Was die SBOM-Richtlinie für die Cloud bedeutet
Mit dem Cyber Resilience Act (CRA) will die EU Hersteller von Produkten mit digitalen Elementen zu mehr Sicherheit verpflichten. In seiner SBOM-Richtlinie gibt das BSI Empfehlungen, wie sich Softwarehersteller darauf vorbereiten können. Doch was bedeutet das für Cloud-Anbieter und deren Kunden?
In der digital vernetzten Welt nimmt die Zahl der Hackerangriffe exponentiell zu. Sie verursachen finanzielle Schäden, gefährden die Sicherheit persönlicher Daten und im Extremfall die Versorgungssicherheit – beispielsweise von Strom und Wasser. Hier will die EU mit dem Cyber Resilience Act (CRA) gegensteuern und Hersteller von Produkten mit digitalen Elementen zur Einhaltung gemeinsamer Sicherheitsstandards verpflichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der SBOM-Richtlinie (Software Bill of Materials) nun Empfehlungen formuliert, mit denen Softwarehersteller schon jetzt Transparenz über die verwendeten Komponenten schaffen und sich frühzeitig auf den CRA vorbereiten können.
Eine SBOM ist eine Liste, die alle Bestandteile einer Softwarelösung enthält – und die SBOM-Richtlinie des BSI ist eine Empfehlung, wie diese konkret aussehen sollte (siehe ix.de/z39u). Die Grundidee ist, dass Organisationen von Sicherheitsproblemen oder Attacken betroffene Softwarekomponenten schnell identifizieren und entsprechende Maßnahmen einleiten können. Ausgenutzte Schwachstellen in häufig verwendeten Standardkomponenten wie Log4j oder OpenSSL haben die Bedeutung schneller Reaktionsfähigkeit mehr als deutlich gemacht. Die Umsetzung der SBOM-Richtlinie hilft Unternehmen, die Sicherheit ihrer IT zu verbessern, die Kontrolle über geschäftskritische Anwendungen zu behalten und jederzeit arbeitsfähig, das heißt resilient zu bleiben.