Nachdem zu Beginn des vergangenen Jahres die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) EU-weit in Kraft getreten ist, haben die EU-Mitgliedstaaten diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland liegt bereits ein Referentenentwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.
Cybersicherheit in der Software-Lieferkette: BSI veröffentlicht Richtlinie für Software Bill of Materials (SBOM)
Montag, 21. August 2023
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Technische Richtlinie über die formalen Anforderungen an eine Software Bill of Materials (SBOM) veröffentlicht.
Was sind SBOM?
SBOM sind Software-Stück- oder Teilelisten, mit denen in einem elektronischen Format sämtliche Einzelbestandteile einer Software sowie deren Lieferantenbeziehungen aufgelistet werden. SBOM enthalten Informationen über die jeweils in der Software verwendeten Bibliotheken, deren Ersteller sowie der jeweils anwendbaren Lizenzen. Es werden sowohl Open Source Software als auch proprietäre Elemente aufgelistet. SBOM sind daher eine entscheidende Informationsquelle für das Risikomanagement in der Software-Lieferkette.
Wie muss eine SBOM aussehen?
Nach der Technischen Richtlinie des BSI müssen SBOM im Format CycloneDX oder Software Package Data eXchange erstellt werden. Für jede Softwarekomponente (z. B. verwendete Bibliotheken) müssen mindestens in der SBOM insbesondere folgende Datenfelder enthalten sein:
- Ersteller der Komponente = „Uniform Resource Identifier (URI)“, der die E-Mail-Adresse der Entität enthalten sollte, die die jeweilige Software-Komponente erstellt hat und ggf. aktualisiert
- Komponentenname = Bezeichnung, die der Software-Komponente vom ursprünglichen Ersteller zugewiesen wurde
- Version der Komponente = Bezeichner, der vom Ersteller genutzt wird, um Änderungen in der Software-Komponente zu einer zuvor erstellten Version zu signalisieren
- Abhängigkeiten von anderen Komponenten = Aufzählung aller Komponenten, von denen diese Komponente unmittelbar abhängig ist
- Lizenz = Effektive Lizenz der Komponente. Wenn diese einem „SPDX-License-Identifier (SPDX-ID)“ zuordenbar ist, muss dieser verwendet werden. Andernfalls muss als Wert „Proprietary“ oder ein zwischen Anbieter und Kunde vereinbarter, der Struktur der SPDX-IDs entsprechender, eindeutiger Lizenzbezeichner verwendet werden.
- Hashwert der ausführbaren Komponente = Kryptografisch sichere Prüfsumme (Hashwert) der Komponente in ihrer ausführbaren Form (d. h. als die einzelne, ausführbare Datei auf einem Massenspeicher) als SHA-256
Inwieweit trägt eine SBOM zur Cybersicherheit bei?
Softwareprogramme werden heutzutage meist nicht mehr Zeile für Zeile selbst codiert, sondern oft nach dem Baukastenprinzip aus bereits von Dritten erstellten Programmteilen zusammengesetzt. Häufig handelt es sich dabei um Open-Source-Bibliotheken, aber auch um proprietären Fremdcode. Um Sicherheitslücken rechtzeitig erkennen und entsprechend reagieren zu können, benötigen Anwender einen schnellen (automatisierten) und vollständigen Überblick über die jeweils eingesetzten Komponenten. Hierfür sind SBOM die notwendige Informationsquelle.
Besteht eine gesetzliche Pflicht zur Erstellung einer SBOM?
In der EU besteht derzeit noch keine gesetzliche Verpflichtung zur Erstellung einer SBOM. Die vom BSI veröffentlichte Technische Richtlinie hat keine rechtliche Bindungswirkung. Allerdings sieht der aktuelle Entwurf des Cyber Resilience Acts der EU (CRA-E) für Produkte mit digitalen Elementen die Bereitstellung einer technischen Dokumentation in Form einer SBOM vor. Zum Hintergrund: Der CRA-E wird eine wesentliche Säule der Regulierung von Cybersicherheit in der EU. Maßnahmen zur Cybersicherheit werden dadurch zur Marktzugangsvoraussetzung für Produkte mit digitalen Elementen (einschließlich Software). Der CRA-E verfolgt einen risikobasierten Ansatz und verpflichtet neben den Produktherstellern auch weitere Akteure in der Wertschöpfungskette zur Umsetzung konkreter Sicherheitsmaßnahmen, einschließlich der Bereitstellung transparenter Informationen über die technischen Einzelheiten des jeweiligen Produkts. Die Erstellung und Mitlieferung einer SBOM wird daher spätestens mit Einführung des CRA zur gesetzlichen Pflicht in der EU. Der CRA könnte im Jahr 2024 in Kraft treten und dann mit einer Übergangsfrist von 24 Monaten Geltung finden.
Die USA sind in dieser Hinsicht bereits einen Schritt weiter - dort ist die Bereitstellung einer SBOM nach der Executive Order 14028 schon heute gesetzliche Pflicht. Soweit europäische Softwareunternehmen also auf dem US-Markt tätig sind, müssen diese bereits SBOM erstellen und mitliefern.
Handlungsempfehlungen
Die Compliance-Anforderungen entlang der Software-Lieferkette sind vielfältig und nehmen stetig zu. Während sich die Dokumentationsanforderungen heute meist um urheberrechtliche Aspekte - insbesondere den Einsatz von Open Source Software - drehen, wird künftig vermehrt die Cybersicherheit von Software in den Fokus rücken. Entsprechende Transparenzanforderungen werden im Übrigen auch beim Einsatz von Künstlicher Intelligenz aus der EU-KI-Verordnung folgen.
Softwareherstellern, -lieferanten und sonstigen Akteuren der digitalen Wertschöpfungskette ist daher dringend zu raten, bereits heute auf eine ganzheitliche Code-Hygiene zu achten und Detailinformationen sämtlicher Softwarekomponenten fortlaufend zu dokumentieren. Es sollte sich dabei eng an der Technischen Richtlinie des BSI orientiert werden, um künftige gesetzliche Vorgaben einhalten zu können.
