Software-Inventarliste für Clients wird Pflicht
Laut Onekey soll der EU Cyber Resilience Act Unternehmen verpflichten, eine so genannte Software Bill of Materials (SBOM) zu führen. Die Inventarliste soll dokumentieren, welche Applikationen in einem Gerät enthalten sind und im besten Fall Schwachstellen transparent machen.
Alle kommenden IT-Sicherheitsgesetze, so auch der EU Cyber Resilience Act (CRA-E), würden vorsehen, dass Unternehmen künftig eine "Software Bill of Materials (SBOM)" führen und nachweisen müssten, welche Softwarekomponenten in einem Gerät enthalten sind. Darauf macht Jan Wendenburg aufmerksam. "Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware bzw. Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar", so der CEO von Onekey.
Der auf IT und OT spezialisierte SaaS-Anbieter betreibt Dienste, die eine automatisierte Prüfung und Risikobewertung der Software von Geräten vornehmen würden. Damit ließen sich laut Anbieter auch eine SBOM, also Software-Stückliste, erstellt.
SBOM würde für transparente Software-Lieferketten und Verantwortlichkeit in der Softwareproduktion und -distribution sorgen. Richtlinien dazu gäbe es bereits, im EU Cyber Resilience Act würden sie dann "gesetzlich verpflichtend festgeschrieben werden", so Wendenburg.
Laut dem Manager eine sinnvolle Maßnahme, denn immer fänden Cybersecurity-Experten seines Unternehmens Zero Day-Schwachstellen in IoT oder OT-Technologie, "die jahrelang völlig unter dem Radar geflogen sind".
BSI: SBOM ist zentrale Sicherheitskomponente
Auch das Bundesamt für Sicherheit in der Informationstechnik BSI weise mit der Technischen Richtlinie TR-03183 auf die Bedeutung von SBOMs hin, so Onekey. Diese sollen laut BSI bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität der eingesetzten Programme transparent darstellen zu können. Dieses Wissen sei für Managementprozesse wie den Produktlebenszyklus und insbesondere für einen durchgängigen IoT/ OT Cybersicherheitsprozess unabdingbar. Die Software Bill of Materials dient als transparente Dokumentation der Software-Lieferkette.
"Die Erstellung und laufende Pflege der SBOM muss zum Teil des Workflows werden - sowohl in der Entwicklung (CI/CD Pipeline) als auch im Vertrieb und im laufenden Betrieb (PSIRT Teams) von IoT und OT-Technologie", so Wendenburg. "Die automatische Erstellung der SBOM hilft sowohl bei Audits, aber vor allem auch im Krisenfall, wenn Nachweispflichten entstehen."