06.09.2023

Um Sicherheitsrisiken oder -debakel wie Log4J abzuwehren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorgaben für „Software Bill of Materials“ oder kurz SBOM genannte Zutatenlisten für Software-Lieferketten aufgestellt.

Wer Software enthaltende Produkte und Services an US-Behörden ausliefert, muss laut „Executive Order 14028“ von Mai 2021 auch die Verantwortung für die Software-Lieferkette übernehmen und diesbezüglich eine Reihe von Vorschriften erfüllen. Dazu gehört, dass ergänzend zu jedem Produkt auch eine „Software Bill of Materials“ oder kurz SBOM genannte Zutatenliste mitgeliefert werden muss.

Nach dem Muster hat nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 4. August 2023 Teil 2 der Technischen Richtlinie TR-03183 für Cyber-Resilienz-Anforderungen veröffentlicht und darin formelle und fachliche Vorgaben für solche Software-Stücklisten gemacht. Eine solche kurz SBOM genannte Zutatenliste soll dokumentieren, welche kommerziellen und freien Software-Bestandteile Software-Produkte enthalten.

SBOM für mehr Transparenz

Wie das BSI es beschreibt, macht eine solche Liste die Abhängigkeit zu Komponenten von Dritten transparent und soll Herstellern, „Sicherheitsforschenden“ und professionellen Anwender:innen das Monitoring von Schwachstellen erleichtern.

Weiter heißt es in der BSI-Pressemitteilung, dass solche SBOM-Stücklisten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA) zählen, wie er seit September 2022 als Entwurf der EU-Kommission vorliegt. Demnach ist die SBOM-Pflicht auf EU-Ebene auch nur eine Frage der Zeit.

Wegen dem Cyber Resilience Act wird die SBOM-Pflicht früher oder später auch in der EU verpflichtend sein (Quelle: Adobe Stock/PX Media).

Im Fall von Log4J (Erklärung siehe unten) mussten viele Admins kleinerer IT-Abteilungen praktisch im Alleingang und Konzerne im Eiltempo Tabellen zusammenstellen, um zu eruieren, ob bei ihnen die betroffene Bibliothek zum Einsatz kam. Mit SBOM hätte man den Überblick wesentlich vereinfachen und beschleunigen können. Ohne Automatisierung wird das aber nicht gehen.

Log4J ist eigentlich ein Framework für das Logging oder automatische Erstellen von Anwendungsmeldungen in Java, hat sich aber Ende 2021 als gravierende Zero-Day-Sicherheitslücke erwiesen. Bald auch die „Größte Schwachstelle in der Geschichte des modernen Computing“ genannt, haben Angreifer damit im großen Stil Krypto-Mining betrieben und unter anderem den deutschen Bundesfinanzhof gezwungen, seine Webseite vorübergehend abzuschalten.

SBOM-Erstellung sehr aufwändig, erste Hersteller reagieren

In Teil 2 der besagten Technischen Richtlinie TR-03183 weist das BSI auch explizit darauf hin. Da heißt es: „Die Fülle an SBOM-Informationen und die möglichen Unterschiede in der Struktur von SBOMs bedeuten einen hohen Aufwand für jeden Ersteller, dem nur mit Automatisierung effektiv zu begegnen ist.“ Und weiter hinten: „Sie (SBOM) unterstützt die automatisierte Verarbeitung von Informationen zu Software-Komponenten, sowohl der sogenannten ‚Primärkomponente‘ (englisch: Primary Component) als auch der von ihr eingebundenen (Dritt-)Komponenten.“

Open-Source-Anbieter wie Cilium oder GitHub mit Salus und Microsoft als Miteigentümer haben schon auf die oben genannte US-Direktive und eine bevorstehende EU-Pflicht reagiert und SBOM bereits integriert. Andere Softwarehersteller dürften folgen.

Quelle Titelbild: Adobe Stock / Chan2545

Diesen Beitrag teilen:

Weitere Beiträge

03.12.2024

Die Zukunft der digitalen Signatur: Von der Signaturkarte zur Fernsignatur

Alexander Marschall

Seit 2010 müssen die Akteure der Entsorgungswirtschaft ein elektronisches Signaturverfahren einsetzen. ...

Zum Beitrag
28.11.2024

Studie zeigt fehlende Priorität für OT-Security – wieso die deutsche Industrie handeln muss

Redaktion Digital Chiefs

Intelligente, vernetzte Maschinen im Fertigungsumfeld bringen diverse Vorteile mit sich, machen Produktionsanlagen ...

Zum Beitrag
27.11.2024

„Mit der Digitalisierung gewinnen alle“ – Das ungenutzte digitale Potenzial des deutschen Gesundheitssystems

Dr. Sophie Chung

Das deutsche Gesundheitssystem ist ein Bereich des Alltags, der bislang kaum digitalisiert ist. Weder ...

Zum Beitrag
26.11.2024

Eigene Belegschaft wird immer mehr zum Cyberrisiko

Redaktion Digital Chiefs

Eine große, wachsende Gefahr für die Cybersicherheit geht für Unternehmen und Behörden von den eigenen ...

Zum Beitrag
19.11.2024

Nvidia überrascht mit eigenem KI-Sprachmodell

Redaktion Digital Chiefs

Kein anderes Unternehmen profitiert so vom GenAI-Boom wie Nvidia. Jetzt hat der Grafikchiphersteller ...

Zum Beitrag
14.11.2024

Schleswig-Holstein investiert weiter in den Breitbandausbau

Redaktion Digital Chiefs

Die nördlichen Bundesländer sind mit mehr als einer halben Milliarde Euro Fördermittel beim Breitbandausbau ...

Zum Beitrag