SBOMs – Warum die Zutatenliste deiner Software für Cybersecurity so wichtig ist
Welche Anwendungen oder Software von Lieferkettenangriffen betroffen sind, ist heute schwer erkennbar. Software Bills of Materials (SBOMs) bringen ein völlig neues Level an Transparenz und werden in der EU zur Pflicht für digitale Produkte.
Stell dir vor, du kaufst eine Tiefkühlpizza im Supermarkt. Auf der Verpackung findest du eine Zutatenliste, die genau auflistet, was drin ist. Eine SBOM – Software Bill of Materials – funktioniert genauso, nur für Software: Es ist eine detaillierte Aufstellung aller Komponenten, Bibliotheken und Abhängigkeiten, die in einem digitalen Produkt enthalten sind.
Ob du eine App auf deinem Smartphone nutzt oder ein Unternehmen Software in der Cloud betreibt – fast jede Anwendung besteht aus vielen Einzelteilen, oft von Drittanbietern oder aus Open-Source-Projekten. Schätzungen zufolge ist der Code moderner Software zu 70 bis 90 % aus Open-Source-Bausteinen aufgebaut. Dabei setzen viele dieser Drittkomponenten auch auf weiteren Drittkomponenten auf. SBOMs machen das komplexe Geflecht von Abhängigkeiten sichtbar.
Was bringen die neuen Softwarestücklisten?
SBOMs entwickeln sich von einer unscheinbaren technischen Vorgabe zu einem der wichtigsten Konzepte moderner Informationssicherheit. Und zwar aus folgenden Gründen:
Schutz vor Supply Chain-Attacken
Angreifer nutzen vermehrt Schwachstellen in Drittanbieter-Komponenten, um sich Zugang zu Systemen zu verschaffen. SBOMs helfen dabei, solche Risiken frühzeitig zu erkennen. Wenn eine Sicherheitslücke bekannt wird – wie bei der berüchtigten Log4Shell-Schwachstelle – können Unternehmen mit SBOMs sofort prüfen, ob sie betroffen sind und entsprechende Maßnahmen ergreifen.
Schnelle Reaktion bei Vorfällen
Ohne SBOMs muss man im Ernstfall mühsam herausfinden, welche Softwareteile betroffen sind. Mit SBOMs ist es hingegen sogar möglich, Frühwarnsysteme zu erstellen. Die Zutatenlisten lassen sich automatisch generieren und mit Schwachstellendatenbanken verknüpfen. Wenn Gefahr droht und gepatcht werden muss, schlagen die Systeme Alarm.
Compliance und Vertrauen durch Transparenz
Ohne SBOMs weiß niemand genau, was bei Software „unter der Haube“ steckt. Das kann bei Compliance-Themen problematisch sein – etwa bei Datenschutzfragen oder Lizenzverstößen. Mit SBOMs lässt sich nachvollziehen, welche Bausteine verwendet wurden und ob sie sicher und legal eingebunden sind.
SBOMs werden Pflicht für digitale Produkte
Die Idee hinter SBOMs stammt aus der industriellen Fertigung. Dort sind Stücklisten (Bills of Material) seit Jahrzehnten Standard. In der Softwarewelt entstanden erste Konzepte ab den 2000er Jahren – vor allem im Kontext von Open Source-Compliance. Seitdem hat der Einsatz von Open Source-Komponenten in der Softwareentwicklung drastisch zugenommen.
Mittlerweile sind SBOMs nicht nur ein Nice-to-have, sondern werden zunehmend gesetzlich vorgeschrieben. In den USA sind sie für Softwareprodukte, die an Behörden verkauft werden, bereits Pflicht. In der EU bringt der Cyber Resilience Act (CRA) ab 2027 neue Anforderungen: SBOMs werden verpflichtend für alle nur denkbaren digitale Produkte – von der Smartwatch über Computerspiele bis hin zur Buchhaltungssoftware.
Was haben Privatanwender von SBOMs?
Bislang sind SBOMs nur in einigen Fällen für Privatanwender einsehbar. Kommerzielle Anbieter stellen sie meist nur ihren Geschäftskunden auf Anfrage bereit. Für manche regulierte Produkte wie Sicherheits- und Medizinsoftware müssen Hersteller die SBOMs jedoch teils öffentlich machen.
Für Laien sind die Softwarestücklisten nur schwer verständlich. Technisch interessierte Privatanwender können sie aber durchaus nutzen und prüfen, ob eine App bekannte Schwachstellen enthält. Neue Auswertungstools machen solche Prüfungen immer einfacher.
In Summe profitieren Privatanwender durch den bald schon vorgeschriebenen Einsatz von SBOMs von einem höheren Sicherheitslevel digitaler Produkte. Schon heute lassen sich offengelegte SBOMs als Zeichen sehen, dass Hersteller hohen Wert auf Sicherheit legen. So ist die Verfügbarkeit von SBOMs ein Indikator, wie vertrauenswürdig ein Produkt ist. Nutzer könnten sie künftig vermehrt bei Kaufentscheidungen berücksichtigen – vor allem bei Geräten, die sensible Daten erfassen, wie Smart Home-Devices oder Gesundheits-Apps.
Fazit: SBOMs sind die Zukunft der sicheren Software
Ob als Unternehmen oder als Nutzer – wer Software einsetzt, sollte wissen, was drin steckt. SBOMs bieten genau diese Transparenz und helfen, Risiken zu minimieren. Sie sind ein zentraler Baustein moderner Cybersecurity und werden in den kommenden Jahren weiter an Bedeutung gewinnen.
Weitere Infos zu unseren Lösungen zum Schutz vor Cyberkriminellen: IT-Security Lösungen
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.
