Aktuelles, Experten - geschrieben von dp am Mittwoch, August 28, 2024 11:04 - noch keine Kommentare
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden
Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen
[datensicherheit.de, 28.08.2024] „Software Bills of Materials“ (SBOMs) sind ein relativ neues TOM-Werkzeug im Dienste der IT-Sicherheit. Deren Einsatzmöglichkeiten sollen sich in den kommenden Jahren noch deutlich erweitern. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat jetzt seinen von der TeleTrusT-AG „Cloud Security“ erarbeiteten Leitfaden „Software Bill of Materials“ veröffentlicht – dieser beschreibt demnach verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge.
Aktueller TeleTrusT-Leitfaden „Software Bill of Materials“
TeleTrusT warnt: Unternehmen bisher kaum in der Lage, Risiken der IT Supply Chain proaktiv zu erkennen bzw. Angriffe abzuwehren
„Software Bill of Materials“ sollen ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette sein. Die aktuell verfügbaren Werkzeuge konzentrierten sich jedoch auf Software im engeren Sinne und berücksichtigten die erweiterten Anforderungen durch die Nutzung von „Cloud Services“, sei es als „SaaS“, über „Cloud APIs“ oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht.
„Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt.“ Lieferanten und deren Komponenten würden oft ein hohes Vertrauen und weitgehende Rechte genießen. Die Transparenz über die genaue Zusammensetzung dieser Komponenten sei indes noch häufig unzureichend.
Diese Kombination führe laut TeleTrusT dazu, „dass Unternehmen kaum in der Lage sind, Risiken in der ,IT Supply Chain’ proaktiv zu erkennen oder entsprechende Angriffe abzuwehren.“ Vielmehr müssten sie sich weitgehend auf ihre Zulieferer verlassen.
TeleTrusT-Leitfaden soll Unternehmen helfen, potentielle Sicherheitslücken selbst und möglichst automatisiert hinsichtlich Schutzmaßnahmen zu bewerten
„Software Bills of Materials“, also Software-Stücklisten, böten hier eine Lösung, „indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der ,Supply Chain’ erhöhen“. Dies ermögliche es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.
SBOMs lieferten außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützten so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, „indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden“.
Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“, kommentiert: „,Software Bills of Materials’ sorgen für Transparenz in der ,IT Supply Chain’. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich.“ Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. „Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen“, so Dehning.
Weitere Informationen zum Thema:
Bundesverband IT-Sicherheit e.V. TeleTrusT, 2024
Software Bill of Materials / Leitfaden
TeleTrusT Bundesverband IT-Sicherheit e.V.
Cloud Security & SBOM / Software Bill of Materials (SBOM)
datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf
datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren