Bei einer Open-Source-Codeanalyse hat das Bundesamt für Informationssicherheit (BSI)  die Passwort-Manager Vaultwarden und KeePass auf Sicherheitseigenschaften untersucht und identifizierte Sicherheitslücken – mit der Stufe „hoch“.

Das Bundesamt für Informationssicherheit (BSI) hat zusammen mit der Münchner Firma MGM Security Partners zwei Passwort-Manager im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) auf mögliche Mängel überprüft. Die Tester wurden dabei vor allem bei Vaultwarden fündig. Bei der Lösung zum Speichern von Passwörtern identifizierten die Experten zwei Sicherheitslücken und stuften sie als „hoch“ ein. Die Entdeckung liegt bereits einige Monate zurück, zeigt jedoch, wie wichtig das Erstellen sicherer Codes ist.

So ist das Ziel des Caos-Kooperationsprojekt, das seit 2021 läuft, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Entdeckte umfänglichere Schwachstellen teilen die Macher den Entwicklern im Responsible-Disclosure-Verfahren vorab mit. Im Rahmen der Initiative untersuchten BSI und MGM etwa auch bereits die Videokonferenz-Werkzeuge Jitsi und BigBlueButton sowie Mastodon und Matrix.

Mehr zum Thema bei heise.de