[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 18.06.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass unter BSI-Leitung eine G7-Arbeitsgruppe ein gemeinsames Konzept für eine „SBOM for AI“ erstellt und veröffentlicht hat. Laut der BSI-Präsidentin, Claudia Plattner, bietet der Austausch in der „G7 Cybersecurity Working Group“ eine Chance, für die dringendsten Herausforderungen unserer Zeit einen gemeinsamen Ansatz zu finden.

Abbildung: BSI

Kooperation zwischen BSI und ACN: „A SHARED G7 VISION ON SOFTWARE BILL OF MATERIALS FOR AI / Transparency and Cybersecurity along the AI Supply Chain“

Auch KI-Sicherheit basiert auf Transparenz

Sicherheit im Kontext Künstlicher Intelligenz (KI) beginne mit Transparenz. Von besonderer Bedeutung sei daher zu wissen, „welche Komponenten eine KI nutzt und welche Abhängigkeiten zwischen den einzelnen Elementen bestehen“.

• Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI demnach mit den internationalen G7-Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt und nun veröffentlicht.

SBOM ist die Abkürzung für „Software Bill of Materials“ und soll, nun erweitert auf KI-Systeme, künftig z.B. Informationen über das verwendete KI-Modell sowie Art, Quelle und mögliche „Biases“ in den Trainingsdaten enthalten. Ziel sei es, den gesamten Lebenszyklus der KI-Anwendung zu betrachten und transparent zu machen.

BSI-Präsidentin fordert Abkehr vom „Silo-Denken“

BSI-Präsidentin Plattner kommentiert: „Der Austausch in der ,G7 Cybersecurity Working Group’ bietet eine Chance, für die dringendsten Herausforderungen unserer Zeit einen gemeinsamen Ansatz zu finden. Und das ist gut so: ,Silo-Denken’ hilft uns nicht weiter!“

• Mit der Arbeit zu „SBOM for AI“ hätten sie nun einen ersten, konkreten Beitrag zur Transparenz von KI-Systemen geleistet.

Die „G7-Cybersecurity Working Group“ in Ottawa (Kanada) besteht aus den Cybersicherheitsbehörden Kanadas, Frankreichs, Deutschlands, Italiens, der EU, Japans, Großbritanniens und der USA. Das BSI leitet in diesem Zusammenhang gemeinsam mit der italienischen Partnerbehörde Agenzia per la cybersicurezza nazionale (ACN) den sogenannten Work Stream „Smarter Together: Artificial Intelligence“.

Zielgruppe der Veröffentlichung alle Stakeholder im KI-Lebenszyklus

Ein zentrales Ergebnis des Treffens in Ottawa sei die Verständigung aller Partner auf übergeordnete Informationskategorien gewesen, welche als besonders relevant für die Erstellung einer „SBOM for AI“ gelten. Die konkrete Ausgestaltung der einzelnen Informationskategorien in Form eines „Minimum Set of Elements“ solle in einem Folgetreffen definiert werden.

• Die erarbeitete Vision werde nun weiter geschärft – mit dem Ziel, in enger Kooperation mit Herstellern von SBOM-Frameworks konkrete Anwendungen zu ermöglichen.

Zielgruppe dieser Veröffentlichung seien alle Stakeholder im KI-Lebenszyklus – von den Herstellern und Lieferanten von KI-Komponenten, über die Entwickler bis hin zu den Endanwendern von KI-Systemen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.06.2025
Jointly drafted by BSI and ACN: A SHARED G7 VISION ON SOFTWARE BILL OF MATERIALS FOR AI / Transparency and Cybersecurity along the AI Supply Chain

Bundesamt für Sicherheit in der Informationstechnik, 12.06.2025
A shared G7 Vision on Software Bill of Materials for Artificial Intelligence

Government of Canada / Gouvernement du Canada, 11.06.2025
Chairs’ statement on G7 Cybersecurity Working Group meeting

ACN National Cybersecurity Agency, 16.05.2024
G7 cybersecurity working group / Cybersecurity agencies and centers together for a safer cyber space

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 22.11.2024] Hersteller vernetzter Geräte, Maschinen und Anlagen sollten bei der Verwendung von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht walten lassen: Open-Source-Programme selbst unterlägen nämlich nicht den strengen Regeln des bald in Kraft tretenden „Cyber Resilience Act“ (CRA) – die Hersteller von Produkten unter Verwendung von Open-Source-Komponenten hingegen sehr wohl: Vor dieser „Open-Source-Falle“ warnen Jan Wendenburg, „CEO“ von ONEKEY, und sein Cyber-Sicherheits-Expertenteam.

