Was ist eine Sofware Bill of Materials (SBOM)? Bedeutung, Beispiel und Anwendungsfälle

Eine Software Bill of Materials (SBOM) ist eine strukturierte Liste aller Softwarekomponenten, insbesondere Open-Source- und Drittanbieter-Bibliotheken, die in einer Anwendung oder einem Produkt verwendet werden. Sie sorgt für Transparenz bezüglich der Abhängigkeiten, erleichtert das Schwachstellenmanagement und unterstützt die Einhaltung von Sicherheits- und Compliance-Anforderungen wie CRA und NIS2.

In diesem Artikel erfahren Sie, was eine SBOM genau ist, wie sie die Sicherheit Ihrer Lieferkette verbessert und wie Sie sie effektiv verwalten können.

Wichtigste Erkenntnisse

• ‍SBOM-Definition: Eine SBOM ist eine maschinenlesbare Liste aller Komponenten einer Software. Sie umfasst Open-Source-Bausteine, Drittanbieter-Software sowie internen Code.‍
• Sicherheit und Compliance: SBOMs erhöhen die Sicherheit, Transparenz und Compliance in der Software-Lieferkette. Dies ist besonders wichtig beim Umgang mit neuen Schwachstellen, den sogenannten CVEs.‍
• Breite Anwendung: SBOMs unterstützen verschiedene Rollen wie PSIRT-Manager, Product Compliance Manager, Product Owner, Entwicklungsleiter sowie CTOs und CIOs. Sie helfen bei der Reaktion auf Sicherheitsvorfälle, bei Audits und bei der sicheren Freigabe von Software.‍
• Schwachstellenmanagement: In Verbindung mit Informationen zu Schwachstellen lässt sich mit einer SBOM erkennen, welche Sicherheitslücken tatsächlich relevant sind und welche aufgrund von Konfiguration oder Kontext kein akutes Risiko darstellen.‍
• Typische Anwendungsfälle: SBOMs werden unter anderem in der Supply-Chain-Security, bei Pre-Deployment-CVE-Prüfungen, im Vendor-Risk-Assessment sowie bei der Einhaltung von Open-Source-Lizenzbestimmungen eingesetzt.‍
• Automatisierung: Die automatisierte Verwaltung von SBOMs in CI/CD-Pipelines sorgt für Skalierbarkeit und Genauigkeit. Zudem verbessert sie die Vorbereitung auf gesetzliche Vorgaben wie den EU Cyber Resilience Act (CRA) und NIS2.

Definition: Was ist eine SBOM?

Eine Software Bill of Materials (SBOM) ist eine strukturierte und maschinenlesbare Auflistung aller Softwarekomponenten, die in einer Anwendung oder einem Produkt enthalten sind. Sie enthält Angaben wie den Namen der Komponente, deren Version, den Lieferanten, Lizenzinformationen sowie eindeutige Identifikatoren. Dadurch lässt sich jede Komponente eindeutig bestimmen und mit Schwachstellendatenbanken wie CVE oder NVD verknüpfen.

SBOMs dienen als detaillierte Übersicht der Softwarezusammensetzung und schaffen Transparenz während aller Phasen von Entwicklung und Bereitstellung. Sie umfassen wichtige Informationen wie den Namen des Lieferanten, die Version der Komponenten, kryptografische Hashes und Lizenzdetails. Diese strukturierten Daten erleichtern die Überprüfung der Software integrität und gewährleisten, dass keine versteckten Elemente in Ihrem Produkt verbleiben.

Wie sich SBOMs von herkömmlichen Bestandslisten unterscheiden

Klassische Inventarlisten erfassen physische Vermögenswerte wie Server, Endgeräte oder komplette Anwendungen. Eine SBOM hingegen beschreibt die Code-Ebene und dokumentiert auch transitive Abhängigkeiten, das heißt Bibliotheken, die indirekt über andere Komponenten eingebunden sind. Dieses Detailniveau ist entscheidend, um versteckte Risiken in Ihrer Lieferkette zu erkennen.

Warum ist SBOM für die Softwaresicherheit wichtig?

SBOMs machen transparent, welche Komponenten in Ihren Produkten enthalten sind und wo potenzielle Schwachstellen auftreten können. Ohne diese Transparenz ist es kaum möglich, schnell und gezielt auf neu entdeckte Sicherheitslücken zu reagieren oder die regulatorischen Anforderungen an ein strukturiertes Schwachstellenmanagement zu erfüllen.

