Einfach erklärt: Was ist die SBOM-Richtlinie (2024)

Table of Contents
Was ist der Cyber Resilience Act? Was ist eine SBOM? Wesentliche Merkmale des SBOM-Konzepts Die technischen Herausforderungen liegen in der Komplexität Organisatorische Herausforderungen bei der Implementierung der SBOM-Richtlinie Zusammenfassung der Bedeutung der SBOM-Richtlinie Die gängigsten SBOM-Tools im Überblick: Managed Kubernetes Produkte Good to know Legal Service Links
  • +49 30 233 2012 0
  • info@syseleven.de

Menü

MetaKube Testen

  • SysEleven Redaktion
  • April 4, 2024

In der heutigen digitalen Landschaft, geprägt von ständigen Herausforderungen wie zunehmenden Hackerangriffen, gewinnt die SBOM-Richtlinie (Software Bill of Materials) zunehmend an Bedeutung. Diese Richtlinie zahlt auf den EU Cyber Resilience Act (CRA) ein. Dieser zielt darauf ab, die Cybersicherheit in der EU zu stärken.

Was ist der Cyber Resilience Act?

Bevor wir uns näher mit der SBOM-Richtlinie befassen, lohnt es sich, einen Blick auf den EU Cyber Resilience Act zu werfen. Der CRA ist ein vorgeschlagener Regulierungsrahmen der Europäischen Union, der darauf abzielt, die Sicherheit digitaler Produkte und Dienstleistungen zu verbessern. Dieser verfolgt das Ziel, einheitliche Sicherheitsstandards für digitale Produkte und Dienstleistungen zu schaffen, um so die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und das Vertrauen in den digitalen Markt zu stärken. Der CRA legt fest, dass Hersteller, Anbieter und Entwickler:innen von Produkten mit digitalen Elementen bestimmte Sicherheitsanforderungen erfüllen und regelmäßig deren Einhaltung nachweisen müssen. Dazu gehört auch Transparenz in Bezug auf verwendete Softwarekomponenten.

Was ist eine SBOM?

Eine Software Bill of Material (SBOM) ist eine detaillierte Auflistung aller Bestandteile einer Software-Lösung. Die SBOM-Richtlinie ist eine Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzt damit die Vorgaben bei der Förderung der Cybersicherheit im Rahmen des CRA um. Die SBOM-Richtlinie ist besonders relevant, da ihre Dienste oft auf einer Vielzahl von Microservices und Container-Technologien wie Docker oder Kubernetes basieren. Diese komplexe Architektur erfordert eine transparente Auflistung aller Komponenten und regelmäßige Aktualisierungen der SBOMs.

Wesentliche Merkmale des SBOM-Konzepts

Transparenz und Vertrauensbildung

Aufgrund ihrer Komplexität sind Cloud-Umgebungen oft schwer zu durchschauen. Eine gut ausgearbeitete SBOM ermöglicht Unternehmen jedoch, die genaue Zusammensetzung ihrer Software in Anwendungen und Containern zu verstehen. Sie zeigt schnell auf, welche Komponenten veraltet oder potenziell anfällig sind.

Eine SBOM ist ein entscheidendes Instrument zur Identifikation von Sicherheitsrisiken in Cloud-Software. Wenn eine Open-Source-Komponente eine bekannte Schwachstelle aufweist, ermöglicht eine SBOM es dem Unternehmen, betroffene Anwendungen oder Container rasch zu identifizieren und angemessen zu reagieren, beispielsweise durch das Einspielen eines Patches.

SBOMs erlauben Kund:innen die Angebote verschiedener Cloud-Anbieter zu vergleichen. Sie können schnell erkennen, ob Risiken eines Vendor Lock-ins bestehen oder ob ein Wechsel zu einem anderen Cloud-Provider mit wenig Aufwand möglich ist.

