Software-Stücklisten werden zum Sicherheitheitspass
Die EU-Verordnung Cyber Resilience Act (CRA) schreibt vor, dass die Hersteller
und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine
Software Bill of Materials (SBOM), also eine Software-Stückliste, vorweisen
müssen. Ziel ist es, mögliche Software-Schwachstellen, die Hackern als
Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu
können.
Der CRA verlangt daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos
eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und
Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten,
Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem
Überblick über alle bekannten Schwachstellen und Sicherheitslücken. Diese
Anforderungen zu erfüllen fällt vielen Herstellern schwer, und sei es nur, weil
sie von ihren Vorlieferanten nicht die gewünschten Informationen in der
notwendigen Vollständigkeit erhalten.
Aus diesem Grund sind viele SBOMS unvollständig, veraltet oder ohne Kontext zu
Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene
Nachweispflicht von Seiten der Hersteller sind diese lückenhaften und teilweise
überholten Software-Stücklisten unbrauchbar.
SBOM wird zum Sicherheitspass
Jetzt hat das Düsseldorfer Cybersicherheitsunternehmen ONEKEY
(http://www.onekey.com/) seine Plattform zur Überprüfung von Gerätesoftware
(Firmware) auf Sicherheitsmängel mit einer neuen Funktion versehen, um
sogenannte angereicherte SBOMS zu erzeugen. Die stark erweiterten
Software-Stücklisten enthalten alle relevanten Informationen zu Schwachstellen.
Die damit erzeugten SBOMS erfüllen alle Anforderungen der Branche
vollumfänglich. Sie enthalten nicht nur die Schwachstellen mit Risikoeinordnung,
sondern stellen auch die Nachweise und Begründungen in einer einzigen leicht
handhabbaren Datei bereit.
"Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit
integrierter Risikobewertung", erklärt Jan Wendenburg, CEO von ONEKEY. Er weiß
aus vielen Gesprächen mit Herstellern: "Die häufig komplexen Lieferketten und
das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen
Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des
