Die Sicherheit von Software und eingebetteten Systemen ist heute wichtiger denn je. Berichte über Sicherheitslücken wie die Log4j-Krise zeigen, welche Folgen ein unzureichendes Schwachstellenmanagement haben kann. Hacker nutzen bekannte Schwachstellen aus, während Unternehmen oft zu spät reagieren. Eine Möglichkeit, dem entgegenzuwirken, ist die Software Bill of Materials (SBoM). Sie fungiert als digitales Inventar aller Software-Komponenten eines Systems. Die Open Industry 4.0 Alliance (OI4) beleuchtet die Auswirkungen für Hersteller, Integratoren und Anwender.
Die Herausforderungen der bisherigen Ansätze
Traditionelle Sicherheitsstrategien sind oft reaktiv und unkoordiniert. Werden Sicherheitslücken entdeckt, werden Updates oft verspätet ausgeliefert, und Endnutzer erfahren erst vergleichsweise spät, ob ihre Systeme betroffen sind. Im Rahmen der Log4j-Krise, in der Millionen von Geräten und Softwareinstallationen über lange Zeiträume anfällig blieben, war beispielsweise vielen Nutzern nicht bewusst, dass sie die fehlerhafte Log4j-Bibliothek nutzten.
Ein weiteres Problem sieht die OI4 darin, dass Hersteller von Geräten und Maschinen häufig keinen direkten Kontakt zu den Endnutzern haben. Sicherheitsinformationen gelangen so nur langsam oder gar nicht zu den Betroffenen. Zudem erhöhe die zunehmende Komplexität heutiger Systeme – mit einer Vielzahl an integrierten und offenen Software-Komponenten – das Risiko, den Überblick zu verlieren.
Was ist eine Software Bill of Materials (SBoM)?
Eine SBoM ist vergleichbar mit einem Materialverzeichnis für physische Produkte. Während bei einem E-Bike Komponenten wie Rahmen, Motor und Batterie aufgelistet werden, enthält die SBoM die Softwarebestandteile eines Geräts. Bei einem Industrieprodukt könnten dies beispielsweise Betriebssysteme (Linux, Windows), Firmware, Treiber und Open-Source-Bibliotheken sein. Die SBoM schafft Transparenz, indem sie eine Übersicht über alle Software-Komponenten bietet. Dies erleichtert die Bewertung von Risiken und Unternehmen können bei neu entdeckten Schwachstellen sofort reagieren.
Welche Effekte bietet die SBoM im industriellen Kontext?
Für Hersteller: Hersteller können SBoM mithilfe von Tools wie etwa dem Yocto Build Environment oder Syftautomatisch automatisiert in ihren Entwicklungsprozessen generieren. Dabei werden die SBoM im CycloneDX-Format erstellt, wodurch sie in Schwachstellen-Analyseplattformen wie Dependency-Track integriert werden kann.
