Was die SBOM-Richtlinie fĂĽr Anbieter von Cloud-Diensten bedeutet

In seiner SBOM-Richtlinie gibt das BSI Empfehlungen, wie sich Software-Hersteller auf die Umsetzung des Cyber Resilience Acts vorbereiten können. Ein Überblick.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 9 Min.
Von
  • Jens Plogsties
Inhaltsverzeichnis

In der digital vernetzten Welt nimmt die Zahl der Hackerangriffe exponentiell zu. Sie verursachen finanzielle Schäden, gefährden die Sicherheit persönlicher Daten und im Extremfall die Versorgungssicherheit – beispielsweise von Strom und Wasser. Hier will die EU mit dem Cyber Resilience Act (CRA) gegensteuern und Hersteller von Produkten mit digitalen Elementen zur Einhaltung gemeinsamer Sicherheitsstandards verpflichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der SBOM-Richtlinie (Software Bill of Materials) nun Empfehlungen formuliert, mit denen Softwarehersteller schon jetzt Transparenz über die verwendeten Komponenten schaffen und sich frühzeitig auf den CRA vorbereiten können.

Eine SBOM ist eine Liste, die alle Bestandteile einer Softwarelösung enthält – und die SBOM-Richtlinie des BSI ist eine Empfehlung, wie diese konkret aussehen sollte. Die Grundidee ist, dass Organisationen von Sicherheitsproblemen oder Attacken betroffene Softwarekomponenten schnell identifizieren und entsprechende Maßnahmen einleiten können. Ausgenutzte Schwachstellen in häufig verwendeten Standardkomponenten wie Log4j oder OpenSSL haben die Bedeutung schneller Reaktionsfähigkeit mehr als deutlich gemacht. Die Umsetzung der SBOM-Richtlinie hilft Unternehmen, die Sicherheit ihrer IT zu verbessern, die Kontrolle über geschäftskritische Anwendungen zu behalten und jederzeit arbeitsfähig, das heißt resilient zu bleiben.

Mehr zu IT-Security
Jens Plogsties

Jens Plogsties ist CTO von SysEleven und leitet die technische Entwicklung sowie den Bereich Innovation.

Die SBOM-Richtlinie ist sowohl fĂĽr Anbieter als auch fĂĽr Nutzer von Cloud-Diensten relevant. Solche Dienste basieren in der Regel auf vielen verschiedenen Microservices und werden mithilfe von Containern auf Basis von Docker oder Kubernetes betrieben. FĂĽr Kunden ist es sehr herausfordernd, den Ăśberblick ĂĽber alle Einzelkomponenten zu behalten. Genau an diesem Punkt setzt das SBOM-Konzept an. Der Kasten "Eckpunkte des SBOM-Konzepts" fĂĽhrt die damit angestrebten Vorteile auf. Die sprechen zwar inhaltlich fĂĽr sich, jedoch ist das Erstellen und die Pflege einer SBOM keineswegs trivial und setzt umfangreiches Know-how sowie ausreichend personelle Ressourcen voraus.

Das war die Leseprobe unseres heise-Plus-Artikels "Was die SBOM-Richtlinie für Anbieter von Cloud-Diensten bedeutet". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.