SBOMs und der EU Cyber Resilience Act: So erfüllen Sie die neuen Compliance-Anforderungen

Kernaussagen 

• SBOMs erhöhen die Transparenz, indem sie ein strukturiertes Inventar von Softwarekomponenten bereitstellt und die Grundsätze von Security-by-Design unterstützt 
• Der EU Cyber Resilience Act schreibt SBOMs als Teil der Sicherheits- und Compliance-Verpflichtungen für Produkte mit digitalen Elementen vor 
• TR-03183 verlangt, dass SBOMs maschinenlesbar (JSON/XML) und konform zu SPDX oder CycloneDX 1.5+ sind, was eine automatisierte Handhabung von Schwachstellen erleichtert 
• SBOMs enthalten keine Schwachstelleninformationen, erleichtern aber externe Schwachstellenbewertungen (z.B. VEX, CSAF) als Teil von Risikobewertungsprozessen 
• CLOUDYRION unterstützt Unternehmen bei der Implementierung von SBOMs, kryptografischen Signaturen und Compliance-Maßnahmen zur Erfüllung der EU CRA Anforderungen. 

Eine der größten Herausforderungen von Softwaresicherheit ist die mangelnde Transparenz von Drittanbietern und ihren Abhängigkeiten. Viele Unternehmen sind auf Softwarekomponenten von Drittanbietern angewiesen, haben aber keinen vollständigen Überblick über den Inhalt dieser Anwendungen. Das erschwert es, Schwachstellen zu erkennen und auf sie reagieren, wodurch sich das Risiko von Cyberangriffen erhöht. Der EU CRA geht auf diese Risiken ein, indem er eine transparente Software-Sicherheitsdokumentation vorschreibt, zu der auch obligatorische SBOMs als Eckpfeiler der Lieferketten-Sicherheit gehören.  

Ohne strukturierte SBOMs ist es für Unternehmen schwierig: 

• Schwachstellen wirksam zu erkennen und auf sie zu reagieren, einschließlich aktiv ausgenutzter Schwachstellen 
• gesetzlichen Anforderungen, wie sie in der NIS2-Richtlinie festgelegt sind, einzuhalten  
• Software-Integrität und –Sicherheit gewährleisten, die Schlüsselaspekte der „Secure-by-Default“-Prinzipien sind 

Um diese Probleme zu lösen, schreibt die TR-03183 des BSI ein maschinenverarbeitbares SBOM-Format vor, das kryptographische Integrität, Metadatenverfolgung und strukturierte Abhängigkeiten umfasst. Dieser Ansatz steht im Einklang mit dem europäischen Zertifizierungssystem für Cybersicherheit und unterstützt die von der CRA geforderten Konformitätsbewertung. Durch die Implementierung von SBOM-Praktiken können Unternehmen demnach eine höhere Sicherheit, die Einhaltung von Vorschriften und eine Risikominderung im Einklang mit der CRA und anderen horizontalen Cybersicherheitsanforderungen erreichen. 

Welche Rolle SBOMs bei Einhaltung von Vorschriften spielen 

Eine Software-Stückliste ist im Wesentlichen ein detailliertes Inventar von Softwarekomponenten, ähnlich einer Zutatenliste für Software. Die TR-03183 definiert SBOM als ein maschinenlesbares Dokument, das eine automatisierte Sicherheitsverarbeitung unterstützt, was für die Verwaltung der Angriffsfläche von Produkten mit digitalen Elementen entscheidend ist.  

Verpflichtende SBOM-Elemente nach TR-03183-2  

Eine konforme SBOM muss folgende Elemente enthalten: 

• Komponentenname & Version zur Sicherstellung der Rückverfolgbarkeit von Abhängigkeiten 
• Ersteller der Komponente (URL oder E-Mail des Herstellers/Lieferanten) zur Identifizierung der Softwarequellen 
• Lizenzierungsinformationen (sowohl deklarierte als auch beschlossene Lizenzabkommen) 
• Kryptographischer Hash (SHA-512) zur Sicherstellung der Integrität der einsatzfähigen Komponenten 
• Dateieigenschaften (ob die Komponente ausführbar, ein Archiv oder strukturiert ist) 
• Zeitstempel (Datum und Uhrzeit der SBOM-Erstellung) 
• Dependency Tracking mindestens bis zur ersten externen Komponente 
• Ohne diese Pflichtfelder erfüllt eine SBOM nicht die Anforderungen der TR-03183 und damit auch nicht die des CRA. 

