06.09.2023

Um Sicherheitsrisiken oder -debakel wie Log4J abzuwehren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorgaben für „Software Bill of Materials“ oder kurz SBOM genannte Zutatenlisten für Software-Lieferketten aufgestellt.

Wer Software enthaltende Produkte und Services an US-Behörden ausliefert, muss laut „Executive Order 14028“ von Mai 2021 auch die Verantwortung für die Software-Lieferkette übernehmen und diesbezüglich eine Reihe von Vorschriften erfüllen. Dazu gehört, dass ergänzend zu jedem Produkt auch eine „Software Bill of Materials“ oder kurz SBOM genannte Zutatenliste mitgeliefert werden muss.

Nach dem Muster hat nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 4. August 2023 Teil 2 der Technischen Richtlinie TR-03183 für Cyber-Resilienz-Anforderungen veröffentlicht und darin formelle und fachliche Vorgaben für solche Software-Stücklisten gemacht. Eine solche kurz SBOM genannte Zutatenliste soll dokumentieren, welche kommerziellen und freien Software-Bestandteile Software-Produkte enthalten.

SBOM für mehr Transparenz

Wie das BSI es beschreibt, macht eine solche Liste die Abhängigkeit zu Komponenten von Dritten transparent und soll Herstellern, „Sicherheitsforschenden“ und professionellen Anwender:innen das Monitoring von Schwachstellen erleichtern.

Weiter heißt es in der BSI-Pressemitteilung, dass solche SBOM-Stücklisten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA) zählen, wie er seit September 2022 als Entwurf der EU-Kommission vorliegt. Demnach ist die SBOM-Pflicht auf EU-Ebene auch nur eine Frage der Zeit.

Wegen dem Cyber Resilience Act wird die SBOM-Pflicht früher oder später auch in der EU verpflichtend sein (Quelle: Adobe Stock/PX Media).

Im Fall von Log4J (Erklärung siehe unten) mussten viele Admins kleinerer IT-Abteilungen praktisch im Alleingang und Konzerne im Eiltempo Tabellen zusammenstellen, um zu eruieren, ob bei ihnen die betroffene Bibliothek zum Einsatz kam. Mit SBOM hätte man den Überblick wesentlich vereinfachen und beschleunigen können. Ohne Automatisierung wird das aber nicht gehen.

Log4J ist eigentlich ein Framework für das Logging oder automatische Erstellen von Anwendungsmeldungen in Java, hat sich aber Ende 2021 als gravierende Zero-Day-Sicherheitslücke erwiesen. Bald auch die „Größte Schwachstelle in der Geschichte des modernen Computing“ genannt, haben Angreifer damit im großen Stil Krypto-Mining betrieben und unter anderem den deutschen Bundesfinanzhof gezwungen, seine Webseite vorübergehend abzuschalten.

SBOM-Erstellung sehr aufwändig, erste Hersteller reagieren

In Teil 2 der besagten Technischen Richtlinie TR-03183 weist das BSI auch explizit darauf hin. Da heißt es: „Die Fülle an SBOM-Informationen und die möglichen Unterschiede in der Struktur von SBOMs bedeuten einen hohen Aufwand für jeden Ersteller, dem nur mit Automatisierung effektiv zu begegnen ist.“ Und weiter hinten: „Sie (SBOM) unterstützt die automatisierte Verarbeitung von Informationen zu Software-Komponenten, sowohl der sogenannten ‚Primärkomponente‘ (englisch: Primary Component) als auch der von ihr eingebundenen (Dritt-)Komponenten.“

Open-Source-Anbieter wie Cilium oder GitHub mit Salus und Microsoft als Miteigentümer haben schon auf die oben genannte US-Direktive und eine bevorstehende EU-Pflicht reagiert und SBOM bereits integriert. Andere Softwarehersteller dürften folgen.

Quelle Titelbild: Adobe Stock / Chan2545

Diesen Beitrag teilen:

Weitere Beiträge

04.09.2024

5G-Abdeckung in Deutschland: EU-Bericht und Wirklichkeit

Redaktion Digital Chiefs

Ein neuer EU-Bericht zu den Fortschritten der Digitalisierung in den Mitgliedsstaaten bescheinigt Deutschland ...

Zum Beitrag
04.09.2024

Cyber Security in der Industrie: So schützen Sie Ihre OT-Anlagen und steigern Ihre Produktivität

Timmi Hopf

Cyberangriffe treffen Unternehmen regelmäßig. Neue Regularien verpflichten präventive Maßnahmen zu ...

Zum Beitrag
04.09.2024

IDC: KI-Ausgaben steigen um fast 30 Prozent jährlich

Redaktion Digital Chiefs

IDC zufolge werden die weltweiten Ausgaben für KI und GenAI bis 2028 um mindestens 29 Prozent jährlich ...

Zum Beitrag
03.09.2024

Die Zukunft der KI-Entwicklung steht auf dem Spiel: KI-Bundesverbandschef Abbou über den neuen EU AI Act

Daniel Abbou

Im Mai 2024 haben sich die Mitgliedsstaaten der EU geeinigt und den neuen „AI Act“ verabschiedet. ...

Zum Beitrag
30.08.2024

Hessen wird Vorreiter für Smart-City-Projekte

Redaktion Digital Chiefs

Mit 91 geförderten Projekten sieht sich sich Hessen auf dem Weg zum Musterland für Smart Cities. Den ...

Zum Beitrag
28.08.2024

Cyber Security als Wettbewerbsvorteil. Wie Actemium und Axians OT-Systeme von Industrieunternehmen umfassend schützen

Rudolf Preuß

OT- und IT-Systeme wachsen immer enger zusammen, was die Sicherheitsanforderungen erhöht. Denn Angriffe ...

Zum Beitrag