In der heutigen Zeit hängen Firmen mehr denn je von einer verlässlichen wie auch sicheren Softwareinfrastruktur ab. Mit steigender Vielschichtigkeit und Abhängigkeit von Drittanbieterkomponenten in Softwarelösungen steigen aber ebenso die Sicherheitsrisiken.
Ein möglicher Ansatz zur Lösung jener Herausforderung ist die Einführung einer Software Bill of Materials (SBOM).
Im folgenden Beitrag wird beschrieben, was sich hinter diesem Begriff versteckt, welche gesetzlichen Erfordernissen sowie Vorschriften bezüglich der Software Bill of Materials existieren und wie deutsche Unternehmen von ihrer Implementierung einen Nutzen ziehen können.
Softwarelösungen und Softwarekomponenten sind heutzutage ein integraler Bestandteil des Geschäftslebens. Von einer Automatisierung von Arbeitsprozessen über die Auswertung großer Datenmengen bis hin zur Entwicklung von Produkten und Serviceleistungen gewähren sie Unternehmen, besser und agiler zu arbeiten. Sie unterstützen die Entwicklung neuer Geschäftsmodelle und helfen dabei, sich rasch an Änderungen in der Marktlandschaft anzugleichen. Darüber hinaus bilden sie das Fundament für die digitalen Prozesse und Innovationen, die Unternehmen jeglicher Sektoren sowie Größen voranbringen.
Mit der steigenden Komplexität und Abhängigkeit von Software sind jedoch ebenso neue Herausforderungen und Risiken aufgetreten, insbesondere im Hinblick auf IT-Sicherheit, Datenschutz sowie die Einhaltung gesetzlicher sowie regulatorischer Anforderungen. Unternehmen sind deshalb gefordert, frühzeitig Optimierungen zu ergreifen, um ihre Softwarelandschaft sicherer zu gestalten und die Abhängigkeit von Drittanbieterkomponenten zu reduzieren.
An dieser Stelle bietet sich die Einführung einer Software Bill of Materials (kurz SBOM) an.
SBOM und ihre Rolle bei der Minimierung von Sicherheitsrisiken!
Die Software Bill of Materials oder SBOM ist, wie der Titel schon andeutet, eine Liste aller in einer Softwareanwendung eingesetzten Elemente und Wechselbeziehungen. Sie offeriert einen umfassenden Überblick über die verschiedenen Softwarebestandteile, inkl. proprietärer sowie Open-Source-Komponenten, Bibliotheken, Frameworks und anderer erforderlicher Ressourcen, die für die Weiterentwicklung und den Betrieb der Anwendung nötig sind. Hierüber hinaus besitzt sie Informationen über die genutzten Softwarekomponenten selbst, ihre Versionen, Herkunft, Lizenzen und bekannte Schwachpunkte.
Die gesetzlichen Rahmenbedingungen!
Die Bedeutung der Software Bill of Materials hat in jüngster Zeit hinsichtlich der alarmierenden Steigerung von Sicherheitsvorfällen sowie Internetangriffen erheblich zugenommen. Böswillige Bedrohungsakteure machen sich oftmals die Verwendung von Open-Source-Komponenten mit bekannten Sicherheitslücken zunutze. Eine vor kurzem ausgeführte Studie (https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2023.pdf) von Synopsys (https://www.synopsys.com/) ergab beispielsweise, dass in 84 Prozent der analysierten Codebasen zumindest eine Open-Source-Komponente mit einer bekannten Sicherheitslücke involviert war. Das bietet Angreifern ein riesiges Potenzial für Angriffe. Als Antwort auf diese Gefährdung hat die Regierung der Vereinigten Staaten die obligatorische Benutzung einer Software Bill of Materials eingeführt. Diese Initiative zielt hierauf ab, die Transparenz und Sicherheit in der Softwareentwicklung und -verwaltung zu erhöhen und mögliche Risiken frühzeitig zu erkennen.
Die Executive Order 14028 (https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity) des Weißen Hauses, welche darauf abzielt, die nationale Cybersicherheit zu stärken, verlangt die Anwendung einer Software Bill of Materials für alle Softwareprodukte, die von Regierungsbehörden der USA verwendet werden. Durch die Verbesserung der Transparenz sowie Rückverfolgbarkeit von Softwarekomponenten können Sicherheitslücken effizienter aufgedeckt und behoben werden. Vergleichbare Entwicklungen sind ebenfalls in Deutschland zu beobachten, wo neuartige Vorschriften im Kontext des novellierten IT-Sicherheitsgesetzes 2.0 (https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html) (kurz IT-SiG 2.0) diskutiert werden. Diese Gesetzesänderung würde Betreiber kritischer Infrastrukturen (kurz KRITIS), Bundesbehörden und Firmen von speziellem öffentlichem Interesse wie auch deren Zulieferbetriebe dazu verpflichten, eine Software Bill of Materials zu gebrauchen. Obwohl es gegenwärtig in Deutschland keinerlei explizite gesetzliche Pflicht zur Nutzung einer Software Bill of Materials hat, könnten künftige Gesetzesänderungen wie auch Initiativen das verändern und somit den Schutz vor Sicherheitsrisiken.