Open-Source-Software mit ausnutzbaren Schwachstellen: Verkäufer haftet

Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (z.B. Importeure, Distributoren) von „Connected Devices“, dass sie diese auch nach der Auslieferung mit stets neuen Software-Updates versorgten, um sie dauerhaft gegen Hacker-Angriffe zu schützen.

Bei schwerwiegenden Verstößen gegen den CRA könnten Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, „je nachdem, welcher Betrag höher ist“.

Wendenburg verdeutlicht: „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Software-Anbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt!“

„Open Source“ könnte Synonym für potenziell unsichere Software werden

ONEKEY erläutert den Hintergrund: Die EU trage beim CRA den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollten nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber-Sicherheit befreit werden.

„Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, kommentiert Wendenburg.

Die CRA-Sonderrolle sogenannter Stewards von Open-Source-Projekten bewertet Wendenburg ebenfalls ambivalent: „Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor.“ So seien sie beispielsweise von Geldbußen vollständig ausgenommen. Immerhin müssten sie eine Cyber-Sicherheitsstrategie für ihre Programme vorweisen, dürften erkannte Schwach­stellen in der Software nicht ignorieren und müssten mit den CRA-Behörden zusammenarbeiten.

Hersteller von OT- und IoT-Geräten sollten Open-Source-Aktivitäten erneut überdenken

„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyber-Kriminelle, den die EU mit dem ,Cyber Resilience Act’ gerade aufbaut, von Anfang an löchrig geworden“, warnt Wendenburg.

Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung anderer­seits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird.

„Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, so seine dringende Empfehlung. Gemeint seien damit Maschinelle Steuerungen („Operation Technology“ / OT), wie sie in der sogenannten Industrie 4.0 auf breiter Front zum Einsatz kämen, und Geräte für das „Internet of Things“ (IoT), also beispielsweise im „Smart Home“.

Immer mehr Open-Source-Software bei OT und IoT im Einsatz

Nach aktuellem Stand werde Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, welche eine große Bandbreite von Softwarekomponenten umfassten, wie etwa „Gateways, Middleware für Edge-Computing und Cloud-Plattformen“.

Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor. Wendenburgs Analyse: „Der Einsatz von ,Open Source’ bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich.“

Mit der CRA-Regulierung kämen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gelte. Die neue Dimension liege dabei in der Haftung: „Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen!“

„Software Bill of Materials“ und Schwachstellenprüfung unerlässlich – nicht nur bei Verwendung von Open-Source-Komponenten

Wendenburg rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel SBOM stehe für „Software Bill of Materials“, also für eine Stückliste aller Softwarekomponenten, „in der die Komponenten festgestellt werden“. Anschließend werde die Cyber-Resilienz auf Schwachstellen geprüft und dokumentiert.

Dazu erfolge zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (CVE: „Common Vulnerabilities and Exposures“), welche vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet werde. Jeden Monat kämen zwischen 500 und 2.000 neue Einträge über bekanntwerdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfielen auf Open-Source-Software, schätzten Experten.

Danach werde auf unbekannte, sogenannte Zero-Day-Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, betont Wendenburg, und ergänzt abschließend: „Bei IoT-Geräten etwa für das ,Smart Home’ wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei Maschinellen Steuerungen für die ,Industrie 4.0‘ kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“

Weitere Informationen zum Thema:

Europäisches Parlament
Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/… des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2019/1020 (Cyberresilienz-Verordnung)

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 24.10.2024] Der „Cyber Resilience Act“ (CRA) wurde am 10. Oktober 2024 vom Europäischen Rat verabschiedet und verankert damit die Cybersecurity verpflichtend für alle Hersteller. „Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyber-Angriffen geschützt sind“, kommentiert Jan Wendenburg, „CEO“ von ONEKEY. Mit dem CRA werde erstmals der Grundsatz „Security by Design“ in das europäische Technikrecht aufgenommen – dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte. Wendenburg verweist in seiner aktuellen Stellungnahme auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hacker-Angriffe.

