In der heutigen digitalen Landschaft, geprägt von ständigen Herausforderungen wie zunehmenden Hackerangriffen, gewinnt die SBOM-Richtlinie (Software Bill of Materials) zunehmend an Bedeutung. Diese Richtlinie zahlt auf den EU Cyber Resilience Act (CRA) ein. Dieser zielt darauf ab, die Cybersicherheit in der EU zu stärken.
Was ist der Cyber Resilience Act?
Bevor wir uns näher mit der SBOM-Richtlinie befassen, lohnt es sich, einen Blick auf den EU Cyber Resilience Act zu werfen. Der CRA ist ein vorgeschlagener Regulierungsrahmen der Europäischen Union, der darauf abzielt, die Sicherheit digitaler Produkte und Dienstleistungen zu verbessern. Dieser verfolgt das Ziel, einheitliche Sicherheitsstandards für digitale Produkte und Dienstleistungen zu schaffen, um so die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und das Vertrauen in den digitalen Markt zu stärken. Der CRA legt fest, dass Hersteller, Anbieter und Entwickler:innen von Produkten mit digitalen Elementen bestimmte Sicherheitsanforderungen erfüllen und regelmäßig deren Einhaltung nachweisen müssen. Dazu gehört auch Transparenz in Bezug auf verwendete Softwarekomponenten.
Was ist eine SBOM?
Eine Software Bill of Material (SBOM) ist eine detaillierte Auflistung aller Bestandteile einer Software-Lösung. Die SBOM-Richtlinie ist eine Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzt damit die Vorgaben bei der Förderung der Cybersicherheit im Rahmen des CRA um. Die SBOM-Richtlinie ist besonders relevant, da ihre Dienste oft auf einer Vielzahl von Microservices und Container-Technologien wie Docker oder Kubernetes basieren. Diese komplexe Architektur erfordert eine transparente Auflistung aller Komponenten und regelmäßige Aktualisierungen der SBOMs.
Wesentliche Merkmale des SBOM-Konzepts
Transparenz und Vertrauensbildung
Erhöhung der Sicherheit
Eine SBOM ist ein entscheidendes Instrument zur Identifikation von Sicherheitsrisiken in Cloud-Software. Wenn eine Open-Source-Komponente eine bekannte Schwachstelle aufweist, ermöglicht eine SBOM es dem Unternehmen, betroffene Anwendungen oder Container rasch zu identifizieren und angemessen zu reagieren, beispielsweise durch das Einspielen eines Patches.
Vergleichsmöglichkeiten
SBOMs erlauben Kund:innen die Angebote verschiedener Cloud-Anbieter zu vergleichen. Sie können schnell erkennen, ob Risiken eines Vendor Lock-ins bestehen oder ob ein Wechsel zu einem anderen Cloud-Provider mit wenig Aufwand möglich ist.
Lizenzmanagement
Besonders bei Open-Source-Komponenten mit verschiedenen Lizenztypen und Nutzungsbedingungen ist eine SBOM hilfreich. Sie unterstützt Unternehmen dabei, rechtliche Risiken zu minimieren und Lizenzverstöße zu vermeiden.
Wiederherstellung der Betriebsfähigkeit
Im Falle eines Sicherheitsvorfalls oder einer Betriebsstörung ist es für Unternehmen wichtig zu wissen, welche Komponenten betroffen sind und welche Auswirkungen dies haben könnte. Eine SBOM bietet einen schnellen Überblick in solchen Situationen, erleichtert den Übergang in den Notfallbetrieb, unterstützt Wiederherstellungsprozesse und trägt zur schnelleren Behebung von Problemen bei.
Die technischen Herausforderungen liegen in der Komplexität
Kernsysteme wie Docker und Kubernetes beinhalten zahlreiche Anwendungen und Abhängigkeiten, die gemäß der SBOM-Richtlinie umfassend dokumentiert werden müssen. Zudem unterliegen Cloud-Umgebungen einer ständigen Entwicklung, mit regelmäßigen Weiterentwicklungen und Updates von Anwendungen. Dies bedeutet, dass die Erstellung einer SBOM kein einmaliger Vorgang ist, sondern kontinuierlich wiederholt werden muss, um aktuell zu bleiben.
