Lizenzmanagement verbessern SBOM: Die Zutatenliste für Softwareanwendungen

Wenn der Cyber Resilience Act 2027 Anwendung findet, werden auch Software-Stücklisten verpflichtend.

Bild: iStock, ArtemisDiana
13.08.2024

Wenn der Cyber Resilience Act 2027 Anwendung findet, werden auch Software-Stücklisten verpflichtend. Der VDMA empfiehlt Unternehmen, sich rechtzeitig vorzubereiten, um digitale Produkte lückenlos weiter verkaufen zu können.

Welche Komponenten stecken eigentlich in einer Software? Das zu wissen ist für Unternehmen bald schon verpflichtend. Software-Stücklisten, auch Software-Bill-of-Materials (SBOM) genannt, geben dazu genau Angaben. Die Software-Stückliste ist ein detailliertes Inventar, das die Bestandteile einer Softwareanwendung auflistet. Man kann sie sich vorstellen wie eine Einkaufsliste, die genau aufzeigt, was eingekauft wurde und woher es stammt. Welche Chancen und Herausforderungen sich durch die Einführung einer SBOM ergeben, zeigt die neueste Folge des VDMA-Industrie-Podcast.

SBOM: Eine Einkaufsliste für Softwareanwendungen

Beispielsweise Festo nutzt im Unternehmen bereits SBOM. Tobias Pfeiffer, Product Security Officer bei Festo berichtet, welche Chancen sich durch die Einführung einer SBOM ergeben und auf welche Herausforderungen sie gestoßen sind. „Mithilfe der SBOM lässt sich die Kommunikation zu Kunden besser gestalten, weil das Lizenzmanagement einfacher zu generieren ist. Außerdem kann man mit der SBOM eine Art Lieferanten-Qualitätsmanagement betreiben,“ sagt Pfeiffer.

Vorteile einer SBOM

SBOM verbessert nicht nur das Lizenzmanagement, sondern steigert auch die Transparenz. Zudem kann dadurch das Risikobewusstsein verbessert und Schwachstellen können schneller behoben werden, was bei digitalen Produkten einhergeht. Denn erst wenn man weiß, was in einem Produkt drin ist, kann man analysieren, welche Probleme auftreten können.

SBOM wird verpflichtend

Durch die zunehmende Digitalisierung verfügen immer mehr Produkte über digitale Elemente. Sobald der Cyber Resilience Act 2027 Anwendung findet, müssen sämtliche Firmen, die Produkte mit digitalen Elementen auf den Markt bringen möchten, eine SBOM als Teil der technischen Dokumentation zu ihren Produkten zur Verfügung stellen.

Damit die Sicherheit der Produkte gewährleistet ist, will der VDMA die Formate mit der sich eine SBOM erstellen lässt, weiter ausbauen, sodass sie zu Ready-to-use-Lösungen werden, die auch kleinere Unternehmen nutzen können. Unternehmen können sich somit ordentlich auf die Einführung des CRA vorbereiten.

„Kleine und mittelständische Unternehmen müssen in diesem Vorhaben unterstützt werden. Gerade wenn die Ressourcen in einem Unternehmen nicht vorhanden sind, ist eine kleine IT-Abteilung, die sich dann auch noch um die Sicherheit der Produkte kümmern muss, überfordert. Deshalb ist es wichtig, dass wir als Verband, die Formate mit denen sich eine SBOM erstellen lässt, weiter ausbauen“, sagt Maximilian Moser, Referent Industrial Security, Product-Security & OT-Security des VDMA. Der VDMA unterstützt Mitgliedsunternehmen mit zahlreichen Angeboten. Insbesondere der Arbeitskreis Industrial-Security setzt sich mit dem Thema SBOM intensiv auseinander.

Verwandte Artikel