Home » News » SBOM: Neue BSI-Richtlinie stärkt Sicherheit in der Software-Lieferkette

SBOM: Neue BSI-Richtlinie stärkt Sicherheit in der Software-Lieferkette

Mit Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ hat das BSI am 4. August erstmals Vorgaben für die Software-Stücklisten (SBOM) vorgelegt. Die formellen wie fachlichen Empfehlungen sollen die Sicherheit in der Software-Supply Chain verbessern und Software-Herstellern bei der Erstellung von Stücklisten helfen.

2 Min. Lesezeit
Infinity Symbol
Foto: ©AdobeStock/pickup

Die Konzeption einer „Software Bill of Materials“ (SBOM) erweist sich als essentiell, um Licht in den oft undurchsichtigen Dschungel der Software-Bestandteile zu bringen. Sie fungiert gewissermaßen als Dokumentation eines komplexen Puzzlesystems, welche die einzelnen kommerziellen und freien Software-Komponenten, die in einem Software-Produkt eingebettet sind, akribisch auflistet und beschreibt. Diese Auflistung reicht jedoch über bloße Aufzählung hinaus, da sie auch Informationen über die Lizenzierung, Versionen und Herkunft der jeweiligen Bestandteile beinhaltet. Ein bemerkenswerter Aspekt ist die detaillierte Verknüpfung zu Dritt-Komponenten, was letztendlich ein klares Bild über die Abhängigkeiten innerhalb der Software schafft. Dieses Verständnis wird durch die Offenlegung der genutzten Source Libraries und Drittanbieter-Bibliotheken weiter vertieft.

Vor dem Hintergrund rapide zunehmender Cyberangriffe und Software-Schwachstellen ist die SBOM ein dringend benötigtes Instrument. Sie wirft Licht auf die Schattenseiten der Software-Landschaft, indem sie die Verbindungslinien zu Dritt-Komponenten beleuchtet, die oft unbemerkt Sicherheitsrisiken bergen können. Dieses neue Maß an Transparenz gibt nicht nur den Software-Herstellern die Möglichkeit, ihre Produkte besser zu überwachen und abzusichern, sondern auch Sicherheitsforschern und erfahrenen Nutzern. Die SBOM wird somit zu einem unschätzbaren Hilfsmittel bei der Identifizierung von Schwachstellen und der Prävention von Sicherheitslücken.

Es ist besonders aufschlussreich, die Implementierung der Software-Stücklisten im Kontext des europäischen Cyber Resilience Act (CRA) zu betrachten. Dieses bedeutende Gesetzgebungsvorhaben, das bereits im September 2022 von der EU-Kommission vorgestellt wurde, unterstreicht die Dringlichkeit der SBOM-Maßnahme, indem es sie als zentrale Forderung festlegt. In einer Zeit, in der die digitale Sicherheit zu einer globalen Angelegenheit geworden ist, demonstriert diese Aktion des BSI eine klare Entschlossenheit, gemeinsame Standards zu etablieren und die Sicherheit der digitalen Welt auf eine höhere Stufe zu heben.

Diese neueste Richtlinie des BSI fügt sich nahtlos in eine wachsende Liste von gesetzlichen Initiativen ein, welche die Bedeutung der Software Bill of Materials hervorheben. Unter anderem hat die Biden-Administration in den Vereinigten Staaten bereits 2021 eine Executive Order veröffentlicht, die ähnliche Bestimmungen enthält. Diese Entwicklung zeigt, dass die Anerkennung der SBOM als entscheidender Bestandteil der Software-Entwicklung und -Verteilung zunehmend weltweit an Bedeutung gewinnt.

„Schwachstellen in der Software-Lieferkette waren die Ursache für einige der verheerendsten Cybervorfälle, die wir in den letzten Jahren erlebt haben – allen voran Log4j“, kommentiert Venkat Ram Donga, Director of Product Management beim SBOM-Spezialisten Revenera. „Wir beobachten, dass Unternehmen, die SBOMs als Teil ihrer Sicherheitsstrategie einführen, besser in der Lage sind, ihre Software und sich selbst vor potentiellen Cyberangriffen zu schützen. Die Einführung von formellen Standards wie der BSI-Richtlinie sowie die Implementierung von Tools für das automatische Erstellen von Software-Stücklisten sind dafür grundlegend. Damit wird es für Unternehmen zukünftig deutlich einfacher, Best Practices umzusetzen und sicherere Software sowohl bereitzustellen als auch zu nutzen.“

Die Veröffentlichung der BSI-Richtlinie und die Einführung von Software-Stücklisten markieren einen Meilenstein im Streben nach einer sichereren digitalen Landschaft. Durch die klare Dokumentation und Offenlegung von Software-Bestandteilen wird ein wichtiger Schritt unternommen, um die Software-Lieferkette widerstandsfähiger gegenüber Bedrohungen zu machen und das Vertrauen in die digitale Welt zu stärken. Dieser Schritt könnte zukünftig eine tragende Säule für die Gewährleistung der Cyber-Resilienz in einer zunehmend vernetzten und digital abhängigen Gesellschaft darstellen.

Zahnräder
Quelle: vladimircaribb / Adobe Stock

Andere interessante News

Feuerlöscher

re’graph Stärkt Brandschutz mit dpo-Übernahme

Der Brandschutzspezialist re'graph hat zum 01.04.2024 den kompletten Geschäftsbetrieb der dpo Brandschutz GmbH in Auerbach übernommen. Geografisch baut das Unternehmen damit seine Präsenz in der Oberpfalz und in Franken aus.

Schienen

Wie Roboter Schienen(verkehr) sicherer machen können

Die steigende Kriminalität und demografische Veränderungen haben bei der DB Sicherheit GmbH das Bewusstsein für den Einsatz neuer Technologien wie KI und Robotik geschärft. Das Unternehmen beschäftigt sich intensiv mit diesen Themen und arbeitet gemeinsam mit Security Robotics daran, die Sicherheitsstandards voranzutreiben und zu verbessern.

Einbrecher

Kriminalstatistik 2023: Einbrüche und Diebstähle nehmen zu

Nachdem die Zahl der Wohnungseinbrüche im Jahr 2022 erstmals seit Jahren wieder angestiegen war, hat sich dieser Trend auch im Jahr 2023 fortgesetzt: 77.819 Fälle wurden registriert, ein Plus von 18,1 Prozent gegenüber dem Vorjahreszeitraum. Umso wichtiger ist jetzt der kluge Einsatz von Sicherheitstechnik.