Erweiterte SBOM als Sicherheitheitspass: Software-Stücklisten zwischen Pflicht und Kür

Laut ONEKEY entwickeln sich erweiterte SBOMs zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen

[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf