‹ Zurück Basiswissen Cybersecurity

SBOM (Software Bill of Materials)

Was ist eine Software Bill of Materials (SBOM)?

Eine SBOM ist eine umfassende Liste aller Softwarekomponenten, Abhängigkeiten und Metadaten, die mit einer Anwendung verknüpft sind. Die SBOM dient zur Bestandsaufnahme aller Bausteine eines Softwareprodukts. Dies hilft Unternehmen, ihre Anwendungen besser zu verstehen, zu verwalten und zu schützen.

Verschiedene Faktoren verdeutlichen die Notwendigkeit einer SBOM, darunter:

  • Gewährleistung der Softwaretransparenz
  • Verwaltung von Open-Source-Software und Abhängigkeiten von Drittanbietern
  • Identifizierung und Minimierung von Sicherheitsschwachstellen
  • Einhaltung gesetzlicher und behördlicher Anforderungen

Die Durchführungsverordnung zur Verbesserung der US-Cybersicherheit wurde im Mai 2021 von der US-Regierung erlassen und zeigte, wie wichtig SBOMs zur Verbesserung der Sicherheit in der Software-Lieferkette sind.

Weitere Informationen

Gibt es einen bekannten SBOM-Vorfall?

Ein konkreter Vorfall, der die US-Regierung dazu veranlasste, SBOMs von ihren Anbietern zu verlangen, ereignete sich im Jahr 2020. Im Mittelpunkt stand ein Network Management System (NMS), das weltweit sowohl im öffentlichen als auch im privaten Sektor beliebt ist. Etwa 18.000 Kunden wurden kompromittiert, aber nur wenige von ihnen waren Opfer von sekundären Angriffen. Der Angriff kostete den Anbieter Millionen von Dollar, führte jedoch zu besseren Branchenstandards. Diese sorgen dafür, dass die Sicherheit sich durch den gesamten Prozess der Softwareentwicklung zieht und korrekt verwaltet wird, sodass Schwachstellen nicht ausgenutzt werden können.

SBOM als Mittel zur Bestandsaufnahme

Eine SBOM dient zur Bestandsaufnahme aller Softwarekomponenten und -abhängigkeiten. Moderne Softwareanwendungen nutzen häufig Bibliotheken und Frameworks von Drittanbietern. Viele dieser Abhängigkeiten haben wiederum eigene Abhängigkeiten von anderen Komponenten. Dies führt zu einer komplexen Verschachtelung miteinander verbundener Komponenten. Es ist unerlässlich, dass Unternehmen sich dieser Abhängigkeiten bewusst sind. Eine SBOM bietet Einblick in diese Beziehungen und die Zusammensetzung einer Anwendung, sodass Unternehmen ihre Software-Lieferkette besser verwalten können.

Diese Bestandsaufnahme umfasst auch Informationen zur Herkunft und zu den Lizenzen von Komponenten. Wenn ein Unternehmen die Herkunft und Lizenzen jeder Komponente kennt, kann sichergestellt werden, dass die Verwendung dieser Komponenten den gesetzlichen Anforderungen und Lizenzbedingungen entspricht. Mit der SBOM können Unternehmen die potenziellen Risiken enthaltener Komponenten bewerten, beispielsweise Komponenten von nicht vertrauenswürdigen Quellen oder Komponenten, die gegen Lizenzbedingungen verstoßen.

Verwendung von SBOMs zur Prüfung auf bekannte Schwachstellen

Eine SBOM spielt auch bei der Identifizierung und Minimierung von Sicherheitsschwachstellen eine wichtige Rolle. Anhand einer Liste der Komponenten und Abhängigkeiten kann ein Unternehmen seinen Bestand systematisch mit Datenbanken vergleichen, die bekannte Schwachstellen enthalten (z. B. die Datenbank Common Vulnerabilities and Exposures). Sicherheitsteams können potenzielle Bedrohungen in Bezug auf Abhängigkeiten von Softwareanwendungen proaktiv identifizieren und beheben, bevor Angreifer diese Schwachstellen ausnutzen.

SBOM-Formate und -Standards

Aus der Notwendigkeit, SBOMs zu erstellen und zu teilen, sind mehrere Formate und Standards entstanden. Standardisierte Formate erleichtern das Teilen von SBOM-Daten in der gesamten Software-Lieferkette und fördern dadurch die Transparenz und die Zusammenarbeit zwischen verschiedenen Stakeholdern. Zu den bekannteren Formaten gehören:

Diese Formate bieten unterschiedliche Detailebenen für verschiedene Software-Umgebungen. So können Unternehmen das Format wählen, das ihren Anforderungen am besten entspricht.

Einfluss cloudnativer Anwendungen auf SBOMs

Cloudnative Anwendungen haben die Komplexität von Software-Umgebungen erhöht. Sie sind verteilt, hängen oft von vorgefertigten Container-Images ab und können aus Hunderten oder Tausenden von Mikroservices mit jeweils eigenen Komponenten und Abhängigkeiten bestehen. Dies macht die Gewährleistung von Sicherheit in der Software-Lieferkette zu einer enormen Herausforderung. Wenn diese Anwendungen nicht korrekt verwaltet werden, besteht die Gefahr, dass sie Sicherheitslücken verursachen.

Dies verdeutlicht, wie wichtig die Rolle von SBOMs bei der Gewährleistung der Sicherheit von cloudnativen Anwendungen ist. SBOMs liefern eine umfassende Bestandsliste mit Softwarekomponenten, die systematisch auf potenzielle Sicherheitslücken überprüft werden kann. Dies hilft Unternehmen, ihre Anwendungen in der Cloud erfolgreich zu verwalten und zu sichern.

Weitere Informationen

In diesem Beitrag erfahren Sie, was genau eine cloudnative Anwendung ist und warum die meisten Unternehmen auf Cloud-Umgebungen migrieren. Was ist eine cloudnative Anwendung?

Vorteile der Implementierung von SBOMs

Die Implementierung von SBOMs bietet Unternehmen verschiedene Vorteile, darunter:

  • Verbesserter Sicherheitsstatus: Mithilfe von SBOMs können Unternehmen potenzielle Sicherheitsrisiken leichter erkennen und angehen.
  • Optimierte Schwachstellenverwaltung: Unternehmen können Schwachstellen besser priorisieren und beheben.
  • Verbesserte Zusammenarbeit zwischen Teams: Da alle Beteiligten durch SBOMs besseren Einblick in die Komponenten einer Anwendung und die damit verbundenen Risiken erhalten, können unterschiedliche Teams im Unternehmen – beispielsweise Entwicklung, Sicherheit und Recht – erfolgreicher zusammenarbeiten.
  • Einfachere Software-Audits und Compliance-Prüfungen: Unternehmen können leichter die Einhaltung von gesetzlichen und behördlichen Anforderungen nachweisen. Ebenso können sie interne Software-Audits durchführen, um die Sicherheit und Qualität ihrer Anwendungen zu gewährleisten.

Herausforderungen bei der Einführung von SBOMs

Die Vorteile von SBOMs sind klar. Dennoch kann es sein, dass Unternehmen mit Herausforderungen konfrontiert werden, wenn sie die SBOMs in ihren Software-Entwicklungs-Lebenszyklus integrieren.

  • Integration in vorhandene Tools und Workflows: Unternehmen müssen strategisch und konsequent vorgehen, wenn sie die Erstellung und Verwaltung von SBOMs in ihre vorhandenen Entwicklungs- und Sicherheitsprozesse integrieren. Dies kann sich negativ auf das Entwicklungstempo auswirken.
  • Wahrung genauer und aktueller Informationen: Es kann zeit- und arbeitsaufwendig sein, genaue und aktuelle SBOMs zu führen – insbesondere bei Anwendungen, die häufig aktualisiert oder geändert werden.
  • Umgang mit Datenschutz und geistigem Eigentum: Wenn SBOMs mit externen Stakeholdern geteilt werden, kann dies im Unternehmen Bedenken hinsichtlich der Offenlegung geschützter oder vertraulicher Informationen aufwerfen. Unternehmen müssen ein ausgewogenes Verhältnis zwischen Sicherheit und Transparenz finden.
  • Förderung der Akzeptanz in der gesamten Software-Lieferkette: Um maximalen Nutzen zu erzielen, müssen alle Beteiligten in der Software-Lieferkette SBOMs einführen und miteinander teilen. Dies erfordert Zusammenarbeit, Standardisierung und eine Verpflichtung zur Transparenz zwischen allen Stakeholdern.

Integration von SBOMs in Tools für die Schwachstellenverwaltung

Durch die Integration von SBOMs in Tools für die Schwachstellenverwaltung lässt sich der Sicherheitsstatus eines Unternehmens weiter verbessern. Tools zum Scannen von Anwendungen oder Containern können beispielsweise anhand der Informationen in einer SBOM eine Überprüfung auf Schwachstellen und Bedrohungen durchführen. Automatisierte Sicherheitstools können SBOM-Inhalte regelmäßig mit einer CVE-Datenbank vergleichen. Wenn ein Unternehmen bei Verwendung einer Komponente gegen die Lizenzbestimmungen verstößt, wird eine Warnmeldung generiert.

Indem Unternehmen die SBOM-Daten in die Schwachstellenverwaltung und die Compliance-Audit-Prozesse integrieren, können sie ihre Bemühungen besser priorisieren und Risiken gezielter und effizienter angehen.

CrowdStrike Falcon® Cloud Security umfasst Cloud-Workload-Schutz, die umfassenden Einblick in Workloads und Container bietet. Durch das vorgefertigte Scannen von Container-Images, Registrierungen und Bibliotheken ermöglicht CrowdStrike Falcon® Cloud Security die Früherkennung von Bedrohungen, schnelle Warnmeldungen und umsetzbare Erkenntnisse zur Behebung.

Cloud Risk Report 2023

Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.

Jetzt herunterladen