Ohne eine SBOM fehlt vielen Unternehmen die Möglichkeit, Herkunft und Risiko von Softwarekomponenten nachzuvollziehen. Dieser blinde Fleck wird bei Zero-Day-Angriffen oder dringenden Patch-Zyklen zu einer ernsthaften Gefahr. Mit einer SBOM können Ihre Sicherheits- und Entwicklungsteams bei sich entwickelnden Bedrohungen sicher und effektiv handeln.

Schnellere Identifizierung von Schwachstellen

Wird eine neue Schwachstelle (CVE) bekannt, ermöglicht eine aktuelle SBOM eine schnelle Überprüfung, ob und wo die betroffene Komponente eingesetzt wird. So können Teams Patches priorisieren, Workarounds planen und die Zeitspanne verkürzen, in der Produkte anfällig sind.  

Verbesserung der Transparenz in der Lieferkette

Moderne Software besteht zu einem großen Teil aus Open-Source- und Drittanbieter-Komponenten, deren Qualität und Pflegezustand unterschiedlich sind. SBOMs bieten einen klaren Überblick darüber, welche externen Komponenten von welchen Zulieferern stammen. Dadurch wird die Bewertung und der Vergleich von Risiken in der Lieferkette deutlich erleichtert.

Verbesserung des Schwachstellen-Managements

Im Schwachstellenmanagement fungieren SBOMs als Verbindung zwischen Schwachstellenmeldungen und den jeweiligen Produkten. In Kombination mit Vulnerability-Informationen wie VEX ermöglichen sie, genau zu erkennen, welche Schwachstellen tatsächlich relevant sind und welche aufgrund der Konfiguration oder des Kontexts kein akutes Risiko darstellen. Dadurch sparen Sie Zeit und unterstützen Ihr PSIRT-Team dabei, sich auf die wichtigsten Aufgaben zu konzentrieren.

Verbesserung der eingebetteten Sicherheit und Produktsicherheit

In Embedded- und IoT-Produkten enthalten Firmware-Images viele verschiedene Komponenten, die oft schwer zu überblicken sind. SBOMs dokumentieren diese Bausteine über den gesamten Produktlebenszyklus hinweg. Dadurch erleichtern sie insbesondere in regulierten Branchen wie der Medizintechnik oder der Automobilindustrie die Einhaltung von Sicherheits- und Compliance-Vorgaben.

ONEKEY erstellt SBOMs direkt aus Binärdateien, auch ohne Zugang zum Quellcode und dokumentiert alle Firmware-Komponenten über den gesamten Produktlebenszyklus.

Wer benötigt SBOMs?

SBOMs sind für alle Personen relevant, die für die Sicherheit und Konformität von Software sowie vernetzten Produkten verantwortlich sind. Sie bieten eine gemeinsame Datengrundlage für Technik-, Sicherheits- und Management-Teams und unterstützen dabei, isolierte Arbeitsbereiche aufzubrechen und die Zusammenarbeit zu fördern.

PSIRT-Manager

PSIRT-Manager müssen bei Sicherheitsvorfällen schnell feststellen, welche Produkte und Versionen betroffen sind. SBOMs schaffen die dafür notwendige Transparenz und unterstützen eine strukturierte sowie auditierbare Incident Response.

Mit der ONEKEY Plattform können PSIRT-Teams Impact Assessments automatisieren und erhalten sofortige Benachrichtigungen bei neuen CVEs.

Product Compliance Manager

Product-Compliance-Verantwortliche nutzen SBOMs als Nachweis bei Audits und zur Einhaltung von Normen und Vorgaben, beispielsweise aus CRA, NIS2 oder ISO/ IEC-Standards. Sie helfen dabei,die Konformität von Komponenten und Lizenzen über alle Releases hinweg lückenlos zu dokumentieren.

Product Owner

Product Owner profitieren von SBOMs, weil sie frühzeitig erkennen, welche Drittanbieterkomponenten in ihren Produkten enthalten sind und welche Risiken oder Aufwände damit verbunden sind. Dadurch lassen sich Überraschungen kurz vor dem Release vermeiden und die Planung sicherer Produktinkremente wird erleichtert.

Entwicklungsleiter

Entwicklungsleiter erhalten durch SBOMs eine einheitliche Übersicht über Abhängigkeiten in verschiedenen Projekten und Services. So können sie Technologie-Stacks vereinheitlichen, veraltete Bibliotheken identifizieren und sichere Entwicklungsprozesse besser umsetzen.

CTO/CIO

CTOs und CIOs verwenden SBOMs, um Risiken auf Portfolio-Ebene zu bewerten, die Cyber-Resilienz messbar zu machen und Due-Diligence-Anforderungen im Einkauf oder bei Partnerschaften zu erfüllen. SBOMs etablieren sich zunehmend als Standardartefakt bei Ausschreibungen und Vendor-Risk-Assessments.