CRA-Konformität eines Produkts erfordert nunmehr fortlaufende Risikobewertung und gegebenenfalls Aktualisierung

Es sei nunmehr in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es müsse eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen.

Wendenburg erläutert: „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen.“ Versäumen es die Hersteller dieses Designmerkmal zu integrieren, dürften die entsprechenden Produkte künftig in den Ländern der Europäischen Union (EU) nicht mehr verkauft werden.

Extrem breite Palette vom CRA betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien sei „extrem breit“, so Wendenburg und er nennt hierzu Beispiele: „Geräte für das ,Smart Home’ und die ,Smart Security’, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des ,Industrial Internet of Things’ und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden…“

Praktisch alle Bereiche der industriellen Automatisierung seien heute digitalisiert. Geräte, Maschinen und Anlagen, welche früher noch rein mechanisch funktioniert hätten, seien längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. „Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern.“ Mit der CRA-Regulierung seien diese Hersteller nun direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Wendenburg warnt: „Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“

CRA insbesondere Herausforderung für mittelständische Hersteller industrieller Automatisierungstechnik

„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how sehr heterogen“, weiß Wendenburg aus zahlreichen Projekten. Seine Einschätzung: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“

Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden könnten (CVE-Datenbank: „Common Vulnerabilities and Exposures“), über 240.000 Einträge umfasse. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cyber-Sicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Wendenburg.

Mit CRA-Inkrafttreten könnrn Hersteller und Inverkehrbringer in die Haftung kommen

Er erinnert an den Klassiker der IoT-Hacks: Den Angriff auf die Cyber-Sicherheit mittels der weltweit bekannten „Stuxnet“-Attacke 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. „Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt.“ „Stuxnet“ zielte demnach darauf ab, die Drehgeschwindigkeit der von den „Scada“-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. „Der Computer-Virus hatte damals Tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.“

Wendenburg unterstreicht: „Spätestens seit 2010 ist klar, dass Cyber-Attacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des ,EU Cyber Resilience Act’ haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt.“

CRA-Anforderungen lassen sich in weiten Teilen automatisieren

Als ersten Schritt empfiehlt Wendenburg den Anbietern vernetzter Geräte, Maschinen und Anlagen, „Software Bills of Materials“ (SBOM) zu erstellen, d.h. genaue Stücklisten aller in ihren Produkten verwendeten Komponenten. „ONEKEY betreibt eine ,Product Cybersecurity & Compliance Platform’ (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert.“

Damit seien die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen: „Mit unserer Plattform können Hersteller die Anforderungen des ,Cyber Resilience Act’ in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 09.10.2024] Eine sogenannte Stückliste aller Software-Komponenten in einem vernetzten Gerät („Software Bill of Materials“ / SBOM) stellt in der deutschen Industrie offenbar noch immer eine Ausnahme dar, obgleich sie inzwischen als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyber-Angriffe gilt. Dies geht laut einer aktuellen Stellungnahme von ONEKEY aus dem eigenen neuen „OT+IoT Cybersecurity Report 2024“ hervor. Diese Studie über die Cyber-Resilienz Industrieller Steuerungen („Operational Technology“ / OT) und Geräten für das sogenannte Internet der Dinge („Internet of Things“ / IoT) basiert demnach auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt worden seien „Chief Executive Officers“ (CEOs), „Chief Information Officers“ (CIOs), „Chief Information Security Officers“ (CISOs) und „Chief Technology Officers“ (CTOs) sowie IT-Verantwortliche. Der Report soll noch im Oktober 2024 auf der ONEKEY-Website publiziert werden.

SBOM zum Aufspüren veraltete Software – Einfallstore für Angreifer

Laut Umfrage führe nicht einmal ein Viertel (24%) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, berichtet Jan Wendenburg, der „CEO“ von ONEKEY.

„Das ist fatal!“, so Wendenburg, denn veraltete Software in Industriellen Steuerungen sei ein „immer beliebteres Einfallstor für Hacker“. Als typische Beispiele nennt er: „Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungs­maschinen, Produktionsanlagen, Gebäude­automatisierungs­systeme, Heizungs- und Klimaanlagen.“

Alle diese Systeme seien an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente stecke Software – Wendenburg verdeutlicht die große Angriffsfläche, welche Unternehmen Cyber-Kriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht „up-to-date“ halten. Die Mehrheit der Unternehmen (51%) verfüge jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.

