BOM: Mehr Transparenz mit Softwarestücklisten!

Mittlerweile hängen Firmen mehr als je von einer verlässlichen wie auch sicheren Softwareinfrastruktur ab. Mit zunehmender Vielschichtigkeit und Dependenz von Drittanbieterkomponenten in Softwarelösungen steigen aber ebenso die Sicherheitsrisiken. Ein möglicher Ansatz zur Bewältigung jener Herausforderung ist die Einführung einer Software Bill of Materials (SBOM). Im folgenden Beitrag wird beschrieben, was sich hinter diesem Begriff versteckt, welche gesetzlichen Anforderungen und Vorschriften bezüglich der Software Bill of Materials existieren und wie deutsche Firmen von ihrer Einführung einen Nutzen ziehen können.

Softwarelösungen und Softwarekomponenten sind heutzutage ein integraler Teil des Geschäftsalltags. Von einer Automatisierung von Arbeitsabläufen über die Auswertung großer Datenmengen bis hin zur Entfaltung von Produkten und Dienstleistungen ermöglichen sie Unternehmen, effizienter und agiler zu arbeiten. Sie unterstützen die Entstehung neuartiger Geschäftsmodelle und supporten dabei, sich schnell an Veränderungen in der Marktlandschaft anzugleichen. Darüber hinaus bilden sie das Fundament für die digitalen Prozesse und Innovationen, die Firmen jeglicher Sektoren sowie Größen voranbringen.

Mit der zunehmenden Kompliziertheit und Dependenz von Software sind aber ebenso neue Problemstellungen und Risiken entstanden, insbesondere in Hinblick auf IT-Sicherheit, Datenschutz sowie die Beachtung rechtmäßiger sowie regulatorischer Anforderungen. Firmen sind daher gefordert, frühzeitig Maßnahmen zu erfassen, um die Softwarelandschaft sicherer zu konzipieren und ihre Abhängigkeit von Drittanbieterkomponenten zu mindern.

An dieser Stelle bietet sich die Einführung der Software Bill of Materials (kurz SBOM) an.

Die Bedeutung von SBOM

Die Software Bill of Materials oder SBOM ist, wie auch der Name bereits andeutet, eine Auflistung sämtlicher in einer Softwareanwendung eingesetzten Elemente und Abhängigkeiten. Diese offeriert einen umfassenden Gesamtüberblick über die unterschiedlichen Softwarebestandteile, inkl. proprietärer und Open-Source-Komponenten, Bibliotheken, Frameworks und anderer erforderlicher Ressourcen, welche für die Entwicklung sowie den Betrieb der Anwendung notwendig sind. Darüber hinaus enthält sie Auskünfte über die verwendeten Softwarekomponenten selbst, deren Versionen, Herkunft, Lizenzen und bekannte Schwachpunkte.

Neue Gesetze für die digitale Sicherheit: Software Bill of Materials im Fokus!

Die Bedeutung der Software Bill of Materials hat in jüngster Zeit aufgrund der alarmierenden Zunahme von Sicherheitsvorfällen sowie Internetangriffen enorm zugenommen. Böswillige Bedrohungsakteure machen sich häufig die Anwendung von Open-Source-Komponenten mit vertrauten Sicherheitslücken zunutze. Eine vor kurzem durchgeführte Studie von Synopsys ergab zum Beispiel, dass in 84 Prozent der analysierten Codebasen mindestens eine Open-Source-Komponente mit einer bekannten Sicherheitslücke involviert war. Das gibt Angreifern ein riesiges Potenzial für Angriffe. Als Reaktion auf diese Bedrohung hat die Regierung der Vereinigten Staaten die obligatorische Verwendung einer Software Bill of Materials etabliert. Jene Initiative zielt hierauf ab, die Transparenz sowie Sicherheit in der Softwareentwicklung und -verwaltung zu erhöhen und mögliche Risiken rechtzeitig zu erkennen. Die Executive Order 14028 des Weißen Hauses, die darauf aus ist, die nationale Cybersicherheit zu stärken, verlangt die Verwendung einer Software Bill of Materials für sämtliche Softwareprodukte, welche von Regierungsbehörden der USA verwendet werden. Durch die Optimierung der Durchsichtigkeit sowie Rückverfolgbarkeit von Softwarekomponenten können Sicherheitslücken besser identifiziert wie auch beseitigt werden. Ähnliche Dynamiken sind auch in Deutschland zu beobachten, wo neue Vorschriften im Rahmen des novellierten IT-Sicherheitsgesetzes 2.0 (kurz IT-SiG 2.0) debattiert werden. Jene Gesetzesänderung würde Betreiber kritischer Infrastrukturen (kurz KRITIS), Bundesbehörden und Firmen von besonderem öffentlichem Interesse wie auch deren Zulieferer dazu anhalten, eine Software Bill of Materials zu verwenden. Obwohl es gegenwärtig in Deutschland keinerlei explizite gesetzliche Pflicht zur Nutzung einer Software Bill of Materials hat, könnten künftige Gesetzesänderungen und Initiativen dies ändern und somit den Schutz vor Sicherheitsrisiken.

