EU Cyber Resilience Act Stücklisten für Software kommen bald

Anbieter zum Thema

Fsas Technologies GmbH

netfiles GmbH

Insider Research

Der europäische Cyber Resilience Act (CRA) sieht vor, dass Software-Produkte künftig sogenannte „Software Bill of Materials“ enthalten müssen. Es handelt sich um Inventarlisten mit sämtlichen verwendeten Komponenten einer Software. So soll sowohl der Entwicklungsprozess als auch die Nutzung sicherer werden.

Welche Code-Fragmente wurden beim Erstellen einer Software eingesetzt? Darüber sollen künftig elektronische Stück- / Teileliste geben, sogenannte „Software Bill of Materials“ (SBOMs). Das sieht Teil 2 der Technischen Richtlinie TR-03183 des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Demnächst wird sie vom Gesetzgeber verpflichtend gemacht, in den USA sind SBOMs durch die US Executive Order 14028 vom Mai 2021 bereits für Anwendungen im behördlichen Umfeld gefordert. Seitens der FDA (Food and Drug Administration) müssen SBOMs seit März 2023 für Medizinprodukte bei der Zulassung vorgelegt werden.

Eine SBOM dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit beim Monitoring von Schwachstellen. Software-Stücklisten gehören zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA), der seit September 2022 als Entwurf der EU-Kommission vorliegt und sich derzeit im Gesetzgebungsverfahren befindet.

Umsetzung ist dringend gefordert

Seine Umsetzung ist dringend: Laut Gartner waren fast zwei Drittel (61 Prozent) der US-Unternehmen von April 2022 bis April 2023 direkt von einem Angriff auf die Software-Lieferkette betroffen. Die Analysten berichten zudem von einem dreistelligen Anstieg von Angriffen auf Code, Tools, Open-Source-Komponenten und Entwicklungsprozesse. Dies unterstreiche die Dringlichkeit SBOMs. Die Umsetzung der Praktiken und Empfehlungen dazu könnten Sicherheits- und Risikomanagement-Verantwortliche in Unternehmen gegen Angriffe auf die Software-Lieferkette wappnen.

„Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware bzw. Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar“, berichtete auch Jan Wendenburg, CEO des Security-Experten Onekey.

Automatisierung kürzt langen Prozess ab

Wendenburg zeigt aber auch Herausforderungen beim Erstellen von Software-Stücklisten auf: Das Erstellen werde durch die schiere Fülle an SBOM-Informationen und die möglichen Unterschiede in der Struktur von SBOMs erschwert, sie bedeuteten einen hohen Aufwand für jeden Ersteller. Wendenburg rät zu Tools für die Automatisierung von solchen Listen.

Für den Abgleich eines SBOMs mit Schwachstelleninformationen wie beispielsweise den CVE (Common Vulnerabilites and Exposures) oder Security Advisories der Komponentenersteller oder -anbieter ist zudem immer noch eine Analyse der Software selbst notwendig. Dieser Vorgang im Rahmen des Schwachstellenmanagements für das Produkt kann langwierig sein, sein Ergebnis muss den Nutzern der Software dann als Security Advisory oder Vulnerability Exploitability eXchange (VEX) bereitgestellt werden.

Auch der eco - Verband der Internetwirtschaft rät Anbietern dringend, sich umgehend um SBOMs zu kümmern: „Anbieter und Anwender sollten sich mit SBOMs vertraut machen, da die Bereitstellung von SBOMs von Anbietern in vielen Marktbereichen bald verlangt werden wird. Anwender sollten von ihren Lieferanten bereits heute SBOMs fordern, auch wenn viele Anbieter derzeit noch nicht in der Lage sind, diese bereitzustellen“, so Oliver Dehning, Leiter der Kompetenzgruppe (KG) Sicherheit im eco-Verband.

(ID:49840181)