SBOM bisher oftmals noch mit vielen Lücken und Unsicherheiten

„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, warnt Wendenburg und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“

Besonders erschreckend sei laut Report: Ein knappes Viertel der befragten Unternehmen sei sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.

„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht er das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Software-Schwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyber-Attacke wird, sondern nur wann und mit welchen Folgen…“

SBOM für einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung

Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornähmen. Gut ein Drittel (34%) verwendeten Fragebögen von Branchenverbänden wie dem VDMA, um die Cyber-Sicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verließen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11%) verfüge eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyber-Angriffe geschützt sind.

„Wir raten jedem Industrieunternehmen, sich mit einer ,Software Bill of Materials’ einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, rät Wendenburg nachdrücklich.

Er empfiehlt in diesem Zusammenhang: „Eine moderne Analyse-Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den ,Shopfloor’ Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“

SBOM jetzt schon verwenden – EU Cyber Resilience Act tritt 2027 in Kraft

Der ONEKEY-Chef weist abschließend darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den „EU Cyber Resilience Act“ (CRA) gesetzlich verpflichtet seien, ihre Steuerungssysteme mit aktueller Software gegen Cyber-Angriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf diese neue CRA-Gesetzgebung einzustellen.

Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen sei bereits heute auf dem neuesten Stand: Diese aktualisierten ihre Software, „sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht“. Immerhin 28 Prozent prüften automatisch, „ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen“. 30 Prozent begnügten sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichteten auf einen Sicherheitspatch zwischendurch und warteten auf die nächste geplante Release, mit der das Einfallstor für Hacker geschlossen werde. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyber-Kriminellen ausgenutzt“, unterstreicht Wendenburg.

Es bleibe insgesamt aber noch viel zu tun – so überprüften 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. Zehn Prozent lieferten keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten seien sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 26.09.2024] Sämtliche Unternehmen, welche der neuen NIS-2-Regulierung unterliegen, sollten ihre Geräte-Software dringend zeitnah auf den neuesten Stand bringen – diese Erfordernis gilt für alle Geräte, Maschinen und Anlagen in Büro, Labor, Produktion und Logistik. „Der Regierungsentwurf NIS-2 ist verabschiedet und wartet nur noch auf Verkündung. Mit dem Inkrafttreten von NIS-2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cyber-Sicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, betont Jan Wendenburg, „CEO“ des deutschen Cyber-Sicherheitsunternehmens ONEKEY. Das Bundeskriminalamt (BKA) weise für das Jahr 2023 knapp 135.000 offiziell gemeldete Fälle von Cyber-Kriminalität aus und vermute ein Dunkelfeld von 90 Prozent – entsprechend etwa 1,5 Millionen Angriffen pro Jahr.

Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass ihre Geräte mit aktueller Software ausgestattet sind

Als typische Beispiele im Bürobereich nennt Wendenburg „Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungs­systeme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutritts­kontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme“. In der Industrie kämen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu.

Jan Wendenburg stellt klar: „Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass all diese Geräte mit aktueller Software ausgestattet und damit bestmöglich gegen Cyber-Angriffe gewappnet sind.“ Die EU-Richtlinie „Network & Information Security 2″ (NIS-2) sei auf alle als sogenannte Kritische Infrastruktur (KRITIS) eingestuften Unternehmen anwendbar.

NIS-2 umfasst gesamte KRITIS-Lieferkette – sowie deren Lieferanten und Geschäftspartner!

Zur KRITIS zählen demnach Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfall­wirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Herstellung von Medizin­produkten, Maschinen, Fahrzeugen sowie elektrischen / elektronischen Geräten und Forschungs­einrichtungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gehe von knapp 30.000 betroffenen Unternehmen aus und bietet online eine sogenannte NIS-2-Betroffenheitsprüfung an.

Wendenburg gibt hierzu zu bedenken: „NIS-2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das beispielsweise Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS-2 vorbereiten, also auch seine vernetzten Geräte im Büro, im Labor und in der Produktion.“

Kaum jemand kümmert sich bisher um Drucker-Software – NIS-2 erzwingt es

Nach Wendenburgs Einschätzung hätten die wenigsten Firmen die Resilienz gegenüber Hacker-Angriffen außerhalb der IT-Netzwerke im Blick. Er gibt ein praxisnahes Beispiel: „Die Druckersoftware steht oft nicht im Fokus, solange der Drucker reibungslos arbeitet. Tatsächlich aber können sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen.“

Der Weg sei für geübte Programmierer ein Kinderspiel: „Die Hacker gehen vom Drucker aus, finden ein ,Active Directory’, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.“

Software-Stücklisten (SBOM) für NIS-2 und CRA erforderlich

Sogenannte Firmware (d.h. die in Geräten, Maschinen und Anlagen eingebettete Software) werde von vielen Experten als eine „kritische Lücke“ in der Sicherheitsstrategie von Unter­nehmen und Behörden gesehen. Die Empfehlung lautet daher, dass sich von NIS-2 betroffene Unternehmen schnellstmöglich von den Lieferanten aller im betrieblichen Einsatz befindlichen vernetzten Geräte im weitesten Sinne eine Software-Stückliste aushändigen lassen sollten.

Diese Stückliste – in Fachkreisen „Software Bill of Materials“ (SBOM) genannt – soll alle im Unternehmen eingesetzten Programme vollständig auflisten. Da es bei älteren Geräten – wie etwa einem seit zehn Jahren seinen Dienst verrichtenden Drucker – offenkundig meist schwierig sein wird, an die Firmware heranzukommen, empfiehlt Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Software-Komponenten und Generierung einer entsprechenden Software-Stückliste: „Das ist nicht nur für die NIS-2-Konformität von Bedeutung, sondern auch für den kommenden ,EU Cyber Resilience Act’ (CRA).“

NIS-2 erinnert daran, dass jede Cyber-Sicherheitskette nur so stark ist wie ihr schwächstes Glied…

Der technische Hintergrund sei: „Die Genauigkeit der Komponenten-Informationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank ,Common Vulnerabilities and Exposures’ (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch den Hackern bekannte – Einfallstore für Cyber-Kriminelle aufweist.“

Wendenburg führt abschließend aus: „Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien von NIS-2 bis CRA.“ Er warnt zudem: „Jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Ein einziges Gerät mit veralteter Software kann ausreichen, um ein ganzes Unternehmen zur Zielscheibe von Cyber-Kriminellen zu machen!“ Angesichts von Tausenden von Cyber-Angriffen pro Tag stelle sich für ihn „nicht die Frage, ob ein Unternehmen von Hackern angegriffen wird, sondern wann und wie gut es davor geschützt ist“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
NIS-2-Betroffenheitsprüfung

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zu Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 28.08.2024] „Software Bills of Materials“ (SBOMs) sind ein relativ neues TOM-Werkzeug im Dienste der IT-Sicherheit. Deren Einsatzmöglichkeiten sollen sich in den kommenden Jahren noch deutlich erweitern. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat jetzt seinen von der TeleTrusT-AG „Cloud Security“ erarbeiteten Leitfaden „Software Bill of Materials“ veröffentlicht – dieser beschreibt demnach verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge.

Abbildung: TeleTrusT

Aktueller TeleTrusT-Leitfaden „Software Bill of Materials“

TeleTrusT warnt: Unternehmen bisher kaum in der Lage, Risiken der IT Supply Chain proaktiv zu erkennen bzw. Angriffe abzuwehren

„Software Bill of Materials“ sollen ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette sein. Die aktuell verfügbaren Werkzeuge konzentrierten sich jedoch auf Software im engeren Sinne und berücksichtigten die erweiterten Anforderungen durch die Nutzung von „Cloud Services“, sei es als „SaaS“, über „Cloud APIs“ oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht.

„Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt.“ Lieferanten und deren Komponenten würden oft ein hohes Vertrauen und weitgehende Rechte genießen. Die Transparenz über die genaue Zusammensetzung dieser Komponenten sei indes noch häufig unzureichend.

Diese Kombination führe laut TeleTrusT dazu, „dass Unternehmen kaum in der Lage sind, Risiken in der ,IT Supply Chain’ proaktiv zu erkennen oder entsprechende Angriffe abzuwehren.“ Vielmehr müssten sie sich weitgehend auf ihre Zulieferer verlassen.

