IT-Sicherheitsgesetze
Software-Inventarliste wird Pflicht für alle Geräte
Eines haben alle kommenden IT-Sicherheitsgesetze – allen voran der EU Cyber Resilience Act – gemeinsam: Künftig muss eine Software Bill of Materials (SBOM) nachweisen, welche Softwarekomponenten in einem Gerät enthalten sind.
Vom Babyphone bis zur Smartwatch – Produkte und Software, die eine digitale Komponente enthalten, sind in unserem täglichen Leben allgegenwärtig. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das damit einhergeht. Das EU Cyber Resilience Act (CRA), zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Mit Inkrafttreten der Verordnung (geplant ist Anfang 2024) würden Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den neuen Normen entsprechen.
„Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware beziehungsweise Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar“, sagt Jan Wendenburg, CEO von Onekey. Das auf IoT und OT-Cybersicherheit spezialisierte Unternehmen betreibt eine als SaaS-Dienst nutzbare Sicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung der Software von Geräten vornimmt und ebenso automatisiert eine SBOM, quasi eine Software-Stückliste, erstellt.
Mit einem eigenen Sicherheitsteam, bestehend aus anerkannten Experten und White Hackern, konnte Onekey in den letzten Jahren durch eigene Recherchen auf schwerwiegende Sicherheitslücken hinweisen, die in der Folge geschlossen werden konnten. „Dies unterstreicht den dringenden Bedarf an Software-Stücklisten, die für transparente Software-Lieferketten und Verantwortlichkeit in der Softwareproduktion und -distribution sorgen. Richtlinien dazu gibt es bereits jetzt – und mit der endgültigen Verabschiedung des EU Cyber Resilience Act werden SBOMs in Kürze auch gesetzlichverpflichtend“, so Wendenburg weiter.
BSI bestätigt SBOM als zentrale Sicherheitskomponente
Auch das Bundesamt für Sicherheit in der Informationstechnik BSI weist mit der Technischen Richtlinie TR-03183 auf die Bedeutung von SBOMs hin. Diese sollen laut BSI bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität der eingesetzten Programme transparent darstellen zu können. Dieses Wissen sei für Managementprozesse wie den Produktlebenszyklus und insbesondere für einen durchgängigen IoT/ OT Cybersicherheitsprozess unabdingbar. Die Software Bill of Materials dient als transparente Dokumentation der Software-Lieferkette.
Die Erstellung und laufende Pflege der SBOM müsse zum Teil des Workflows werden – sowohl in der Entwicklung (als auch im Vertrieb und im laufenden Betrieb von IoT und OT-Technologie, erklärt Wendenburg und betont: „Die automatische Erstellung der SBOM hilft sowohl bei Audits, aber vor allem auch im Krisenfall, wenn Nachweispflichten entstehen.“
Lesen Sie mehr zum Thema