Besonders bei Open-Source-Komponenten mit verschiedenen Lizenztypen und Nutzungsbedingungen ist eine SBOM hilfreich. Sie unterstützt Unternehmen dabei, rechtliche Risiken zu minimieren und Lizenzverstöße zu vermeiden.

Im Falle eines Sicherheitsvorfalls oder einer Betriebsstörung ist es für Unternehmen wichtig zu wissen, welche Komponenten betroffen sind und welche Auswirkungen dies haben könnte. Eine SBOM bietet einen schnellen Überblick in solchen Situationen, erleichtert den Übergang in den Notfallbetrieb, unterstützt Wiederherstellungsprozesse und trägt zur schnelleren Behebung von Problemen bei.

See Also
7 Hinweise zur Erstellung der Stückliste (BOM) in der Elektronikfertigung | AsselSoftware Bill of Materials (SBOM): Ein ÜberblickNew Tennessee laws tackle regulations for AI, delta-8, gun access, vehicle bootingIntroducing VMware Cloud Foundation 5.2: The Next Step in Private Cloud Modernization

Die technischen Herausforderungen liegen in der Komplexität

Kernsysteme wie Docker und Kubernetes beinhalten zahlreiche Anwendungen und Abhängigkeiten, die gemäß der SBOM-Richtlinie umfassend dokumentiert werden müssen. Zudem unterliegen Cloud-Umgebungen einer ständigen Entwicklung, mit regelmäßigen Weiterentwicklungen und Updates von Anwendungen. Dies bedeutet, dass die Erstellung einer SBOM kein einmaliger Vorgang ist, sondern kontinuierlich wiederholt werden muss, um aktuell zu bleiben.

Eine weitere Herausforderung stellt die Verwendung vordefinierter Container-Images dar. Diese sind in ihrer Prüfung oft nicht standardisiert, was die Nachvollziehbarkeit erschwert. Eine gründliche Untersuchung dieser Images, einschließlich der eingesetzten Bibliotheken und Frameworks sowie aller Abhängigkeiten, ist daher unabdingbar. Am Ende des Artikels stellen wir Dir diverse hilfreicher Tools für diesen Zweck vor. Zusätzlich müssen alle Lizenzen, deren Bedingungen und mögliche Konflikte genau geprüft werden. Es ist notwendig zu überprüfen, ob es Änderungen im Lizenzmodell gibt oder ob bestimmte Komponenten eventuell nicht mehr weiterentwickelt werden. Die Erstellung einer SBOM ist somit ein umfassender Prozess, der ohne die geeigneten Werkzeuge nicht effizient und wirtschaftlich durchführbar ist.

Organisatorische Herausforderungen bei der Implementierung der SBOM-Richtlinie

Die Implementierung und fortlaufende Aktualisierung einer SBOM führt zu einer deutlich erhöhten Belastung für IT-Abteilungen und andere Fachbereiche. Unternehmen sehen sich gezwungen, wesentliche Anpassungen in ihren Softwareentwicklungsprozessen und im Lebenszyklus der Software vorzunehmen. Aufgrund des Mangels an etablierten Best Practices müssen sie eigenständig entsprechende Veränderungsprozesse einleiten und bewerten. Zudem ist der Aufbau von Kompetenzen und Prozessen erforderlich, um SBOMs gemäß den Empfehlungen des BSI sowie den Anforderungen des in Entwicklung befindlichen EU Cyber Resilience Act zu bewerten.

Um eine SBOM gemäß den BSI-Richtlinien erfolgreich zu erstellen, reicht technisches Wissen allein nicht aus. Notwendig sind Informationen und Fähigkeiten aus verschiedenen Bereichen, darunter Compliance, Produkt- und Projektmanagement sowie Beschaffung. Die Gesamtverantwortung für die Erstellung und Pflege der SBOM sollte idealerweise einem multidisziplinären Team übertragen werden, das aus Mitgliedern unterschiedlicher Fachbereiche besteht. Viele Organisationen müssen solche Teams erst noch formen und entwickeln, da sie bisher in dieser Form nicht existieren. Diese Teams übernehmen gemeinsam die Verantwortung für die SBOM, um eine effektive und umfassende Implementierung sicherzustellen.