TeleTrusT-Leitfaden soll Unternehmen helfen, potentielle Sicherheitslücken selbst und möglichst automatisiert hinsichtlich Schutzmaßnahmen zu bewerten

„Software Bills of Materials“, also Software-Stücklisten, böten hier eine Lösung, „indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der ,Supply Chain’ erhöhen“. Dies ermögliche es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.

SBOMs lieferten außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützten so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, „indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden“.

Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“, kommentiert: „,Software Bills of Materials’ sorgen für Transparenz in der ,IT Supply Chain’. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich.“ Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. „Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen“, so Dehning.

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT, 2024
Software Bill of Materials / Leitfaden

TeleTrusT Bundesverband IT-Sicherheit e.V.
Cloud Security & SBOM / Software Bill of Materials (SBOM)

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 07.12.2023] Eines haben alle kommenden IT-Sicherheitsgesetze – allen voran der EU Cyber Resilience Act (CRA-E) – gemeinsam: Künftig muss eine Software Bill of Materials (SBOM) nachweisen, welche Softwarekomponenten in einem Gerät enthalten sind. „Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware bzw. Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar“, sagt Jan Wendenburg, CEO von ONEKEY. Das auf IoT und OT-Cybersicherheit spezialisierte Unternehmen betreibt eine als SaaS-Dienst nutzbare Sicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung der Software von Geräten vornimmt und ebenso automatisiert eine SBOM, d.h. Software-Stückliste, erstellt. Mit einem eigenen Sicherheitsteam, bestehend aus anerkannten Experten und White Hackern, konnte ONEKEY in den letzten Jahren durch eigene Recherchen auf schwerwiegende Sicherheitslücken hinweisen, die in der Folge geschlossen werden konnten. „Dies unterstreicht den dringenden Bedarf an Software-Stücklisten (SBOMs), die für transparente Software-Lieferketten und Verantwortlichkeit in der Softwareproduktion und -distribution sorgen. Richtlinien dazu gibt es bereits jetzt– und mit der endgültigen Verabschiedung des EU Cyber Resilience Act werden SBOMs in Kürze auch gesetzlichverpflichtend“, so Wendenburg weiter.

Umfassendes Whitepaper bietet Leitfaden und technische Unterstützung

Das europäische Unternehmen mit Hauptsitz in Deutschland, das für seine Verdienste rund um die Cybersicherheit von IoT und OT Geräten mehrfach ausgezeichnet wurde, hat zu diesem Thema ein umfassendes Whitepaper in englischer Sprache mit dem Titel „Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“ erstellt. „Die Erstellung und Pflege von SBOMs ist ein wesentlicher Bestandteil der gesamten Software-Lieferkette – nicht nur für Hersteller, die Komponenten zukaufen, sondern auch für Anlagen mit digitalen Elementen, die bereits seit Jahren im Einsatz sind. Immer wieder finden unsere und andere Cybersecurity Experten Zero Day-Schwachstellen in IoT oder OT-Technologie, die jahrelang völlig unter dem Radar geflogen sind“, warnt Jan Wendenburg. Das Whitepaper beleuchtet sämtliche Aspekte wie Form und Aufbau, rechtliche Anforderungen, standardisierte Formate von SBOMs und die besonderen Herausforderungen bei IoT und OT-Geräten, die eine Vielzahl versteckter Softwaremodule enthalten und zudem häufig Software aus Open Source Quellen enthalten, und bietet damit einen Leitfaden für ein effektives und effizientes SBOM-Management.

BSI bestätigt SBOM als zentrale Sicherheitskomponente

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist mit der Technischen Richtlinie TR-03183 auf die Bedeutung von SBOMs hin. Diese sollen laut BSI bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität der eingesetzten Programme transparent darstellen zu können. Dieses Wissen sei für Managementprozesse wie den Produktlebenszyklus und insbesondere für einen durchgängigen IoT/ OT Cybersicherheitsprozess unabdingbar. Die Software Bill of Materials dient als transparente Dokumentation der Software-Lieferkette.

