere Schwachstellen identifiziert, die dem Entwicklungsteam gemeldet wurden. Dieses reagierte umgehend und setzte Maßnahmen zur Behebung der Sicherheitslücken um. Die Analyse erfolgte im Rahmen des Projekts „Codeanalyse von Open Source Software“ (CAOS 3.0).

BSI analysiert Open Source Software Nextcloud auf SicherheitslückenAI generated picture by ©onlinemarktplatz.de
BSI analysiert Open Source Software Nextcloud auf Sicherheitslücken

Untersuchung von Nextcloud durch das BSI

Im Rahmen der Sicherheitsüberprüfung hat das BSI gemeinsam mit der mgm security partners GmbH den Quellcode von Nextcloud untersucht. Ziel war es, mögliche Schwachstellen und Sicherheitsrisiken zu identifizieren, die von Cyberkriminellen ausgenutzt werden könnten. Neben der Hauptanwendung wurden auch mehrere Erweiterungen geprüft, darunter:

    • Two-Factor Admin Support
    • Two-Factor Email
    • Two-Factor TOTP Provider
    • Two-Factor Webauthn

Das Projekt CAOS unterstützt Entwickler dabei, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Cyberangriffe entstehen häufig durch Fehler im Quellcode, weshalb eine regelmäßige Analyse von Open-Source-Software essenziell ist.

Vorgehensweise und Ergebnisse der Analyse

Die Prüfung umfasste verschiedene Methoden der Sicherheitsanalyse, darunter:

    • Sourcecode-Review: Manuelle Überprüfung des Programmcodes
    • Dynamische Analyse: Test der Software im laufenden Betrieb
    • Schnittstellenanalyse: Untersuchung von Netzwerkschnittstellen, Protokollen und Standards

Die gefundenen Schwachstellen wurden den Entwicklern im Rahmen eines Responsible-Disclosure-Verfahrens gemeldet. Dieses Verfahren stellt sicher, dass Sicherheitslücken nicht sofort öffentlich bekannt werden, sondern Entwicklern genügend Zeit zur Behebung bleibt.

Ziel des CAOS-Projekts

Das BSI hat das Projekt „Codeanalyse von Open Source Software“ (CAOS) bereits im Jahr 2021 gestartet. Ziel ist es, die Sicherheit von Open-Source-Software zu verbessern und das Vertrauen in diese Anwendungen zu stärken. Dabei liegt der Fokus insbesondere auf Softwarelösungen, die von Behörden oder Privatpersonen häufig genutzt werden.

Mit dem Nachfolgeprojekt CAOS 3.0 setzt das BSI diese Bemühungen fort. Die Ergebnisse der Sicherheitsanalysen werden nach einer angemessenen Frist veröffentlicht, sodass Entwickler und Nutzer gleichermaßen informiert sind.

Weitere Sicherheitsanalysen geplant

Die Analyse von Nextcloud ist Teil einer langfristigen Strategie zur Verbesserung der IT-Sicherheit. In Zukunft sind weitere Untersuchungen von Open-Source-Anwendungen geplant. Die Ergebnisse werden nach dem Responsible-Disclosure-Prinzip auf der Webseite des BSI veröffentlicht.

Durch Projekte wie CAOS trägt das BSI dazu bei, die Sicherheit von Open-Source-Software kontinuierlich zu erhöhen und potenzielle Risiken frühzeitig zu minimieren.

Frank