Zusammenfassung der Bedeutung der SBOM-Richtlinie

Unternehmen, die Cloud-Anwendungen auf Basis von Docker und Kubernetes nutzen oder planen, stehen mit der SBOM-Richtlinie des BSI vor wichtigen Anforderungen. Diese Richtlinie ist entscheidend für die Gewährleistung von Sicherheit und Transparenz in der Softwarelieferkette und fördert den Aufbau von Resilienz. Zugleich stellt die Einhaltung der BSI-Empfehlungen eine effektive Vorbereitung auf den anstehenden EU Cyber Resilience Act (CRA) dar. Daher ist es für betroffene Unternehmen ratsam, möglichst früh mit der Implementierung der SBOM-Richtlinie zu beginnen und sicherzustellen, dass sie über die erforderlichen Werkzeuge und Prozesse zur Erstellung und Pflege einer SBOM verfügen.

Es ist wesentlich, dass Organisationen die SBOM-Richtlinie nicht als bloße zusätzliche Compliance-Anforderung sehen, sondern als Gelegenheit, die Sicherheit ihrer Softwarelieferkette zu stärken. Die frühe Umsetzung dieser Richtlinie verbessert nicht nur ihre eigene Sicherheit und Resilienz, sondern ermöglicht auch durch neu strukturierte Prozesse und die gesammelten Erfahrungen eine schnellere Anpassung an zukünftige Regularien. Führungskräfte sollten den damit verbundenen Aufwand nicht unterschätzen und die nötige Zuweisung von Fachkräften sowie finanziellen Ressourcen in ihre strategische Planung einbeziehen.

Die gängigsten SBOM-Tools im Überblick:

Weitere Neuigkeiten aus dem Blog

Cilium einfach erklärt: Eine Einführung in moderne Netzwerk- und Sicherheitsarchitektur für Container

27. Juni 2024

Kubernetes: Eine Dekade der Innovation – unser Rückblick und Ausblick zum 10-jährigen Jubiläum

6. Juni 2024

Platform as a Service (PaaS) einfach erklärt

28. Mai 2024

Smart City-Projekte mit Managed Kubernetes für eine nachhaltige Zukunft

16. Mai 2024

Get the latest Updates

Subscribe Now

Jetzt MetaKube 30 Tage kostenlos testen

Managed Kubernetes

Jetzt testen

MetaKube Demo

Produkte

  • MetaKube |Managed Kubernetes
  • OpenStack Cloud
  • Managed Cloud
  • Managed Services

Good to know

  • Blog
  • Events
  • Karriere
  • Ressourcen
  • Kontakt
  • Newsletter

Legal

  • AGB / SLA Managed Hosting
  • AGB / SLA OpenStack Cloud
  • AGB / SLA Object Storage
  • AGB / SLA MetaKube Core
  • AGB / SLA MetaKube Accelerator
  • AGB / SLA MetaKube Operator
  • Cookies bearbeiten
  • Datenschutzbestimmungen
  • Hinweisgebersystem
  • Impressum

Service Links

Stolzes Mitglied von

Einfach erklärt: Was ist die SBOM-Richtlinie (23)

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Wenn Du unter 16 Jahre alt bist und Deine Zustimmung zu freiwilligen Diensten geben möchtest, musst Du Deinen Erziehungsberechtigten um Erlaubnis bitten. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Deiner Daten findest Du in unserer Datenschutzerklärung. Du kannst Deine Einwilligungen jederzeit unter Einstellungen widerrufen oder anpassen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Wir verwenden Cookies

