Was die SBOM-Richtlinie für Anbieter von Cloud-Diensten bedeutet

Inhaltsverzeichnis

In der digital vernetzten Welt nimmt die Zahl der Hackerangriffe exponentiell zu. Sie verursachen finanzielle Schäden, gefährden die Sicherheit persönlicher Daten und im Extremfall die Versorgungssicherheit – beispielsweise von Strom und Wasser. Hier will die EU mit dem Cyber Resilience Act (CRA) gegensteuern und Hersteller von Produkten mit digitalen Elementen zur Einhaltung gemeinsamer Sicherheitsstandards verpflichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der SBOM-Richtlinie (Software Bill of Materials) nun Empfehlungen formuliert, mit denen Softwarehersteller schon jetzt Transparenz über die verwendeten Komponenten schaffen und sich frühzeitig auf den CRA vorbereiten können.

Eine SBOM ist eine Liste, die alle Bestandteile einer Softwarelösung enthält – und die SBOM-Richtlinie des BSI ist eine Empfehlung, wie diese konkret aussehen sollte. Die Grundidee ist, dass Organisationen von Sicherheitsproblemen oder Attacken betroffene Softwarekomponenten schnell identifizieren und entsprechende Maßnahmen einleiten können. Ausgenutzte Schwachstellen in häufig verwendeten Standardkomponenten wie Log4j oder OpenSSL haben die Bedeutung schneller Reaktionsfähigkeit mehr als deutlich gemacht. Die Umsetzung der SBOM-Richtlinie hilft Unternehmen, die Sicherheit ihrer IT zu verbessern, die Kontrolle über geschäftskritische Anwendungen zu behalten und jederzeit arbeitsfähig, das heißt resilient zu bleiben.

Mehr zu IT-Security

• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 1
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 2
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 3
• Netzwerkanalysewerkzeug BloodHound CE: Beutezug durch die Windows-Domäne
• DORA: Neue Regulierung für mehr Resilienz in der Finanzbranche
• Role Engineering in Aktion
• IT-Sicherheit: Role Engineering für rollenbasierte Zugriffskontrolle
• Was die SBOM-Richtlinie für die Cloud bedeutet
• Online-Erpressung: Wie Cyberkriminelle Gastronomen erpressen
• Eine Security-Einführung für DevOps-Teams und Problemsuche mit OWASP Cumulus
• IT-Sicherheit: Überprüfen von Cloud-Umgebungen
• Selbst Hacking für Unternehmen: Öffentlich zugängliche Informationen sammeln

Jens Plogsties

Jens Plogsties ist CTO von SysEleven und leitet die technische Entwicklung sowie den Bereich Innovation.

Die SBOM-Richtlinie ist sowohl für Anbieter als auch für Nutzer von Cloud-Diensten relevant. Solche Dienste basieren in der Regel auf vielen verschiedenen Microservices und werden mithilfe von Containern auf Basis von Docker oder Kubernetes betrieben. Für Kunden ist es sehr herausfordernd, den Überblick über alle Einzelkomponenten zu behalten. Genau an diesem Punkt setzt das SBOM-Konzept an. Der Kasten "Eckpunkte des SBOM-Konzepts" führt die damit angestrebten Vorteile auf. Die sprechen zwar inhaltlich für sich, jedoch ist das Erstellen und die Pflege einer SBOM keineswegs trivial und setzt umfangreiches Know-how sowie ausreichend personelle Ressourcen voraus.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

Raspi: Eigene Serverdienste mit einem Klick einrichten

Die Software Umbrel ermöglicht, Cloud-Dienste wie Home Assistant mit einem Klick einzurichten. Dadurch wird die Softwareverwaltung auf einem Raspi erleichtert.

---

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

---

Keller trocknen: Das Taupunktlüftungssystem im Smart Home betreiben

Nach dem Hochwasser bleiben oft die Kellerwände feucht. Da hilft das selbstgebaute Taupunkt-Lüftungssystem, hier in der Smart-Home-Version.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Drei Luxusgrafikkarten mit GeForce RTX 4080 Super für 4K und KI im Test

Nvidias GeForce RTX 4080 Super soll stark genug sein für flüssiges Gaming in 4K-Auflösung. Das prüften wir im Testlabor mit drei besonderen Exemplaren.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

Raspi: Eigene Serverdienste mit einem Klick einrichten

Die Software Umbrel ermöglicht, Cloud-Dienste wie Home Assistant mit einem Klick einzurichten. Dadurch wird die Softwareverwaltung auf einem Raspi erleichtert.

---

Vier E-Reader mit Farbdisplay im Test: Entspannt im Freien lesen

E-Book-Reader werden bunt: Wir testen Tolino Shine Color, Pocketbook Era Color, Pocketbook Inkpad Color 3 und Boox Note Air3 C.

---

Keller trocknen: Das Taupunktlüftungssystem im Smart Home betreiben

Nach dem Hochwasser bleiben oft die Kellerwände feucht. Da hilft das selbstgebaute Taupunkt-Lüftungssystem, hier in der Smart-Home-Version.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Drei Luxusgrafikkarten mit GeForce RTX 4080 Super für 4K und KI im Test

Nvidias GeForce RTX 4080 Super soll stark genug sein für flüssiges Gaming in 4K-Auflösung. Das prüften wir im Testlabor mit drei besonderen Exemplaren.