Zum Hauptinhalt springen

Ist Open Source sicher?

Über Transparenz, Prozesse und die Frage, warum „offen" nicht automatisch „unsicher" bedeutet – ein Blick hinter die Kulissen eines großen Open-Source-Projekts.
Sigrid Gramlinger
von Sigrid Gramlinger
12. Januar 2026

Inhaltsverzeichnis

Eine Frage, die immer wieder kommt

„Ist Open Source sicher?" - Diese Frage begegnet mir regelmäßig. Von Kund:innen, in Beratungsgesprächen, auf Konferenzen. Und sie klingt einfach, ist aber alles andere als das.

Im Jänner 2026 durfte ich genau diese Frage beim CyberSip von Women4Cyber Austria beantworten. Die CyberSips sind ein monatliches virtuelles Morning Meetup - jeden Monat um 08:15 Uhr, eine Speakerin, ein Thema, danach Diskussion. Women4Cyber Austria ist ein gemeinnütziger Verein unter dem Dach der europäischen Women4Cyber Foundation, der Frauen im Bereich Cybersecurity fördert und vernetzt.

Meine Perspektive auf die Frage ist keine theoretische. Ich arbeite seit Jahren als Joomla Production Department Coordinator im Kern des Joomla-Projekts - ehrenamtlich, wie alle in dieser Community. Ich sehe, wie Sicherheitslücken gemeldet, geprüft und behoben werden. Ich sehe, wie Code entsteht, reviewed und released wird. Und ich sehe, wo die echten Herausforderungen liegen.

Der Vortrag wurde auch von Teilnehmerinnen auf LinkedIn aufgegriffen - ein Zeichen dafür, dass das Thema über die Joomla-Welt hinaus relevant ist.

Was „Open Source" in der Praxis bedeutet

Bevor wir über Sicherheit reden, kurz zur Einordnung: Joomla ist ein Open-Source-Content-Management-System, das zweitverbreitetste weltweit. Der gesamte Code liegt öffentlich auf GitHub. Jede Änderung, jede Diskussion, jede Entscheidung ist nachvollziehbar - für alle.

Das Projekt feierte 2025 sein 20-jähriges Bestehen. In dieser Zeit sind viele Releases erschienen, getragen von einer weltweiten Community aus Freiwilligen.

Timeline Joomla Releases von 2005 bis heute20 Jahre Joomla - von Version 1.0 bis 6.2. Jede Version getragen von einer weltweiten Open-Source-Community.

Andere Open-Source-CMS wie WordPress, Drupal oder TYPO3 funktionieren ähnlich. Was sie alle gemeinsam haben: Der Quellcode ist offen. Jeder kann ihn lesen, prüfen und verbessern. Und genau das macht den Unterschied - wenn die Rahmenbedingungen stimmen.

Wie Sicherheit bei Joomla konkret funktioniert

Sicherheit in einem Open-Source-Projekt passiert nicht von allein. Sie braucht Strukturen, Disziplin und klare Prozesse. Bei Joomla sieht das so aus:

  1. Alles beginnt auf GitHub. Jemand meldet ein Problem - als Issue.
  2. Oder reicht einen Lösungsvorschlag ein - als Pull Request.
  3. Der wird von anderen (und auch automatisiert) geprüft und getestet.
  4. Erst wenn alles passt, wird der Code zusammengeführt ("gemerged") und
  5. in ein Release aufgenommen.

Klingt einfach. Ist es im Detail aber nicht, denn die Qualitätssicherung hat viele Stufen. Im Production Department arbeiten neun Teams - vom Bug Squad über das Security Strike Team bis zur Software Architecture & Strategy. Alle ehrenamtlich. Alle mit einem gemeinsamen Ziel: ein stabiles, sicheres CMS.

Joomla veröffentlicht:

  • alle zwei Jahre ein Major Release,
  • alle sechs Monate ein Minor Release und
  • alle sechs Wochen ein Wartungsupdate mit Bug- und Sicherheitsfixes.
  • Immer dienstags um 16:00 UTC.

