SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept

Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

[datensicherheit.de, 18.06.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass unter BSI-Leitung eine G7-Arbeitsgruppe ein gemeinsames Konzept für eine „SBOM for AI“ erstellt und veröffentlicht hat. Laut der BSI-Präsidentin, Claudia Plattner, bietet der Austausch in der „G7 Cybersecurity Working Group“ eine Chance, für die dringendsten Herausforderungen unserer Zeit einen gemeinsamen Ansatz zu finden.

Abbildung: BSI

Kooperation zwischen BSI und ACN: „A SHARED G7 VISION ON SOFTWARE BILL OF MATERIALS FOR AI / Transparency and Cybersecurity along the AI Supply Chain“

Auch KI-Sicherheit basiert auf Transparenz

Sicherheit im Kontext Künstlicher Intelligenz (KI) beginne mit Transparenz. Von besonderer Bedeutung sei daher zu wissen, „welche Komponenten eine KI nutzt und welche Abhängigkeiten zwischen den einzelnen Elementen bestehen“.

• Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI demnach mit den internationalen G7-Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt und nun veröffentlicht.

SBOM ist die Abkürzung für „Software Bill of Materials“ und soll, nun erweitert auf KI-Systeme, künftig z.B. Informationen über das verwendete KI-Modell sowie Art, Quelle und mögliche „Biases“ in den Trainingsdaten enthalten. Ziel sei es, den gesamten Lebenszyklus der KI-Anwendung zu betrachten und transparent zu machen.

BSI-Präsidentin fordert Abkehr vom „Silo-Denken“

BSI-Präsidentin Plattner kommentiert: „Der Austausch in der ,G7 Cybersecurity Working Group’ bietet eine Chance, für die dringendsten Herausforderungen unserer Zeit einen gemeinsamen Ansatz zu finden. Und das ist gut so: ,Silo-Denken’ hilft uns nicht weiter!“

• Mit der Arbeit zu „SBOM for AI“ hätten sie nun einen ersten, konkreten Beitrag zur Transparenz von KI-Systemen geleistet.

Die „G7-Cybersecurity Working Group“ in Ottawa (Kanada) besteht aus den Cybersicherheitsbehörden Kanadas, Frankreichs, Deutschlands, Italiens, der EU, Japans, Großbritanniens und der USA. Das BSI leitet in diesem Zusammenhang gemeinsam mit der italienischen Partnerbehörde Agenzia per la cybersicurezza nazionale (ACN) den sogenannten Work Stream „Smarter Together: Artificial Intelligence“.

Zielgruppe der Veröffentlichung alle Stakeholder im KI-Lebenszyklus

Ein zentrales Ergebnis des Treffens in Ottawa sei die Verständigung aller Partner auf übergeordnete Informationskategorien gewesen, welche als besonders relevant für die Erstellung einer „SBOM for AI“ gelten. Die konkrete Ausgestaltung der einzelnen Informationskategorien in Form eines „Minimum Set of Elements“ solle in einem Folgetreffen definiert werden.

• Die erarbeitete Vision werde nun weiter geschärft – mit dem Ziel, in enger Kooperation mit Herstellern von SBOM-Frameworks konkrete Anwendungen zu ermöglichen.

Zielgruppe dieser Veröffentlichung seien alle Stakeholder im KI-Lebenszyklus – von den Herstellern und Lieferanten von KI-Komponenten, über die Entwickler bis hin zu den Endanwendern von KI-Systemen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.06.2025
Jointly drafted by BSI and ACN: A SHARED G7 VISION ON SOFTWARE BILL OF MATERIALS FOR AI / Transparency and Cybersecurity along the AI Supply Chain

Bundesamt für Sicherheit in der Informationstechnik, 12.06.2025
A shared G7 Vision on Software Bill of Materials for Artificial Intelligence

Government of Canada / Gouvernement du Canada, 11.06.2025
Chairs’ statement on G7 Cybersecurity Working Group meeting

ACN National Cybersecurity Agency, 16.05.2024
G7 cybersecurity working group / Cybersecurity agencies and centers together for a safer cyber space

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf