Um Sicherheitsrisiken oder -debakel wie Log4J abzuwehren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorgaben für „Software Bill of Materials“ oder kurz SBOM genannte Zutatenlisten für Software-Lieferketten aufgestellt.

Wer Software enthaltende Produkte und Services an US-Behörden ausliefert, muss laut „Executive Order 14028“ von Mai 2021 auch die Verantwortung für die Software-Lieferkette übernehmen und diesbezüglich eine Reihe von Vorschriften erfüllen. Dazu gehört, dass ergänzend zu jedem Produkt auch eine „Software Bill of Materials“ oder kurz SBOM genannte Zutatenliste mitgeliefert werden muss.

Nach dem Muster hat nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 4. August 2023 Teil 2 der Technischen Richtlinie TR-03183 für Cyber-Resilienz-Anforderungen veröffentlicht und darin formelle und fachliche Vorgaben für solche Software-Stücklisten gemacht. Eine solche kurz SBOM genannte Zutatenliste soll dokumentieren, welche kommerziellen und freien Software-Bestandteile Software-Produkte enthalten.

SBOM für mehr Transparenz

Wie das BSI es beschreibt, macht eine solche Liste die Abhängigkeit zu Komponenten von Dritten transparent und soll Herstellern, „Sicherheitsforschenden“ und professionellen Anwender:innen das Monitoring von Schwachstellen erleichtern.

Weiter heißt es in der BSI-Pressemitteilung, dass solche SBOM-Stücklisten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA) zählen, wie er seit September 2022 als Entwurf der EU-Kommission vorliegt. Demnach ist die SBOM-Pflicht auf EU-Ebene auch nur eine Frage der Zeit.

Im Fall von Log4J (Erklärung siehe unten) mussten viele Admins kleinerer IT-Abteilungen praktisch im Alleingang und Konzerne im Eiltempo Tabellen zusammenstellen, um zu eruieren, ob bei ihnen die betroffene Bibliothek zum Einsatz kam. Mit SBOM hätte man den Überblick wesentlich vereinfachen und beschleunigen können. Ohne Automatisierung wird das aber nicht gehen.

Log4J ist eigentlich ein Framework für das Logging oder automatische Erstellen von Anwendungsmeldungen in Java, hat sich aber Ende 2021 als gravierende Zero-Day-Sicherheitslücke erwiesen. Bald auch die „Größte Schwachstelle in der Geschichte des modernen Computing“ genannt, haben Angreifer damit im großen Stil Krypto-Mining betrieben und unter anderem den deutschen Bundesfinanzhof gezwungen, seine Webseite vorübergehend abzuschalten.

SBOM-Erstellung sehr aufwändig, erste Hersteller reagieren

In Teil 2 der besagten Technischen Richtlinie TR-03183 weist das BSI auch explizit darauf hin. Da heißt es: „Die Fülle an SBOM-Informationen und die möglichen Unterschiede in der Struktur von SBOMs bedeuten einen hohen Aufwand für jeden Ersteller, dem nur mit Automatisierung effektiv zu begegnen ist.“ Und weiter hinten: „Sie (SBOM) unterstützt die automatisierte Verarbeitung von Informationen zu Software-Komponenten, sowohl der sogenannten ‚Primärkomponente‘ (englisch: Primary Component) als auch der von ihr eingebundenen (Dritt-)Komponenten.“

Open-Source-Anbieter wie Cilium oder GitHub mit Salus und Microsoft als Miteigentümer haben schon auf die oben genannte US-Direktive und eine bevorstehende EU-Pflicht reagiert und SBOM bereits integriert. Andere Softwarehersteller dürften folgen.

Quelle Titelbild: Adobe Stock / Chan2545