Vorteile von SBOMs

SBOMs bieten zahlreiche praktische Vorteile, die die Sicherheit, Compliance und die allgemeine Qualität von Software deutlich verbessern:

• ‍Erhöhte Transparenz: Ein vollständiger Überblick über alle eingesetzten Softwarekomponenten und deren Herkunft schafft Vertrauen bei Kunden, Auditoren und Regulierungsbehörden.‍
• Schnellere Reaktion auf Schwachstellen: Die klare Zuordnung von CVEs zu Produkten und Versionen ermöglicht eine zügige Behebung von Sicherheitslücken und reduziert unerwartete Probleme.‍
• Besserer Nachweis der Compliance: SBOMs unterstützen die Einhaltung von Sicherheits- und Compliance-Anforderungen, etwa im Rahmen von CRA, NIS2 und branchenspezifischen Vorgaben.‍
• Effizienz durch Automatisierung: Die automatisierte Erstellung und Aktualisierung von SBOMs verringert den manuellen Dokumentationsaufwand erheblich.‍
• Änderungsverfolgung: SBOMs erleichtern die Nachverfolgung von Änderungen über verschiedene Versionen hinweg und stellen sicher, welche Komponenten in jedem Release enthalten sind.

Darüber hinaus fördern SBOMs digitale Transformationsinitiativen, indem sie Sicherheit und agile Entwicklung miteinander verbinden. Sie ermöglichen es Teams, Sicherheitsaspekte bereits früh im Entwicklungszyklus zu berücksichtigen („Shift Left“). Dadurch sinken Kosten und Aufwand, während gleichzeitig die Geschwindigkeit der Softwarelieferung steigt.

Anwendungsfälle für SBOMs

SBOMs lassen sich in allen Phasen sinnvoll einsetzen, von der Entwicklung über den Einkauf bis hin zum Betrieb.

Sicherheit der Software-Lieferkette

Mit SBOMs erkennen Unternehmen frühzeitig, welche Drittanbieter- und Open-Source-Komponenten sie verwenden und welche Risiken damit verbunden sind. Das erleichtert die Bewertung von Zulieferern, das Festlegen von Mindestanforderungen sowie die Umsetzung sicherer Beschaffungsprozesse.

CVE-Risiken vor der Bereitstellung

Vor einem Release können Build-Artefakte mithilfe der SBOM automatisiert mit CVE-Datenbanken abgeglichen werden. So lassen sich verwundbare Komponenten identifizieren und austauschen, bevor sie beim Kunden ankommen. Dieser proaktive Schritt reduziert Vorfälle nach der Veröffentlichung.

Risikobewertung beim Kauf

Beim Kauf von Software oder Geräten ermöglicht eine SBOM einen genauen Blick „unter die Haube“. Käufer sehen, welche Bibliotheken und Frameworks tatsächlich verwendet werden. Das verbessert die Entscheidungsgrundlage in Bezug auf Sicherheit, Compliance und langfristige Wartbarkeit.

Risiken bei Open-Source-Lizenzen

Neben Sicherheitsaspekten unterstützen SBOMs auch bei der Verwaltung von Lizenzrisiken, insbesondere bei Open-Source-Komponenten. Sie zeigen, welche Lizenzen in einem Produkt enthalten sind, und erleichtern so die Einhaltung rechtlicher Vorgaben sowie interner OSS-Richtlinien.

Beispiele für SBOMs

Je nach Entstehungszeitpunkt und Perspektive unterscheidet man verschiedene Typen von SBOMs. Jeder Typ erfüllt eine eigene Funktion im Softwarelebenszyklus: Quell-SBOMs unterstützen beim Programmieren, Build-SBOMs geben die kompilierten Komponenten wieder, und bereitgestellte SBOMs verfolgen den Zustand laufender Systeme. Die Kombination aller drei Typen ermöglicht eine vollständige Abdeckung des Lebenszyklus und sorgt für einen verlässlichen Audit-Trail.

Quell-SBOM

Die Quell-SBOM wird direkt aus dem Quellcode beziehungsweise den Paketmanagern erzeugt. Sie listet deklarierte Abhängigkeiten und Open-Source-Bibliotheken auf. Besonders in der Entwicklungsphase ist sie hilfreich, um Richtlinien und Lizenzvorgaben frühzeitig einzuhalten.

