Frau Smart, was ist denn eine SBOM?
Lena Smart: Eine SBOM ist im Wesentlichen ein Inventar über Bestandteile und Bibliotheken, die eine Software verwendet. Unternehmen müssen gewährleisten, dass Sie diese Informationen vorlegen können. Dazu müssen sie, auch wenn das überraschend klingt, Daten erheben, die sie in der Vergangenheit oft nicht erhoben haben. Nehmen Sie das Beispiel der Log4j-Schwachstelle: Das ist ein Standard, der in vielen Open-Source- und auch in kommerziellen Softwarelösungen steckt. Viele Unternehmen wussten damals lange Zeit nicht nur nichts von der Schwachstelle, sie wussten nicht einmal, ob und wo sie Log4j nutzten. Das sollen SBOMs ändern. Sie sollen den Informationsaustausch verbessern und die Sicherheit und Compliance von Wertschöpfungsketten deutlich verbessern.
Unternehmen können also aktuell gar nicht alle Komponenten, die in ihren Softwarelösungen stecken, einsehen?
Smart: Die Log4j-Schwachstelle führte Fachleuten, aber auch der betroffenen Öffentlichkeit vor Augen, welches Risiko von fehlenden Mechanismen zur Kontrolle der Bestandteile von IT-Lösungen ausgeht. Und dieses Ereignis war nur eines von vielen Bedrohungsszenarien. Die Folgen können je nach betroffenem Bereich weitreichend sein. Ripple20, eine Serie von teils kritischen Sicherheitslücken in einer TCP/IP-Implementierung, gefährdete im IoT vernetzte Geräte in der Industrie, aber auch in Krankenhäusern. Anhand dieser Fälle wurde deutlich, dass Hersteller teils nur mit hohem Aufwand herausfinden können, welche Komponenten in ihren Produkten verbaut sind – und was das für Folgen haben kann. SBOM sorgen für eine lückenlose Überwachung.
SBOM sind Teil einer Regelung der US-Regierung. Sind sie für in Deutschland oder der EU ansässige Unternehmen überhaupt relevant?
Smart: SBOM werden für die Softwaresicherheit und das kollaborative Risikomanagement in der Softwarewertschöpfungskette unverzichtbar werden. Jenseits gesetzlicher Auflagen fordern Kunden in einigen Branchen schon heute SBOM von ihren SaaSLieferanten. Ihre Implementierung betrifft auch längst nicht mehr nur Hersteller mit Geschäftsbeziehungen zum öffentlichen Sektor in den USA. Die Sicherheit der Softwarelieferkette ist inzwischen für nahezu alle Unternehmen ein Thema, und der Kreis der rechtlich zur Bereitstellung der in SBOMs standardisierten Informationen verpflichteten Betriebe wurde mit dem novellierten IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) auch in Deutschland deutlich erweitert. Unternehmen sollten SBOM – die es übrigens bereits seit 2018 gibt – spätestens jetzt in ihre Entwicklungspraxis integrieren.