ONEKEY: Software-Stücklisten werden zum Sicherheitheitspass

ONEKEY-Sicherheitsplattform wird ausgebaut von der Umgebung für das Aufspüren bis hin zum ganzheitlichen Management von Software-Schwachstellen in smarten Produkten.-

Erweiterte Software-Stücklisten werden zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen

Düsseldorf, 4. November 2025 – Die EU-Verordnung Cyber Resilience Act (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine Software Bill of Materials (SBOM), also eine Software-Stückliste, vorweisen müssen. Ziel ist es, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Der CRA verlangt daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken. Diese Anforderungen zu erfüllen fällt vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhalten.

Aus diesem Grund sind viele SBOMS unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar.

SBOM wird zum Sicherheitspass

Jetzt hat das Düsseldorfer Cybersicherheitsunternehmen ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMS zu erzeugen. Die stark erweiterten Software-Stücklisten enthalten alle relevanten Informationen zu Schwachstellen. Die damit erzeugten SBOMS erfüllen alle Anforderungen der Branche vollumfänglich. Sie enthalten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellen auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, erklärt Jan Wendenburg, CEO von ONEKEY. Er weiß aus vielen Gesprächen mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des Cyber Resilience Act nachzukommen.“ Die neue Funktionalität stellt einen entscheidenden Beitrag dar, diese Hürde zu überwinden, heißt es bei ONEKEY.

Umfassendes Management von Schwachstellen statt bloßer Erkennung

Das jüngste Feature ist Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützt. Bislang war die Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet. „Mängel zu identifizieren ist nur der erste Schritt“, sagt Jan Wendenburg, „jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte Workflows, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und Compliance-Teams in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, erklärt Jan Wendenburg die Unternehmensstrategie.