Das ist ein verlässlicher und planbarer Prozess. Seit April 2024 werden Updates mit TUF (The Update Framework) signiert. Seit Oktober 2025 gibt es automatische Updates. Das bedeutet: Ihr Joomla-System kann sich selbst aktuell halten - mit geprüften, signierten Paketen.

Was für Open Source spricht

Die Frage „Ist Open Source sicher?" lässt sich nicht pauschal beantworten. Aber es gibt klare strukturelle Vorteile gegenüber geschlossener Software:

Chancen/Vorteile von Open Source zu Closed SourceFünf zentrale Vorteile von Open Source gegenüber Closed Source - aus dem Vortrag beim Women4Cyber Austria CyberSip.

Transparenz und Auditierbarkeit stehen an erster Stelle. Wenn der Code offen liegt, kann jeder - Sicherheitsforscher:innen, Unternehmen, Behörden - ihn prüfen. Bei Closed-Source-Software müssen Sie dem Hersteller vertrauen. Bei Open Source können Sie nachschauen.

Schnelle Fehlerbehebung durch den Community-Effekt: Wenn viele Menschen den Code lesen und testen, werden Probleme oft schneller entdeckt und behoben als bei einem einzelnen Unternehmen mit begrenztem Team.

Geringeres Vendor-Lock-in: Sie sind nicht von einem einzelnen Anbieter abhängig. Wenn ein Dienstleister ausfällt, kann ein anderer übernehmen - der Code ist derselbe.

Nachvollziehbare Implementierungen: Jede Änderung hat eine Geschichte. Sie können im Detail sehen, warum eine Entscheidung getroffen wurde und wer sie getroffen hat.

Etablierte Best Practices: Große Open-Source-Projekte wie Joomla haben über Jahre Qualitätsstandards entwickelt, die oft strenger sind als in vielen kommerziellen Projekten.

Wo die Herausforderungen liegen

Es wäre unseriös, nur die Vorteile zu nennen. Open Source hat auch Schwachstellen - und die sollte man kennen, statt sie zu ignorieren.

Supply-Chain-Risiken sind real. Jedes CMS nutzt externe Bibliotheken und Abhängigkeiten. Wenn eine davon kompromittiert wird, kann das Auswirkungen auf Tausende Websites haben. ENISA hat im Dezember 2025 eigens ein Technical Advisory zur sicheren Nutzung von Paketmanagern veröffentlicht.

Uneinheitliche Wartung: Nicht jedes Open-Source-Projekt ist so gut organisiert wie Joomla. Manche Erweiterungen oder kleinere Projekte werden von einer einzigen Person gepflegt - und wenn diese Person aufhört, bleibt die Software ungepflegt. Das berühmte xkcd-Comic bringt es auf den Punkt:

dependencyQuelle: https://xkcd.com/2347/

„All modern digital infrastructure" / „A project some random person in Nebraska has been thanklessly maintaining since 2003": Nicht jedes Open-Source-Projekt hat eine aktive Community dahinter. Die Grafik von xkcd zeigt, woran das gesamte Ökosystem manchmal hängt.

Der „Many Eyes"-Mythos: Die Idee, dass offener Code automatisch von vielen Augen geprüft wird, stimmt nur bedingt. Ohne aktive Reviewer passiert auch bei offenem Code wenig. Entscheidend ist nicht, dass der Code offen ist - sondern dass ihn jemand aktiv anschaut.

Patch-Management bleibt Verantwortung der Betreiber: Auch das beste Security-Update hilft nichts, wenn es nicht installiert wird. Das ist kein reines Open-Source-Problem, betrifft aber viele Joomla-Websites in der Praxis.