Alle akzeptieren

Speichern

Weiter ohne Einwilligung

Individuelle Datenschutzeinstellungen

Cookie-Details Datenschutzerklärung Impressum

Einfach erklärt: Was ist die SBOM-Richtlinie (25) Datenschutzeinstellungen

Wenn Du unter 16 Jahre alt bist und Deine Zustimmung zu freiwilligen Diensten geben möchtest, musst Du Deinen Erziehungsberechtigten um Erlaubnis bitten. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Deiner Daten findest Du in unserer Datenschutzerklärung. Hier findest Du eine Übersicht über alle verwendeten Cookies. Du Deine Einwilligung zu ganzen Kategorien geben oder weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

Alle akzeptieren Speichern Weiter ohne Einwilligung

Zurück

Datenschutzeinstellungen

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Name
Anbieter Eigentümer dieser Website, Impressum
Zweck Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name borlabs-cookie
Cookie Laufzeit 1 Jahr
Name
Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Privacy Datenschutzerklärung https://policies.google.com/privacy?hl=de
Cookie Name _uetvid
Cookie Laufzeit 2 Jahre
Name
Anbieter SysEleven GmbH
Zweck In diesem Wert wird gespeichert, welchen Ansichtsstatus Informationsbanner auf der Webseite haben.
Cookie Name li_ignored
Name
Anbieter SysEleven GmbH
Zweck Dieser Wert wird verwendet, um die Anzahl der Besuche zu zählen, die mit ein und demselben Browser durchgeführt werden. Die Zählung erfolgt ohne Verknüpfung mit einem Profil.
Cookie Name elementor
Name
Anbieter SysEleven GmbH
Zweck Dieses Cookie dient der Speicherung der Sprachauswahl.
Cookie Name pll_language
Cookie Laufzeit 1 Jahr

Hiermit werden weitere Funktionen der Webseite bereitgestellt, einschließlich einer Chatfunktion.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Akzeptieren
Name
Anbieter HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Privacy Datenschutzerklärung https://legal.hubspot.com/privacy-policy
Host(s) *.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name __hs_opt_out, __hs_d_not_track, __hs_initial_opt_, __hs_cookie_cat_pref, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hsmem, hs-membershem-csrf, hs_langswitcher_choice, __cduid, __cFroid, messagesUtk, __hstc, hubspotutk, __hssc, __hssrc
Cookie Laufzeit Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Akzeptieren
Name
Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Privacy Datenschutzerklärung https://policies.google.com/privacy?hl=de
Cookie Name _ga, _gid, _dc_gtm_UA-4634575-3, _ga_JLHTLRYFTM
Cookie Laufzeit 2 Jahre
Akzeptieren
Name
Anbieter SalesViewer® GmbH
Zweck Technologie zur Erhebung unternehmensbezogener Daten und der entsprechenden Website Nutzung.
Privacy Datenschutzerklärung https://www.salesviewer.com/de/datenschutzerklaerung
Akzeptieren
Name
Anbieter Hotjar Ltd.
Zweck Wir nutzen Hotjar, um die Bedürfnisse unserer Nutzer besser zu verstehen und das Angebot und die Erfahrung auf dieser Webseite zu optimieren.
Privacy Datenschutzerklärung https://www.hotjar.com/legal/policies/privacy/
Cookie Name _hjClosedSurveyInvites, _hjDonePolls, _hjMinimizedPolls, _hjDoneTestersWidgets, _hjIncludedInSample, _hjShownFeedbackMessage, _hjid, _hjRecordingLastActivity, hjTLDTest, _hjUserAttributesHash, _hjCachedUserAttributes, _hjLocalStorageTest, _hjptid

