Cyberangriffe auf hochgradig vernetzte Systeme haben in den vergangenen Jahren stark zu-genommen. Der neue Cyber Resilience Act (CRA) verpflichtet daher ab 2027 alle Softwarehersteller, sogenannte Software Bills of Materials (SBOMs) bereitzustellen. Diese Inventarlisten aller enthaltenen Softwarekomponenten in einem Produkt sollen Transparenz schaffen und helfen, Schwachstellen schnell zu erkennen. Wie Sie schon jetzt SBOMs einführen, welche Standards dabei eine Rolle spielen und weshalb sich frühzeitige Maßnahmen auszahlen, erfahren Sie in diesem Insight.
INHALTE

Was sind SBOMs und warum sind sie notwendig?

Eine Software Bill of Materials (SBOM) ist eine strukturierte Dokumentation, die alle Komponenten eines Softwareprodukts sowie deren Beziehungen innerhalb der Lieferkette aufzeigt. Sie funktioniert ähnlich wie ein medizinischer Beipackzettel: Sie zeigt an, welche „Wirkstoffe“ (Third-Party-Komponenten) und „Hilfsstoffe“ (Abhängigkeiten) enthalten sind – inklusive Versionen, Lizenzinformationen und Sicherheitsstatus.

Ein anschauliches Beispiel: Ein Pharmaunternehmen führt in der Dokumentation seiner Produkte alle Inhaltsstoffe, potenzielle Wechselwirkungen und Chargennummern auf. So kann bei Qualitätsproblemen schnell und gezielt reagiert werden. Dasselbe Prinzip gilt für SBOMs in der Softwareentwicklung: Sie ermöglichen Rückverfolgbarkeit und rasche Reaktionen bei Sicherheitslücken.

Die Notwendigkeit von SBOMs ergibt sich aus der Realität moderner Softwareentwicklung. Wiederverwendeter Code – häufig aus Open-Source-Bibliotheken – führt zu komplexen Lieferketten mit neuen Sicherheitsrisiken.

Bekannte Vorfälle wie der SolarWinds-Hack (2020) oder die Log4j-Schwachstelle (2021) zeigten deutlich, wie gefährlich mangelnde Transparenz sein kann. Viele Unternehmen wussten gar nicht, dass sie betroffene Komponenten nutzten – mit drastischen Folgen. Eine SBOM schafft hier Klarheit: Sie zeigt exakt, welche Pakete und Versionen verwendet werden, sodass gezielte Reaktionen möglich sind.

Zusätzliche Vorteile von SBOMs auf einen Blick:

  • Monitoring von Schwachstellen: Frühzeitige Identifikation und Nachverfolgung von Sicherheitslücken
  • Lizenzmanagement: Übersicht und Kontrolle über eingesetzte Open-Source-Lizenzen
  • Transparenz: Nachvollziehbare Herkunft und Abhängigkeiten schaffen Vertrauen und Kontrolle

Strukturierung und Implementierung von SBOMs

Für die effektive Umsetzung von SBOMs haben sich bestimmte Standards und Mindestanforderungen etabliert.

Formate und Inhalte:
Die technische BSI-Richtlinie Cyber-Resilienz-Anforderungen TR-03183 empfiehlt unter anderem:

  • CycloneDX 1.4
  • SPDX 2.3 oder höher

Darüber hinaus nennt die National Telecommunications and Information Administration (NTIA) sieben essenzielle Datenfelder für jede SBOM. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ergänzt diese um zusätzliche Elemente wie Hash-Werte und URIs.

Praktische Implementierung:
SBOMs sollten bei jeder neuen Softwareversion erstellt und aktuell gehalten werden. Dies geschieht meist durch Software Composition Analysis (SCA)-Tools, die den Code analysieren und Komponenten identifizieren.

Best Practices für die Umsetzung:

  • Integration in bestehende CI/CD-Pipelines
  • Speicherung in einem zentralen Repository mit Versionskontrolle
  • Auswahl geeigneter Automatisierungstools
  • Anpassung der Build-Prozesse zur Integration der SBOM-Erstellung
  • Schulung der mit der Entwicklung befassten Personen zu SBOM-Themen
  • Regelmäßige Überprüfung und Pflege der SBOMs

Ausblick: Künftige Entwicklungen und Künstliche Intelligenz (KI) 

Die Erstellung und Aktualisierung von SBOMs ist bereits stark automatisiert – aber das ist erst der Anfang. KI wird künftig eine zentrale Rolle spielen bei:

  • Früherkennung von Schwachstellen
  • Analyse komplexer Abhängigkeitsstrukturen
  • Automatisierten Risikobewertungen

KI-gestützte Tools könnten schon bald als Frühwarnsysteme fungieren – ein weiterer Schritt zu mehr Resilienz in der Softwareentwicklung.

Der Weg nach vorn: Ihre SBOM-Roadmap

Der CRA wird die Anforderungen an Softwaresicherheit in Europa grundlegend verändern. SBOMs sind dabei ein zentrales Instrument: Sie schaffen Transparenz, helfen bei der Risikominimierung und unterstützen die Compliance.

Nutzen Sie die Zeit bis 2027, um sich vorzubereiten:

  1. Evaluieren Sie Ihre aktuelle Software-Lieferkette
  2. Identifizieren Sie bestehende Schwachstellen
  3. Entwickeln Sie eine Roadmap für die Einführung von SBOMs
  4. Integrieren Sie Pilotprojekte, Schulungen und enge Zusammenarbeit mit Lieferanten und Kunden

Unser Tipp: Werden Sie aktiv, bevor Sie dazu verpflichtet sind. Der frühe Aufbau von SBOM-Prozessen verschafft Ihnen nicht nur einen Wettbewerbsvorteil – er macht Ihre Software auch sicherer.

Sie brauchen Unterstützung? Grant Thornton begleitet Sie mit Fachwissen, passenden Tools und Erfahrung – von der Strategie bis zur Umsetzung.

Dieser Artikel wurde von unseren Experten Fabian Fischbach, Norman Esch und Steffen Kunaht verfasst.