„Die Erstellung und laufende Pflege der SBOM muss zum Teil des Workflows werden – sowohl in der Entwicklung (CI/CD Pipeline) als auch im Vertrieb und im laufenden Betrieb (PSIRT Teams) von IoT und OT-Technologie. Die automatische Erstellung der SBOM hilft sowohl bei Audits, aber vor allem auch im Krisenfall, wenn Nachweispflichten entstehen“, erklärt Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 29.11.2023
Kubernetes mit KBOM sicherer machen

ONEKEY
„Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“

Ein Beitrag von unserem Gastautor Arne Jacobsen, Director of Sales EMEA bei Aqua Security

[datensicherheit.de, 29.11.2023] Um die Komponenten und Anhängigkeiten von Anwendungen abzubilden, werden SBOMs erstellt. Eine Software Bill of Materials hilft so die Risiken von Anwendungen besser zu verstehen. Darüber hinaus können Schwachstellen bewertet oder die Einhaltung von Lizenzen überprüft werden. Während die Erstellung von SBOM eine Standardpraxis für Anwendungen ist, gibt es eine weitere abzusichernde Infrastruktur, auf der moderne Anwendungen aufbauen: Kubernetes. Die Sicherheit der Kubernetes-Infrastruktur wird generell durch Sicherheitsscanner überprüft. Solche Scanner können ähnlich einer SBOM Schwachstellen für Kubernetes-Cluster bewerten, inklusive den Komponenten, aus denen sie bestehen. Analog wird das Ergebnis eines solchen Scans als KBOM bezeichnet.

Arne Jacobsen, Director of Sales EMEA bei Aqua Security, Bild: Aqua Security

KBOM – das Manifest aller wichtigen Komponenten

Kubernetes ist ein wichtiger Bestandteil zwischen vielen anderen grundlegenden Schichten wie Netzwerk, Container-Laufzeit, Cloud-Infrastruktur, Speicher und mehr. Dies macht Kubernetes zu einer wichtigen Komponente, die es abzusichern gilt. Dabei ist Kubernetes sehr komplex und hat viele bewegliche Bestandteile. Die Abbildung und Aufzeichnung der Zusammensetzung von Kubernetes-Clustern über eine KBOM ist somit ein sehr lohnendes Ziel. Ähnlich wie eine Software Bill of Materials (SBOM) ist eine KBOM (Kubernetes Bill of Materials) das Manifest aller wichtigen Komponenten, aus denen ein Kubernetes-Cluster besteht: Control-Plane-Komponenten, Node-Komponenten und Add-ons, einschließlich ihrer Versionen und Images. Anstatt einen bestehenden Cluster nachträglich zu analysieren, können Kubernetes-Installateure ihre Ergebnisse im KBOM-Format melden. Dies entspricht dem Unterschied zwischen der SBOM-Generierung mit SCA und der aus dem Quellcode.

Konzeptionelle Darstellung einer KBOM

Abbildung 1: Konzeptionelle Darstellung einer KBOM mit den wichtigsten Komponenten eines Kubernetes-Clusters: Control Plane, Node und Add-Ons, einschließlich ihrer Versionen und Images.

Vorteile einer KBOM

Eine KBOM gibt detaillierte Antworten auf Fragen wie: „Welche „api-server“-Version wird verwendet?“ „Welche Variante von „kubelet“ läuft auf jedem Knoten?“ oder „Welche Art von Netzwerk-Plugin wird derzeit verwendet?“ Eine KBOM hilft somit Sicherheitsprobleme zu erkennen und zu wissen, wann ein Upgrade der Clusterkomponenten erforderlich ist. Die durch die KBOM-Generierung und das Scannen von Komponenten auf Sicherheitslücken gewonnene Transparenz ist nicht nur für Unternehmen wichtig, die ihre eigenen Kubernetes-Umgebungen betreiben. Auch Unternehmen, die einen verwalteten Kubernetes-Service nutzen, benötigen dieses Maß an Transparenz und Sicherheit, um festzustellen, ob ihre Service-Provider anfällige Komponenten verwenden, die ein Risiko für sie darstellen könnten.