Build-SBOM

Die Build-SBOM entsteht während der Erstellung von Artefakten und enthält die tatsächlich verwendeten Komponenten sowie deren Versionen. Sie bildet die reale Auslieferungssituation ab und ist deshalb zentral für Sicherheitsprüfungen und Audits.

Bereitgestellte SBOM

Die bereitgestellte SBOM beschreibt den Zustand eines laufenden Systems oder eines beim Kunden installierten Produkts. Sie unterstützt Betreiber bei der Risikoüberwachung, beim Patch-Management und beider Koordination von Updates im Feld.

Wie man SBOMs effektiv verwaltet und automatisiert

Bei komplexen Produkten mit zahlreichen Releases ist die manuelle Pflege von SBOMs kaum praktikabel. Ein professionelles SBOM-Management setzt daher auf Standardformate wie SPDX oder CycloneDX, die Integration in Build-Systeme sowie automatisierte Aktualisierungen bei Änderungen im Code oder in Abhängigkeiten.

Ihr SBOM-Management-Tool sollte sich nahtlos in Ihre CI/CD-Pipelines einfügen und automatisch Updates auslösen, sobald sich der Code ändert. Validierungsschritte in jeder Phase gewährleisten die Genauigkeit der Daten und reduzieren Compliance-Lücken.

Für ein effektives Management sollte Ihr Prozess zudem Versionskontrolle, Redaktionsrichtlinien und rollenbasierte Zugriffsrechte umfassen. So bleiben interne Aufzeichnungen detailliert und das sichere Teilen mit Partnern oder Kunden wird unterstützt.

Mit der ONEKEY Cybersecurity-Plattform bündeln Sie automatisiertes SBOM-Management, kontinuierliche Schwachstellenüberwachung und Compliance-Funktionen in einer einzigen Lösung. Das SBOM-Management-Tool von ONEKEY erstellt SBOMs automatisiert aus Binärdateien, gleicht Komponenten mit CVE- und NVD-Datenbanken ab und überwacht sie fortlaufend auf neue Schwachstellen. Zusätzlich unterstützt Sie der ONEKEY Compliance Wizard dabei, die Einhaltung regulatorischer Standards wie des EU Cyber Resilience Act effizient nachzuweisen.

Häufig gestellte Fragen zu SBOM (FAQ)

Der EU Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten festlegt. Hersteller sind verpflichtet, Schwachstellen systematisch zu erkennen, zu bewerten und zu beheben. Zudem müssen sie Sicherheitsupdates während des gesamten Produktlebenszyklus bereitstellen. Dabei spielen Software-Bill of Materials (SBOMs) eine zentrale Rolle, da sie Transparenz schaffen und die Nachverfolgbarkeit gewährleisten.

Was ist der Unterschied zwischen einer BOM und einer SBOM?

Eine klassische Stückliste (Bill of Materials, BOM) beschreibt die Material- oder Komponentenliste physischer Produkte, beispielsweise in der Fertigung. Eine Software-Stückliste (SBOM) hingegen listet ausschließlich Softwarekomponenten und deren Abhängigkeiten auf. Sie dient als Transparenzinstrument für den Code und die Softwarelieferketten.

Sind SBOMs nach US-amerikanischem oder EU-Recht vorgeschrieben?

SBOMs sind für Lieferanten der US-Bundesregierung gemäß der Executive Order 14028 sowie für viele digitale Produkte unter dem EU Cyber Resilience Act verpflichtend. In anderen Branchen existieren Richtlinien, jedoch keine universellen Vorgaben. In Deutschland konkretisiert die BSI-Richtlinie TR-03183 die Anforderungen an SBOMs für vernetzte Geräte und IoT-Produkte.

Was sind die gängigsten SBOM-Tools?

Bekannte SBOM-Formate sind SPDX und CycloneDX. Zu den Tools, die SBOMs erstellen oder verwalten, gehören Syft, CycloneDX-Toolchains, Anchore, Trivy, Dependency-Track sowie verschiedene Plattformen für Software Composition Analysis (SCA). Plattformen wie die ONEKEY Cybersecurity-Plattform verbinden SBOM-Management mit automatisierter Schwachstellenanalyse und Compliance-Funktionen, speziell für vernetzte Produkte.

Wie oft sollte eine SBOM aktualisiert werden?

SBOMs sollten bei jeder relevanten Änderung aktualisiert werden, etwa bei neuen Releases, Abhängigkeitsupdates oder Sicherheitspatches. In modernen CI/CD-Umgebungen erfolgt dies idealerweise automatisiert, sodass die Dokumentation stets mit dem aktuellen Softwarestand übereinstimmt.