Mit Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ hat das BSI am 4. August erstmals Vorgaben für die Software-Stücklisten (SBOM) vorgelegt. Ein Kommentar von Venkat Ram Donga, Director of Product Management beim SBOM-Spezialisten Revenera.
Die formellen wie fachlichen Empfehlungen sollen die Sicherheit in der Software-Supply Chain verbessern und Software-Herstellern bei der Erstellung von Stücklisten helfen. SBOMs sind eine Art Inventarliste, in der nicht nur alle in einer Software eingesetzten Code-Komponenten – einschließlich Lizenzierung, Versionen und Herkunft – festgehalten sind. Auch Abhängigkeiten zu Dritt-Komponenten sowie die von den Entwicklern genutzten Source Libraries und Drittanbieter-Bibliotheken werden aufgeführt. Das soll Transparenz schaffen und das Monitoring von Schwachstellen vereinfachen.
Die neue Richtlinie des BSI reiht sich in eine lange Liste an gesetzlichen Initiativen ein, die die Software Bill of Materials zur Pflicht-Aufgabe für Software-Hersteller erklären. Dazu gehört u. a. der im September 2022 vorgelegte EU-Entwurfs des Cyber Resilience Act (CRA) sowie die in den USA seit 2021 veröffentlichte Executive Order (EO) der Biden-Administration.
Schwachstellen in der Software-Lieferkette waren die Ursache für einige der verheerendsten Cybervorfälle, die wir in den letzten Jahren erlebt haben – allen voran Log4j. Wir beobachten, dass Unternehmen, die SBOMs als Teil ihrer Sicherheitsstrategie einführen, besser in der Lage sind, ihre Software und sich selbst vor potentiellen Cyberangriffen zu schützen. Die Einführung von formellen Standards wie der BSI-Richtlinie sowie die Implementierung von Tools für das automatische Erstellen von Software-Stücklisten sind dafür grundlegend. Damit wird es für Unternehmen zukünftig deutlich einfacher, Best Practices umzusetzen und sicherere Software sowohl bereitzustellen als auch zu nutzen.