Gängige SBOM-Formate  

Um Kompatibilität zu gewährleisten, müssen SBOMs darüber hinaus in JSON oder XML formatiert sein und einem dieser Standards folgen:  

• CycloneDX (Version 1.5 oder höher)  
  • Konzentriert sich auf Sicherheitsanwendungen (bevorzugt für die Einhaltung der CRA-Vorschriften).  
• SPDX (Version 2.2.1 oder höher)  
  • Weit verbreitet für Softwarepaketbeschreibungen und Lizenzierung.  
• SWID Tags  
  • Weniger verbreitet, aber in Unternehmen verwendet. 

SBOM und VEX (TR-03183 Compliance)  

Ein weit verbreiteter Irrglaube ist, dass SBOMs Schwachstellendaten enthalten. Die BSI TR-03183 besagt jedoch ausdrücklich, dass SBOMs keine Informationen über Schwachstellen enthalten müssen. Diese Trennung unterstützt einen effektiveren Umgang mit Schwachstellen. Stattdessen sollten Organisationen SBOMs mit separaten Schwachstellenberichten kombinieren:  

• VEX (Vulnerability Exploitability eXchange): Liefert Informationen darüber, ob eine Schwachstelle ausnutzbar ist.  
• CSAF (Common Security Advisory Framework): Ein standardisiertes Format für Sicherheitshinweise.  

Als Best Practice empfehlen wir die Verwendung von SBOMs für die Komponententransparenz in Kombination mit VEX für die Analyse der Auswirkungen von Schwachstellen. 

Integration von SBOMs in CI/CD-Pipelines  

SBOMs sollten in den Software-Lebenszyklus integriert werden, um sicherzustellen, dass sie in jeder Build-Phase automatisch erstellt und aktualisiert werden. Durch die kontinuierliche Überwachung von Abhängigkeiten und die Validierung von SBOMs mit Tools wie Syft und Trivy können Unternehmen Sicherheitsrisiken vor der Bereitstellung verhindern. Sichere Build-Pipelines spielen eine entscheidende Rolle bei der Entschärfung von Bedrohungen in der Software-Lieferkette und bei der Unterstützung des von der CRA geforderten Produktlebenszyklusmanagements. 

01 Plan Definition der SBOM-Anforderungen (Tiefe, Format, Konformität)  Festlegung von Richtlinien für die Verfolgung von Abhängigkeiten und die Sicherheit der Lieferkette  Auswahl von Tools für die automatische Erstellung von Stücklisten (z. B. Suft, Trivy)	02 Code Dokumentieren Sie Komponenten von Drittanbietern und Lizenzierungsinformationen  Sicherstellen, dass Code-Annotationen die zukünftige SBOM-Generierung unterstützen  Identifizieren und verfolgen Sie Open-Source-Abhängigkeiten	03 Build Generieren Sie Build-SBOMs mit CI/CD-Pipelines  Validierung der SBOM-Daten auf fehlende Metadaten oder veraltete Abhängigkeiten  Verwenden Sie automatisierte Werkzeuge (Svft, Anchore, SPDX, CvcloneDX)	04 Test Validierung von SBOMs gegen BSI TR-03183 Anforderungen  Sicherstellen von kryptographischen Hashes (SHA-512) für die Integrität der Komponenten  Prüfung auf Probleme bei der Auflösung von Abhängigkeiten
05 Release Signieren Sie SBOMs mit kryptographischen Signaturen (Sigstore, Cosign)  Sichere Speicherung von SBOMs für die Nachvollziehbarkeit  Sicherstellen, dass SBOMs an Software-Artefakte angehängt werden	06 Deploy SBOMs in Bereitstellungspipelines einbeziehen  Überprüfen Sie die Authentizität von SBOMs vor dem Produktions-Rollout  Sicherstellung der Konformität mit EU CRA & TR-03183	07 Operate Pflege eines aktualisierten SBOM-Repositorys  Unterstützung der SBOM-Laufzeitüberwachung  Ermöglicht die automatische Prüfung der Konformität	08 Monitor Verwenden Sie VEX- und CSAF-Berichte, um Schwachstellen in SBOM-Komponenten zu entdecken.  Kontinuierliche Sicherheitsscans durchführen.  Automatisierte Integration von Bedrohungsdaten

Die BSI-Richtlinie TR-03183 verlangt, dass SBOMs in sichere Softwareentwicklungspipelines integriert werden, um eine durchgängige Rückverfolgbarkeit zu gewährleisten. 