Die Vorteile von Software Bill of Materials auf einen Blick!

Die Relevanz der Software Bill of Materials geht jedoch weit über die gesetzlichen Vorgaben hinaus. Immer mehr Unternehmen, inkl. deutscher Unternehmen, erkennen den Vorteil einer umfassenden Transparenz wie auch Rückverfolgbarkeit von Softwarekomponenten.

An dieser Stelle sind einige der wichtigsten Vorteile einer Einführung einer Software Bill of Materials:

• Frühzeitige Identifizierung von Sicherheitslücken und Schwachstellen: Eine detaillierte Aufschlüsselung der verwendeten Komponenten plus ihrer Versionen ermöglicht Unternehmen, potenzielle Sicherheitslücken und Schwachstellen frühzeitig zu erkennen. Dies kann hierzu führen, Cyberangriffe sowie Sicherheitsverletzungen zu umgehen oder zumindest deren Auswirkungen zu verkleinern.
• Verbesserte Compliance: Die Einhaltung von Sicherheitsstandards wie auch Regularien, sowohl auf nationaler als auch internationaler Stufe, ist für Unternehmen von entscheidender Relevanz. Die Einführung einer Software Bill of Materials kann Unternehmen dabei unterstützen, Compliance-Anforderungen besser einzuhalten und etwaige rechtliche Folgen oder Sanktionen zu umgehen.
• Effizientere Risikobewertung und effizienteres Risikomanagement: Durch mehr Durchsichtigkeit wie auch Kontrolle über die Software-Lieferkette können Firmen Gefahren effektiver einschätzen und regeln. Durch die Identifikation und Priorisierung von Gefahren können Unternehmen genaue Maßnahmen ergreifen, um ihre IT-Systeme zu schützen und die Sicherheit der Softwareanwendungen zu gewährleisten.
• Kostenreduzierung: Die Umgehung von Sicherheitsvorfällen und daraus resultierenden Schäden und Verlusten kann enorme Ausgaben für Unternehmen einsparen.

Durch die Implementierung einer Software Bill of Materials können Firmen proaktiv Sicherheitslücken verschließen und demnach potenzielle Schädigungen verringern. Aber wie lässt sich Software Bill of Materials nun implementieren?

Von der Idee zur Umsetzung: Wie Unternehmen Software Bill of Materials erfolgreich einführen können!

Die Implementierung einer Software Bill of Materials kann je nach Firma und ihren individuellen Anforderungen unterschiedlich sein, aber hier sind einige grundlegende Schritte, die Unternehmen in der Regel befolgen: 

• Bestandsaufnahme bestehender Software: Der allererste Schritt liegt darin, eine vollständige Erfassung aller existierenden Software und Systeme zu machen. Hierbei ist es elementar, sowohl innere und auch externe Softwareanwendungen zu beachten.
• Identifizierung der Softwarekomponenten: Anschließend müssen die jeweiligen Komponenten jeder Software ermittelt werden. Das umfasst nicht bloß die Hauptsoftware, sondern auch jegliche zugehörigen Bibliotheken, Frameworks sowie Abhängigkeiten. 
• Erstellung einer Software Bill of Materials: Sobald alle Komponenten ermittelt sind, kann die Software Bill of Materials angefertigt werden. Diese sollte Informationen über jeden Bestandteil, seine Version, dessen Herkunft sowie seine Beziehungen zu anderen Komponenten enthalten.
• Regelmäßige Aktualisierung und Überprüfung der Software Bill of Materials: Die Software Bill of Materials ist kein statisches Dokument, sondern sollte in regelmäßigen Abständen erneuert und überprüft werden. Jede Änderung an der Software, sei es durch Updates, Patches oder das Hinzufügen neuartiger Funktionen, muss in der Software Bill of Materials reflektiert werden. 
• Integration in bestehende Sicherheitsprozesse: Schlussendlich sollte die Software Bill of Materials in die vorhandenen Sicherheitsprozesse der Firma integriert werden. Sie kann als Teil des Risikomanagements, der Incident Response sowie der Compliance-Überwachung dienen.

Fazit: SBOMs: Die Lösung für komplexe Software-Lieferketten!

Tatsache ist: Die Softwarelandschaft ist heute der Dreh- und Angelpunkt für den unternehmerischen Gewinn. In einer Zeit, in welcher Internetsicherheit wie auch Vertrauen stets relevanter werden, avanciert die Software Bill of Materials zu einem fundamentalen Baustein, um den wachsenden Anforderungen an IT-Sicherheit wie auch IT-Compliance adäquat zu werden. Firmen, welche den inhärenten Wert der SBOM begreifen sowie in eine proaktive Umsetzung investieren, bestärken nicht bloß ihre Software-Lieferkette. Sie sichern zugleich ihre Wettbewerbsposition und garantieren ihren dauerhaften Erfolg in der digitalen Ära. Wollen auch Sie die Sicherheit Ihrer Softwarelandschaft optimieren? Oder haben Sie noch Anliegen zum Thema? Kontaktieren Sie uns gerne!