Eine weitere Herausforderung stellt die Verwendung vordefinierter Container-Images dar. Diese sind in ihrer Prüfung oft nicht standardisiert, was die Nachvollziehbarkeit erschwert. Eine gründliche Untersuchung dieser Images, einschließlich der eingesetzten Bibliotheken und Frameworks sowie aller Abhängigkeiten, ist daher unabdingbar. Am Ende des Artikels stellen wir Dir diverse hilfreicher Tools für diesen Zweck vor. Zusätzlich müssen alle Lizenzen, deren Bedingungen und mögliche Konflikte genau geprüft werden. Es ist notwendig zu überprüfen, ob es Änderungen im Lizenzmodell gibt oder ob bestimmte Komponenten eventuell nicht mehr weiterentwickelt werden. Die Erstellung einer SBOM ist somit ein umfassender Prozess, der ohne die geeigneten Werkzeuge nicht effizient und wirtschaftlich durchführbar ist.
Organisatorische Herausforderungen bei der Implementierung der SBOM-Richtlinie
Die Implementierung und fortlaufende Aktualisierung einer SBOM führt zu einer deutlich erhöhten Belastung für IT-Abteilungen und andere Fachbereiche. Unternehmen sehen sich gezwungen, wesentliche Anpassungen in ihren Softwareentwicklungsprozessen und im Lebenszyklus der Software vorzunehmen. Aufgrund des Mangels an etablierten Best Practices müssen sie eigenständig entsprechende Veränderungsprozesse einleiten und bewerten. Zudem ist der Aufbau von Kompetenzen und Prozessen erforderlich, um SBOMs gemäß den Empfehlungen des BSI sowie den Anforderungen des in Entwicklung befindlichen EU Cyber Resilience Act zu bewerten.
Um eine SBOM gemäß den BSI-Richtlinien erfolgreich zu erstellen, reicht technisches Wissen allein nicht aus. Notwendig sind Informationen und Fähigkeiten aus verschiedenen Bereichen, darunter Compliance, Produkt- und Projektmanagement sowie Beschaffung. Die Gesamtverantwortung für die Erstellung und Pflege der SBOM sollte idealerweise einem multidisziplinären Team übertragen werden, das aus Mitgliedern unterschiedlicher Fachbereiche besteht. Viele Organisationen müssen solche Teams erst noch formen und entwickeln, da sie bisher in dieser Form nicht existieren. Diese Teams übernehmen gemeinsam die Verantwortung für die SBOM, um eine effektive und umfassende Implementierung sicherzustellen.
Zusammenfassung der Bedeutung der SBOM-Richtlinie
Unternehmen, die Cloud-Anwendungen auf Basis von Docker und Kubernetes nutzen oder planen, stehen mit der SBOM-Richtlinie des BSI vor wichtigen Anforderungen. Diese Richtlinie ist entscheidend für die Gewährleistung von Sicherheit und Transparenz in der Softwarelieferkette und fördert den Aufbau von Resilienz. Zugleich stellt die Einhaltung der BSI-Empfehlungen eine effektive Vorbereitung auf den anstehenden EU Cyber Resilience Act (CRA) dar. Daher ist es für betroffene Unternehmen ratsam, möglichst früh mit der Implementierung der SBOM-Richtlinie zu beginnen und sicherzustellen, dass sie über die erforderlichen Werkzeuge und Prozesse zur Erstellung und Pflege einer SBOM verfügen.
Es ist wesentlich, dass Organisationen die SBOM-Richtlinie nicht als bloße zusätzliche Compliance-Anforderung sehen, sondern als Gelegenheit, die Sicherheit ihrer Softwarelieferkette zu stärken. Die frühe Umsetzung dieser Richtlinie verbessert nicht nur ihre eigene Sicherheit und Resilienz, sondern ermöglicht auch durch neu strukturierte Prozesse und die gesammelten Erfahrungen eine schnellere Anpassung an zukünftige Regularien. Führungskräfte sollten den damit verbundenen Aufwand nicht unterschätzen und die nötige Zuweisung von Fachkräften sowie finanziellen Ressourcen in ihre strategische Planung einbeziehen.