Maximilian Moser, Referent Industrial Security, Product Security & OT-Security des VDMA. (Quelle: VDMA)
Welche Komponenten stecken eigentlich in einer Software? Das zu wissen ist für Unternehmen bald schon verpflichtend. Software-Stücklisten, auch Software Bill of Materials (SBOM) genannt, geben dazu genau Angaben. Die Software-Stückliste ist ein detailliertes Inventar, das die Bestandteile einer Softwareanwendung auflistet. Man kann sie sich vorstellen wie eine Einkaufsliste, die genau aufzeigt, was eingekauft wurde und woher es stammt. Welche Chancen und Herausforderungen sich durch die Einführung einer SBOM ergeben, zeigt die neueste Folge des VDMA Industrie Podcast.
Einkaufsliste für Softwareanwendungen
Beispielsweise Festo nutzt im Unternehmen bereits SBOM. Tobias Pfeiffer, Product Security Officer bei Festo berichtet, welche Chancen sich durch die Einführung einer SBOM ergeben und auf welche Herausforderungen sie gestoßen sind: „Mithilfe der SBOM lässt sich die Kommunikation zu Kunden besser gestalten, weil das Lizenzmanagement einfacher zu generieren ist. Außerdem kann man mit der SBOM eine Art Lieferanten-Qualitätsmanagement betreiben“.
SBOM optimiert nicht nur das Lizenzmanagement, sondern steigert auch die Transparenz. Zudem kann dadurch das Risikobewusstsein verbessert und Schwachstellen können schneller behoben werden, was bei digitalen Produkten einhergeht. Denn erst wenn man weiß, was in einem Produkt drin ist, kann man analysieren, welche Probleme auftreten können.
Durch die zunehmende Digitalisierung verfügen immer mehr Produkte über digitale Elemente. Sobald der Cyber Resilience Act 2027 Anwendung findet, müssen sämtliche Firmen, die Produkte mit digitalen Elementen auf den Markt bringen möchten, eine SBOM als Teil der technischen Dokumentation zu ihren Produkten zur Verfügung stellen. Damit die Sicherheit der Produkte gewährleistet ist, will der VDMA die Formate mit der sich eine SBOM erstellen lässt, weiter ausbauen, sodass sie zu Ready-to-use-Lösungen werden, die auch kleinere Unternehmen nutzen können. Unternehmen können sich somit nach Angaben des VDMA ordentlich auf die Einführung des CRA vorbereiten.
„Kleine und mittelständische Unternehmen müssen in diesem Vorhaben unterstützt werden. Gerade wenn die Ressourcen in einem Unternehmen nicht vorhanden sind, ist eine kleine IT-Abteilung, die sich dann auch noch um die Sicherheit der Produkte kümmern muss, überfordert. Deshalb ist es wichtig, dass wir als Verband, die Formate mit denen sich eine SBOM erstellen lässt, weiter ausbauen“, sagt Maximilian Moser, Referent Industrial Security, Product Security & OT-Security des VDMA.