Home » News » SBOM: Neue BSI-Richtlinie stärkt Sicherheit in der Software-Lieferkette

SBOM: Neue BSI-Richtlinie stärkt Sicherheit in der Software-Lieferkette

Mit Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ hat das BSI am 4. August erstmals Vorgaben für die Software-Stücklisten (SBOM) vorgelegt. Die formellen wie fachlichen Empfehlungen sollen die Sicherheit in der Software-Supply Chain verbessern und Software-Herstellern bei der Erstellung von Stücklisten helfen.

2 Min. Lesezeit
Infinity Symbol
Foto: ©AdobeStock/pickup

Die Konzeption einer „Software Bill of Materials“ (SBOM) erweist sich als essentiell, um Licht in den oft undurchsichtigen Dschungel der Software-Bestandteile zu bringen. Sie fungiert gewissermaßen als Dokumentation eines komplexen Puzzlesystems, welche die einzelnen kommerziellen und freien Software-Komponenten, die in einem Software-Produkt eingebettet sind, akribisch auflistet und beschreibt. Diese Auflistung reicht jedoch über bloße Aufzählung hinaus, da sie auch Informationen über die Lizenzierung, Versionen und Herkunft der jeweiligen Bestandteile beinhaltet. Ein bemerkenswerter Aspekt ist die detaillierte Verknüpfung zu Dritt-Komponenten, was letztendlich ein klares Bild über die Abhängigkeiten innerhalb der Software schafft. Dieses Verständnis wird durch die Offenlegung der genutzten Source Libraries und Drittanbieter-Bibliotheken weiter vertieft.

Vor dem Hintergrund rapide zunehmender Cyberangriffe und Software-Schwachstellen ist die SBOM ein dringend benötigtes Instrument. Sie wirft Licht auf die Schattenseiten der Software-Landschaft, indem sie die Verbindungslinien zu Dritt-Komponenten beleuchtet, die oft unbemerkt Sicherheitsrisiken bergen können. Dieses neue Maß an Transparenz gibt nicht nur den Software-Herstellern die Möglichkeit, ihre Produkte besser zu überwachen und abzusichern, sondern auch Sicherheitsforschern und erfahrenen Nutzern. Die SBOM wird somit zu einem unschätzbaren Hilfsmittel bei der Identifizierung von Schwachstellen und der Prävention von Sicherheitslücken.

Es ist besonders aufschlussreich, die Implementierung der Software-Stücklisten im Kontext des europäischen Cyber Resilience Act (CRA) zu betrachten. Dieses bedeutende Gesetzgebungsvorhaben, das bereits im September 2022 von der EU-Kommission vorgestellt wurde, unterstreicht die Dringlichkeit der SBOM-Maßnahme, indem es sie als zentrale Forderung festlegt. In einer Zeit, in der die digitale Sicherheit zu einer globalen Angelegenheit geworden ist, demonstriert diese Aktion des BSI eine klare Entschlossenheit, gemeinsame Standards zu etablieren und die Sicherheit der digitalen Welt auf eine höhere Stufe zu heben.

Diese neueste Richtlinie des BSI fügt sich nahtlos in eine wachsende Liste von gesetzlichen Initiativen ein, welche die Bedeutung der Software Bill of Materials hervorheben. Unter anderem hat die Biden-Administration in den Vereinigten Staaten bereits 2021 eine Executive Order veröffentlicht, die ähnliche Bestimmungen enthält. Diese Entwicklung zeigt, dass die Anerkennung der SBOM als entscheidender Bestandteil der Software-Entwicklung und -Verteilung zunehmend weltweit an Bedeutung gewinnt.

„Schwachstellen in der Software-Lieferkette waren die Ursache für einige der verheerendsten Cybervorfälle, die wir in den letzten Jahren erlebt haben – allen voran Log4j“, kommentiert Venkat Ram Donga, Director of Product Management beim SBOM-Spezialisten Revenera. „Wir beobachten, dass Unternehmen, die SBOMs als Teil ihrer Sicherheitsstrategie einführen, besser in der Lage sind, ihre Software und sich selbst vor potentiellen Cyberangriffen zu schützen. Die Einführung von formellen Standards wie der BSI-Richtlinie sowie die Implementierung von Tools für das automatische Erstellen von Software-Stücklisten sind dafür grundlegend. Damit wird es für Unternehmen zukünftig deutlich einfacher, Best Practices umzusetzen und sicherere Software sowohl bereitzustellen als auch zu nutzen.“

Die Veröffentlichung der BSI-Richtlinie und die Einführung von Software-Stücklisten markieren einen Meilenstein im Streben nach einer sichereren digitalen Landschaft. Durch die klare Dokumentation und Offenlegung von Software-Bestandteilen wird ein wichtiger Schritt unternommen, um die Software-Lieferkette widerstandsfähiger gegenüber Bedrohungen zu machen und das Vertrauen in die digitale Welt zu stärken. Dieser Schritt könnte zukünftig eine tragende Säule für die Gewährleistung der Cyber-Resilienz in einer zunehmend vernetzten und digital abhängigen Gesellschaft darstellen.

Zahnräder
Quelle: vladimircaribb / Adobe Stock

Andere interessante News

Forklift

Zentralisiertes Sicherheitsmanagement soll Frachtdiebstähle eindämmen

In Deutschland werden jährlich die Ladungen von rund 26.000 LKWs gestohlen, was zu direkten Warenschäden von 1,3 Milliarden Euro führt. Zusätzlich entstehen durch Lieferverzögerung...

Airbus Flugzeug

INFODAS jetzt Tochtergesellschaft von Airbus

Meilenstein in der 50-jährigen Firmengeschichte: Die INFODAS GmbH wird Tochtergesellschaft von Airbus, behält jedoch ihr Branding und alle Geschäftsprozesse bei. Die behördlichen G...

Feuerwehr Sperrzone

Blaulichtnavigation bei der Berufsfeuerwehr: Optimierte Einsatzfahrten

In Zusammenarbeit mit RTM Informationstechnologie und InfoWare startete abel & käufl ein Pilotprojekt bei der Berufsfeuerwehr Frankfurt. Dabei wird das Funkbedien- und Einsatznavig...