Das Bundesamt für Cybersicherheit (BACS) hat gemeinsam mit dem Nationalen Testinstitut für Cybersicherheit (NTC) im Rahmen eines Pilotprojekts zwei Open-Source-Softwarelösungen auf Schwachstellen untersucht. Auf dem Prüfstand standen dabei das beliebte Content-Management-System Typo3 sowie das Geoinformationssystem QGIS, laut BACS beide häufig im öffentlichen Sektor im Einsatz. Die technischen Analysen wurden vom
NTC durchgeführt, während das BACS für die Koordination und Kommunikation der Ergebnisse zuständig war.
In beiden Produkten wurden dabei Sicherheitslücken gefunden, die gemäss Angaben der Behörden mittlerweile durch die jeweiligen Entwickler-Communities geschlossen wurden. Die Schwachstellen in Typo3 umfassten unter anderem eine als kritisch eingestufte Lücke in einer Erweiterung sowie mehrere Lücken mit mittlerem oder tiefem Schweregrad. In QGIS wurden insgesamt sechs Befunde festgestellt, davon zwei mit hoher Einstufung im Webclient.
Das Pilotprojekt wurde zwischen November 2024 und Juni 2025 durchgeführt. Ziel war es laut
BACS, exemplarisch zu prüfen, wie Open Source Software auf sicherheitsrelevante Schwachstellen untersucht und Verbesserungsmassnahmen koordiniert umgesetzt werden können.
Die Rückmeldungen der Beteiligten fallen laut BACS positiv aus. Das Projekt habe die Transparenz im Umgang mit OSS-Sicherheit verbessert und leiste einen Beitrag zur Umsetzung der Nationalen Cybersicherheitsstrategie. Zudem soll es langfristig zur Stärkung der digitalen Widerstandsfähigkeit der Schweiz beitragen. Aktuell wird geprüft, wie vergleichbare Sicherheitsprüfungen künftig dauerhaft etabliert und finanziert werden können.
Weitere technische Details sind in den Prüfberichten (Typo3
hier, QGIS
hier) sowie im
Vulnerability Hub des NTC verfügbar.
(mw)