Wie können deutsche Unternehmen von der Implementierung einer Software Bill of Materials profitieren?
Die Relevanz der Software Bill of Materials geht aber weit über die gesetzmäßigen Vorgaben hinaus. Zunehmend mehr Unternehmen, inkl. deutscher Unternehmen, erkennen den Nutzen einer umfangreichen Transparenz wie auch Rückverfolgbarkeit von Softwarekomponenten.
An dieser Stelle sind ein paar der wichtigsten Vorteile einer Einführung einer Software Bill of Materials:
- Frühzeitige Identifizierung von Sicherheitslücken und Schwachstellen: Eine umfangreiche Aufschlüsselung der verwendeten Komponenten plus ihrer Versionen ermöglicht Firmen, potenzielle Sicherheitslücken und Schwachstellen frühzeitig zu erkennen. Dies kann dazu führen, Cyberangriffe und Sicherheitsverletzungen zu verhindern oder wenigstens deren Auswirkungen zu verkleinern.
- Verbesserte Compliance: Die Einhaltung von Sicherheitsstandards wie auch Regularien, sowohl auf nationaler als auch internationaler Stufe, ist für Firmen von relevanter Bedeutung. Die Einführung einer Software Bill of Materials kann Firmen hierbei unterstützen, Compliance-Anforderungen besser zu erfüllen und mögliche rechtliche Folgen oder Sanktionen zu umgehen.
- Effizientere Risikobewertung und effizienteres Risikomanagement: Durch mehr Durchsichtigkeit und Kontrolle über die Software-Lieferkette können Firmen Risiken effektiver einschätzen und regeln. Durch die Identifikation und Bewertung von Risiken können Unternehmen gezielte Maßnahmen aufgreifen, um ihre IT-Systeme zu schützen und die Sicherheit der Softwareanwendungen zu gewährleisten.
- Kostenreduzierung: Die Vermeidung von Sicherheitsvorfällen und daraus resultierenden Schäden und Verlusten kann erhebliche Kosten für Unternehmen einsparen. Durch die Einführung einer Software Bill of Materials können Unternehmen proaktiv Sicherheitslücken verschließen und demnach potenzielle Schäden minimieren.
Doch wie lässt sich Software Bill of Materials nun implementieren?
Die Umsetzung von Software Bill of Materials in der Praxis!
Die Einführung einer Software Bill of Materials kann je nach Firma und ihren spezifischen Anforderungen unterschiedlich sein, aber im Folgenden sind ein paar fundamentale Schritte, die Unternehmen in der Regel befolgen:
- Bestandsaufnahme bestehender Software: Der allererste Schritt liegt darin, eine vollständige Bestandsaufnahme aller vorhandenen Software und Systeme zu machen. Hierbei ist es elementar, sowohl innere als auch externe Softwareanwendungen zu beachten.
- Identifizierung der Softwarekomponenten: Als nächstes müssen die einzelnen Komponenten jeder Software identifiziert werden. Dies umfasst nicht nur die Hauptsoftware, sondern ebenso jegliche zugehörigen Bibliotheken, Frameworks und Abhängigkeiten.
- Erstellung einer Software Bill of Materials: Sobald sämtliche Komponenten ermittelt sind, kann die Software Bill of Materials erstellt werden. Diese sollte Informationen über jeglichen Teil, dessen Version, dessen Herkunft sowie seine Beziehungen zu anderen Komponenten enthalten.
- Regelmäßige Aktualisierung und Überprüfung der Software Bill of Materials: Die Software Bill of Materials ist absolut kein statisches Dokument, sondern sollte regelmäßig aktualisiert und überprüft werden. Jede Veränderung an der Software, sei es durch Aktualisierungen, Patches oder das Ergänzen neuer Funktionen, sollte in der Software Bill of Materials reflektiert werden.
- Integration in bestehende Sicherheitsprozesse: Schlussendlich muss die Software Bill of Materials in die vorhandenen Sicherheitsprozesse des Unternehmens integriert werden. Diese kann als Baustein des Risikomanagements, der Incident Response und der Compliance-Überwachung nützen.
Fazit: Software Bill of Materials als Antwort auf steigende Sicherheitsrisiken!
Fakt ist: Die Softwarelandschaft ist heute der Dreh- und Angelpunkt für den unternehmerischen Gewinn. In einer Zeit, in der Internetsicherheit wie auch Vertrauen immer wichtiger werden, avanciert die Software Bill of Materials zu einem elementaren Bestandteil, um den wachsenden Anforderungen an IT-Sicherheit und IT-Compliance adäquat zu werden. Unternehmen, welche den inhärenten Wert der SBOM begreifen und in eine proaktive Umsetzung investieren, stärken nicht bloß die Software-Lieferkette. Sie sichern zeitgleich ihre Marktposition und garantieren ihren dauerhaften Erfolg in einer digitalen Ära. Möchten auch Sie die Sicherheit Ihrer Softwarelandschaft optimieren? Oder haben Sie noch Anliegen zum Thema? Sprechen Sie uns an!