SBOM: Neue BSI-Richtlinie stärkt Sicherheit in der Software-Lieferkette
Mit Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ hat das BSI am 4. August erstmals Vorgaben für die Software-Stücklisten (SBOM) vorgelegt. Die formellen wie fachlichen Empfehlungen sollen die Sicherheit in der Software-Supply Chain verbessern und Software-Herstellern bei der Erstellung von Stücklisten helfen.
Die Konzeption einer „Software Bill of Materials“ (SBOM) erweist sich als essentiell, um Licht in den oft undurchsichtigen Dschungel der Software-Bestandteile zu bringen. Sie fungiert gewissermaßen als Dokumentation eines komplexen Puzzlesystems, welche die einzelnen kommerziellen und freien Software-Komponenten, die in einem Software-Produkt eingebettet sind, akribisch auflistet und beschreibt. Diese Auflistung reicht jedoch über bloße Aufzählung hinaus, da sie auch Informationen über die Lizenzierung, Versionen und Herkunft der jeweiligen Bestandteile beinhaltet. Ein bemerkenswerter Aspekt ist die detaillierte Verknüpfung zu Dritt-Komponenten, was letztendlich ein klares Bild über die Abhängigkeiten innerhalb der Software schafft. Dieses Verständnis wird durch die Offenlegung der genutzten Source Libraries und Drittanbieter-Bibliotheken weiter vertieft.
Vor dem Hintergrund rapide zunehmender Cyberangriffe und Software-Schwachstellen ist die SBOM ein dringend benötigtes Instrument. Sie wirft Licht auf die Schattenseiten der Software-Landschaft, indem sie die Verbindungslinien zu Dritt-Komponenten beleuchtet, die oft unbemerkt Sicherheitsrisiken bergen können. Dieses neue Maß an Transparenz gibt nicht nur den Software-Herstellern die Möglichkeit, ihre Produkte besser zu überwachen und abzusichern, sondern auch Sicherheitsforschern und erfahrenen Nutzern. Die SBOM wird somit zu einem unschätzbaren Hilfsmittel bei der Identifizierung von Schwachstellen und der Prävention von Sicherheitslücken.
Es ist besonders aufschlussreich, die Implementierung der Software-Stücklisten im Kontext des europäischen Cyber Resilience Act (CRA) zu betrachten. Dieses bedeutende Gesetzgebungsvorhaben, das bereits im September 2022 von der EU-Kommission vorgestellt wurde, unterstreicht die Dringlichkeit der SBOM-Maßnahme, indem es sie als zentrale Forderung festlegt. In einer Zeit, in der die digitale Sicherheit zu einer globalen Angelegenheit geworden ist, demonstriert diese Aktion des BSI eine klare Entschlossenheit, gemeinsame Standards zu etablieren und die Sicherheit der digitalen Welt auf eine höhere Stufe zu heben.
Diese neueste Richtlinie des BSI fügt sich nahtlos in eine wachsende Liste von gesetzlichen Initiativen ein, welche die Bedeutung der Software Bill of Materials hervorheben. Unter anderem hat die Biden-Administration in den Vereinigten Staaten bereits 2021 eine Executive Order veröffentlicht, die ähnliche Bestimmungen enthält. Diese Entwicklung zeigt, dass die Anerkennung der SBOM als entscheidender Bestandteil der Software-Entwicklung und -Verteilung zunehmend weltweit an Bedeutung gewinnt.
„Schwachstellen in der Software-Lieferkette waren die Ursache für einige der verheerendsten Cybervorfälle, die wir in den letzten Jahren erlebt haben – allen voran Log4j“, kommentiert Venkat Ram Donga, Director of Product Management beim SBOM-Spezialisten Revenera. „Wir beobachten, dass Unternehmen, die SBOMs als Teil ihrer Sicherheitsstrategie einführen, besser in der Lage sind, ihre Software und sich selbst vor potentiellen Cyberangriffen zu schützen. Die Einführung von formellen Standards wie der BSI-Richtlinie sowie die Implementierung von Tools für das automatische Erstellen von Software-Stücklisten sind dafür grundlegend. Damit wird es für Unternehmen zukünftig deutlich einfacher, Best Practices umzusetzen und sicherere Software sowohl bereitzustellen als auch zu nutzen.“
Die Veröffentlichung der BSI-Richtlinie und die Einführung von Software-Stücklisten markieren einen Meilenstein im Streben nach einer sichereren digitalen Landschaft. Durch die klare Dokumentation und Offenlegung von Software-Bestandteilen wird ein wichtiger Schritt unternommen, um die Software-Lieferkette widerstandsfähiger gegenüber Bedrohungen zu machen und das Vertrauen in die digitale Welt zu stärken. Dieser Schritt könnte zukünftig eine tragende Säule für die Gewährleistung der Cyber-Resilienz in einer zunehmend vernetzten und digital abhängigen Gesellschaft darstellen.