Marketing-Cookies werden von Drittanbietern oder Publishern verwendet, um personalisierte Werbung anzuzeigen. Sie tun dies, indem sie Besucher über Websites hinweg verfolgen.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Akzeptieren
Name
Anbieter Google LLC.
Zweck Das Google Ads Conversion Cookie enthält Informationen darüber, welche Werbeanzeige geklickt wurde, sodass erzielte Erfolge wie z. B. Kontaktanfragen der Anzeige zugewiesen werden können.
Privacy Datenschutzerklärung https://policies.google.com/technologies/ads
Cookie Name IDE
Cookie Laufzeit 30 Tage
Akzeptieren
Name
Anbieter Google LLC
Zweck Das Google Ads Remarketing Cookie dient dazu, personalisierte Anzeigen und kostenlose Produkteinträge auszuliefern.
Privacy Datenschutzerklärung https://policies.google.com/technologies/ads
Cookie Name ga-remarketing
Akzeptieren
Name
Anbieter LinkedIn Ireland Unlimited Company
Zweck Der LinkedIn Insight Tag dient dazu, das Verhalten von Website-Besuchern zu verfolgen und ermöglicht das Messen der Wirksamkeit von LinkedIn-Werbekampagnen sowie das gezielte Targeting, Retargeting und die Analyse für Optimierungszwecke.
Privacy Datenschutzerklärung https://www.linkedin.com/legal/privacy-policy
Cookie Name linkedin
Cookie Laufzeit ?
Akzeptieren
Name
Anbieter Microsoft Corporation (One Microsoft Way, Redmond, WA 98052-6399, „Microsoft“)
Zweck Sofern Sie über eine Microsoft Bing Anzeige auf unsere Website gelangt sind, kann Microsoft Bing Ads mit dem Cookie erkennen, dass jemand auf eine Anzeige geklickt hat, zu unserer Website weitergeleitet wurde und eine vorher bestimmte Zielseite erreicht hat.
Privacy Datenschutzerklärung https://privacy.microsoft.com/de-de/privacystatement
Cookie Name _uetsid, _uetsid_exp, _uetvid, _uetvid_exp
Cookie Laufzeit 1 Jahr

Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.

Cookie-Informationen anzeigen Cookie-Informationen ausblenden

Akzeptieren
Name
Anbieter Openstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge CB4 0WS, United Kingdom
Zweck Wird verwendet, um OpenStreetMap-Inhalte zu entsperren.
Privacy Datenschutzerklärung https://wiki.osmfoundation.org/wiki/Privacy_Policy
Host(s) .openstreetmap.org
Cookie Name _osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token
Cookie Laufzeit 1-10 Jahre

Einfach erklärt: Was ist die SBOM-Richtlinie (26) powered by Borlabs Cookie

Datenschutzerklärung Impressum

Einfach erklärt: Was ist die SBOM-Richtlinie (2024)
Top Articles
Marshmallow-Surprise Hot Cocoa Cookies - Sally's Baking Addiction
This Creamy Dessert Is Ree's Favorite Pumpkin Pie Recipe
"We must also teach students how to do something"
How Community Supported Agriculture unmakes capitalism: from grassroots action to societal change
Austin’s Craigslist: Your Ultimate Guide to Buying, Selling, and Discovering
Word Chum Cheats Grabber
Craigslist Free Stuff Bellingham
Peter Pan (Disney character)
Hoe koop ik een deal op Social Deal? - Social Deal
Hoe meld ik me aan voor de Social Deal Nieuwsbrief? - Social Deal
Petco hiring Groomer in Florence, Alabama, United States | LinkedIn
Petco hiring Groomer in Palm Coast, Florida, United States | LinkedIn
Latest Posts
Death by Chocolate Cake with Fudge Icing | A family favorite!
Pomegranate Orange Punch. {Video!}
Article information

Author: Tuan Roob DDS

Last Updated:

Views: 6545

Rating: 4.1 / 5 (42 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: Tuan Roob DDS

Birthday: 1999-11-20

Address: Suite 592 642 Pfannerstill Island, South Keila, LA 74970-3076

Phone: +9617721773649

Job: Marketing Producer

Hobby: Skydiving, Flag Football, Knitting, Running, Lego building, Hunting, Juggling

Introduction: My name is Tuan Roob DDS, I am a friendly, good, energetic, faithful, fantastic, gentle, enchanting person who loves writing and wants to share my knowledge and understanding with you.