Erstellung einer KBOM

KBOMs können auf unterschiedliche Weise erstellt werden. Im Kubernetes-Ökosystem gibt es verschiedene Tools, die bei der Verwaltung und Verfolgung von Komponentenversionen helfen können. Die in der Community meistgenutzte Lösung ist der Open-Source-Schwachstellenscanner „Trivy“. Trivy beinhaltet seit Anfang 2023 die Generierung von KBOMs und verwendet die Kubernetes-API zur Erkennung des Clusters. Er wurde mit gängigen Kubernetes-Distributionen wie OpenShift, Rancher, minikube und kind getestet. Die Erstellung einer KBOM über ein entsprechendes Tool ist somit an sich nicht sonderlich schwierig. Wichtiger als das Wissen über die Komponenten selbst, ist zu wissen, ob es Schwachstellen gibt, die diese Komponenten betreffen. Denn viele Infrastrukturscanner können nur Fehlkonfigurationen erkennen und die Kubernetes-Komponenten nicht auf Schwachstellen hin analysieren. Die neueste Version von Trivy aus dem November 2023 bietet über die Generierung von KBOMs nun auch Schwachstellen-Scan für Kubernetes-Komponenten an. Nutzer können so einfach eine KBOM für ihre Kubernetes-Umgebung erstellen und diese gleichzeitig nach Schwachstellen scannen. So können sie die Sicherheitsrisiken ihrer Kubernetes-Cluster besser verstehen und das Risiko deutlich reduzieren.

Verwundbarkeiten jedes einzelnen Kubernetes-Clusters, Bild: Aqua Security

Abbildung 2: Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters

Fazit: KBOMs und Schwachstellen-Scans für Kubernetes erhöhen die Sicherheit

Viele Unternehmen machen sich zurecht Sorgen um die Sicherheit von Kubernetes – insbesondere um Schwachstellen und Fehlkonfigurationen. So wie SBOM für die Sicherheit von Anwendungen entscheidend ist, kann eine KBOM für die Sicherheit der Cloud-Infrastruktur entscheidend sein. Mit der Möglichkeit, neben Workloads und Images auch die eigentliche Kubernetes-Infrastruktur zu scannen, erhalten Nutzer nun neue Möglichkeiten, um zu verstehen, wie sich die Sicherheit ihres Clusters im Laufe der Zeit verändert. Die Branche arbeitet aktuell noch an einem vollständigen Kubernetes-Schwachstellen-Scanner. In der Zwischenzeit sollten Unternehmen über entsprechende Tools vollständige KBOMs ihrer Kubernetes-Infrastruktur erstellen und sie auf Schwachstellen scannen – und so das Sicherheitsrisiko ihrer Kubernetes-Cluster enorm reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 23.03.2021
Digitalisierung: Sechs Bausteine für ein souveränes Europa

[datensicherheit.de, 01.06.2023] Sogennannte Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen, meldet der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Solche Attacken erfolgten über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und seien daher von Anwendern schwer zu verhindern. Ein jetzt veröffentlichter TeleTrusT-Leitfaden beschreibt demnach neben der „Software Bill of Materials“ (SBOM) weitere Schutzmaßnahmen, welche von Anwenderunternehmen zur Verbesserung der „Cloud Supply Chain Security“ getroffen werden könnten.

Abbildung: TeleTrusT

Neuer TeleTrusT-Leitfaden beschreibt Software Bill of Materials (SBOM) sowie weitere Schutzmaßnahmen

Schwache Anwender-Postion laut TeleTrusT inakzeptabler Zustand

„In der IT ist die ,Supply Chain’ die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt.“

Für jede Art von Software, aber insbesondere für „Cloud“-Dienste, bestehe eine solche Lieferkette aus unzähligen Lieferanten und solchen Produkten, welche entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen.

Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – „ein inakzeptabler Zustand“.

TeleTrusT empfiehlt Software Bill of Materials – eine Aufstellung aller Komponenten einer Software-Anwendung

Um das Problem der mangelnden Transparenz zu lösen, führt laut TeleTrusT der Weg über die „Software Bill of Materials“ (SBOM): „Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind.“

Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, könnten Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind.

Es werde erwartet, „dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt“.

Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security kommentiert

„Aktuelle ,Software Bill of Materials’ (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der ,Cloud Supply Chain’ und damit für mehr Sicherheit bei der Nutzung von ,Cloud’-Services“, erläutert Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.

Anwender könnten einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer „Cloud Supply Chain“ leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen.

Dehning rät abschließend: „Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cyber-Sicherheit auch in der ,Cloud’ ermöglichen.“

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT
Cloud Supply Chain Security / Leitfaden für Schutzmaßnahmen 2023