Neue Spielregeln: Der Cyber Resilience Act

Seit 2024 gibt es mit dem Cyber Resilience Act (CRA) der EU einen neuen regulatorischen Rahmen, der auch Open-Source-Projekte betrifft. Der CRA richtet sich an wirtschaftliche Akteure, die Software als Produkt auf den EU-Markt bringen - und definiert drei Rollen, die für Open Source wichtig sind:

Contributors und Volunteers, die Code beitragen, haben keine CRA-Pflichten. Das ist wichtig für die Community, denn ehrenamtliches Engagement darf nicht durch Haftungsrisiken abgewürgt werden.

Hersteller - also Unternehmen, die ein Produkt unter eigenem Namen auf den Markt bringen - tragen die volle Verantwortung nach CRA, auch wenn sie Open-Source-Komponenten verwenden.

Open-Source Software Stewards - das sind Organisationen wie Open Source Matters (die Organisation hinter Joomla), die ein Projekt systematisch und dauerhaft unterstützen. Sie haben Pflichten wie Vulnerability-Handling und Kooperation mit Behörden, unterliegen aber nicht den administrativen Geldbußen des CRA.

Im Oktober 2025 fand in Wien ein CRA Readiness Workshop der Open Website Alliance statt - einem Zusammenschluss von Joomla, WordPress, Drupal und TYPO3. Dass sich die großen Open-Source-CMS-Projekte hier gemeinsam vorbereiten, zeigt, wie ernst das Thema genommen wird.

Und dann ist da noch die KI

Ein Thema, das beim Vortrag intensiv diskutiert wurde: Wie verändert KI die Sicherheitslage von Open-Source-Projekten?

Die Herausforderungen sind vielfältig. KI-Modelle werden mit Open-Source-Code trainiert - ohne dass die Communities davon profitieren. Gleichzeitig steigt der Aufwand: Mit Hilfe von KI werden zunehmend Sicherheitsmeldungen generiert, die sich als Falschmeldungen herausstellen. Das bindet wertvolle Review-Kapazität in einem System, das ohnehin auf ehrenamtlicher Arbeit basiert.

Die Qualität von KI-generiertem Code ist ein weiteres Thema. Immer mehr Pull Requests werden mit KI-Unterstützung erstellt. Das kann gut sein - aber es kann auch bedeuten, dass Code eingereicht wird, den die einreichende Person nicht vollständig versteht. Der Triage- und Review-Aufwand steigt.

Und dann gibt es die größere Frage: Stehen Open-Source-Geschäftsmodelle unter Druck? Dries Buytaert, Gründer von Drupal, hat das in einem viel beachteten Beitrag analysiert - sein Fazit: KI ist weniger ein Ersatz als ein Stresstest für bestehende Geschäftsmodelle.

Also: Ist Open Source sicher?

Die ehrliche Antwort: Es kommt darauf an.
Es kommt darauf an, wie ein Projekt organisiert ist:

  • Ob es aktive Maintainer gibt.
  • Ob Sicherheitsprozesse existieren und gelebt werden.
  • Ob Updates regelmäßig erscheinen und eingespielt werden.
  • Ob die Community groß genug ist, um den Code wirklich zu prüfen.

Joomla erfüllt diese Kriterien. Seit 20 Jahren. Mit signierten Updates, einem dedizierten Security Strike Team, regelmäßigen Releases und einer Governance-Struktur, die Transparenz nicht nur verspricht, sondern täglich umsetzt.

Aber: Nicht jedes Open-Source-Projekt funktioniert so. Und auch das beste Projekt braucht Menschen, die Verantwortung übernehmen - im Code und darüber hinaus. Wie es auf einer meiner Slides heißt: „Non-code contributions are the second secret to open source success."

Sie möchten wissen, ob Ihre Joomla-Website auf dem aktuellen Stand ist - technisch und sicherheitstechnisch? Wir prüfen das gerne für Sie. Kontaktieren Sie uns.

Mehr zum Thema Joomla-Sicherheit finden Sie auf unserer Seite Website Sicherheit prüfen. Wie wir KI in unserer täglichen Arbeit einsetzen, lesen Sie in unserem Beitrag Wie wir mit KI ein maßgeschneidertes Joomla-Modul entwickelt haben.

Neueste Blog-Beiträge