Best Practices:  

• Generieren Sie SBOMs automatisch in jeder Build-Phase 
• Verwenden Sie Tools zur Verfolgung von Abhängigkeiten (Syft, Grype, OWASP Dependency-Check), um Schwachstellen vor der Bereitstellung zu erkennen 
• Gewährleistung sicherer Software-Builds mit SLSA (Supply Chain Levels for Software Artifacts) 
• Signieren Sie SBOMs kryptografisch mit Cosign von Sigstore 

Beispiel-Workflow:  

• Entwickler übertragen Code → löst SBOM-Generierung aus 
• Build-Prozess integriert SBOM → Sorgt für Transparenz 
• Sicherheitstools analysieren SBOM → Identifizieren potenzielle Risike  
• Endgültige Build-Artefakte und SBOM werden kryptografisch signiert 
• Die Bereitstellung umfasst signierte SBOM → Ermöglicht Audits durch die Behörden 

Dieser Ansatz gewährleistet die Einhaltung von Vorschriften und minimiert gleichzeitig die Sicherheitsrisiken und unterstützt die Ausfallsicherheit der Software. 

Kryptographisches Hashing und Signieren für SBOM-Integrität 

Die Gewährleistung der Integrität einer SBOM ist ebenso wichtig wie das Vorhandensein der SBOM. Techniken wie Codesignierung, Prüfsummenvalidierung und digitale Signaturen tragen dazu bei, Manipulationen und unbefugte Änderungen zu verhindern und entsprechen damit den secure-by-default Grundsätzen des CRA.  

• Code-Signierung: Entwickler verwenden kryptografische Signaturen, um die Authentizität von Software zu überprüfen 
• Prüfsummen-Validierung: Stellt mit Hilfe von Hash-Funktionen wie SHA-256 sicher, dass die Dateien unverändert bleiben 
• SBOM-Signierung: Tools wie Cosign von Sigstore ermöglichen es Unternehmen, SBOMs für zusätzliche Sicherheit zu signieren 

Sichere Softwareentwicklungspipelines und SBOM-Integration  

Damit ein SBOM wirklich effektiv sein kann, muss siein sichere Entwicklungspipelines eingebettet sein. Zu den besten Praktiken gehören:  

• Reproduzierbare Builds: Sicherstellen, dass der gleiche Code immer die gleiche Ausgabe erzeugt 
• Verfolgung der Build-Provenienz: Verwendung von SLSA, um zu überprüfen, wo und wie die Software erstellt wurde 
• Ephemere Build-Umgebungen: Verwendung temporärer, sauberer Build-Umgebungen, um anhaltende Bedrohungen zu verhindern  

Mit dem Inkraftreten des CRA werden SBOMs nicht länger optional sein. Sektoren wie Energie, Gesundheitswesen, Finanzwesen und Transportwesen sind auf digitale Produkte angewiesen, die strenge gesetzliche Standards erfüllen müssen. Ohne SBOM-Konformität riskieren Unternehmen Strafen bei Nichteinhaltung. Gleichzeitig erhöhen SBOMs erhöht die unternehmerische Resilienz durch:  

• Einblick in Komponenten von Drittanbietern, um Risiken in der Lieferkette zu verringern 
• Unterstützung eines proaktiven Schwachstellenmanagements durch automatische Sicherheitsscans 
• Erleichterung der Reaktion auf Vorfälle durch schnelle Identifizierung der betroffenen Komponenten 
• Sicherstellung der Software-Provenienz und -Authentizität durch kryptografische Signierung 

Diese Praktiken sind besonders wichtig für alle Unternehmen, die Produkte mit digitalen Elementen auf dem EU-Markt anbieten, unabhängig von ihrem Standort. 

Wir von CLOUDYRION sind darauf spezialisiert, Unternehmen bei der Einhaltung komplexer Vorschriften im Bereich der Cybersicherheit zu unterstützen. Unser Fachwissen in den Bereichen SBOM-Implementierung, kryptografische Signierung und sichere Entwicklungspipelines sorgt dafür, dass Ihr Unternehmen den sich entwickelnden Vorschriften immer einen Schritt voraus ist. Schreiben Sie uns noch heute an, um zu erfahren, wie wir Ihnen helfen können, Ihre Software-Lieferkette zu stärken und die Einhaltung des EU CRA zu gewährleisten, einschließlich der Unterstützung bei Konformitätsbewertungsprozessen und der Einhaltung der Support-Zeiträume für kritische Produkte.