Skip to content

“Unverzichtbar für Softwaresicherheit und Risikomanagement”

SBOM – the Stückliste für Software program

Wer im öffentlichen Sektor der USA künftig Software program vermarktet, muss eine Software program Invoice of Supplies (SBOM) über die verwendeten Komponenten mitliefern. Ist diese Govt Order 14028 der US-Regierung auch für deutsche Firmen related? Die IT-Sicherheitschefin von MongoDB, Lena Sensible, ordnet das ein – und verweist dabei auf das IT-Sicherheitsgesetz 2.0.

 (Bild: MongoDB Deutsche GmbH)

(Bild: MongoDB Deutsche GmbH)

Frau Sensible, was ist den eine SBOM?

Lena Sensible: Eine SBOM ist im Wesentlichen ein Inventar über Bestandteile und Bibliotheken, die eine Software program verwendet. Unternehmen müssen gewährleisten, dass Sie diese Informationen vorlegen können. Dazu müssen sie, auch wenn das überraschend klingt, Daten erheben, die sie in der Vergangenheit oft nicht erhoben haben. Nehmen Sie das Beispiel der Log4j-Schwachstelle: Das ist ein Normal, der in vielen Open-Supply- und auch in kommerziellen Softwarelösungen steckt. Viele Unternehmen wussten damals lange Zeit nicht nur nichts von der Schwachstelle, sie wussten nicht einmal, ob und wo sie Log4j nutzten. Das sollen SBOMs ändern. Sie sollen den Informationsaustausch verbessern und die Sicherheit und Compliance von Wertschöpfungsketten deutlich verbessern.

Unternehmen können additionally aktuell gar nicht alle Komponenten, die in ihren Softwarelösungen stecken, einsehen?

Sensible: Die Log4j-Schwachstelle führte Fachleuten, aber auch der betroffenen Öffentlichkeit vor Augen, welches Risiko von fehlenden Mechanismen zur Kontrolle der Bestandteile von IT-Lösungen ausgeht. Und dieses Ereignis conflict nur eines von vielen Bedrohungsszenarien. Die Folgen können je nach betroffenem Bereich weitreichend sein. Ripple20, eine Serie von teils kritischen Sicherheitslücken in einer TCP/IP-Implementierung, gefährdete im IoT vernetzte Geräte in der Industrie, aber auch in Krankenhäusern. Anhand dieser Fälle wurde deutlich, dass Hersteller teils nur mit hohem Aufwand herausfinden können, welche Komponenten in ihren Produkten verbaut sind – und was das für Folgen haben kann. SBOM sorgen für eine lückenlose Überwachung.

SBOM sind Teil einer Regelung der US-Regierung. Sind sie für in Deutschland oder der EU ansässige Unternehmen überhaupt related?

Sensible: SBOM werden für die Softwaresicherheit und das kollaborative Risikomanagement in der Softwarewertschöpfungskette unverzichtbar werden. Jenseits gesetzlicher Auflagen fordern Kunden in einigen Branchen schon heute SBOM von ihren SaaS-Lieferanten. Ihre Implementierung betrifft auch längst nicht mehr nur Hersteller mit Geschäftsbeziehungen zum öffentlichen Sektor in den USA. Die Sicherheit der Softwarelieferkette ist inzwischen für nahezu alle Unternehmen ein Thema, und der Kreis der rechtlich zur Bereitstellung der in SBOMs standardisierten Informationen verpflichteten Betriebe wurde mit dem novellierten IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) aut in Deutscherland deutscher. Unternehmen sollten SBOM – die es übrigens bereits seit 2018 gibt – spätestens jetzt in ihre Entwicklungspraxis integrieren.

ANZEIGE

Wie ermitteln Unternehmen die in der SBOM enthaltenen Informationen?

Sensible: Der Prozess der Überprüfung, ob eine bekannte Schwachstelle ein Produkt betrifft, kann mit dem Frequent Safety Advisory Framework (CSAF) innerhalb der Wertschöpfungsnetzwerke automatisiert werden. SBOM sind vor allem dann effizient, wenn sie auf Foundation eines hohen Automatisierungslevels bei der Erfassung und Erstellung erzeugt und eingesetzt werden. Hier kommen Instruments zur Software program Composition Evaluation ins Spiel. SCA-Instruments analyzer and verwalten Open-Supply-Elemente von Anwendungen. Entwickler setzen sie ein, um Lizenzen zu überprüfen und Schwachstellen zu bewerten, die mit einzelnen Komponenten verbunden sind.

Sie haben den Informationsaustausch erwähnt. Wie tragen SBOM dazu bei, ihn zu verbessern?

Sensible: SBOM können die Abstimmung erleichtern und beschleunigen, indem sie einen schnelleren, besseren und vollständigeren Informationsaustausch über Sicherheitslücken ermöglichen. Log4j und Ripple 20 waren ein Weckruf hinsichtlich der Gefahren, die von Software program-Komponenten ausgehen. Es liegt im Eigeninteresse von öffentlichen Einrichtungen und deren IT-Providern, Ausfallrisiken etwa im Bereich der kritischen Infrastrukturen zu minimieren. Sicherheitsverantwortliche sollten sich mit SBOM nicht nur aufgrund der zu erwartenden rechtlichen Vorgaben auseinandersetzen, sondern auch, um Gefahren für Gesundheit und Sicherheit der Bevölkerung und final not least huge finanziellen Schäden abzuwenden. Auch das IT-ISAC – dessen Aufgabe es ist, die Zusammenarbeit und den Austausch von Informationen über Cyberrisiken zu verbessern – zeigt großes Interesse am Thema SBOM-Implementierung, weil sie diesen Austausch vereinfachen.

Sie sprechen aktuelle und kommende rechtliche Vorgaben an. Wie ist denn der established order?

Sensible: Das Bundesamt für Sicherheit in der Informationstechnik unterstützt die Implementierung von SBOM ausdrücklich. In Deutschland führt auch das novellierte T-SiG 2.0 zu neuen Auflagen für Betreiber Kritischer Infrastrukturen (KRITIS), Bundesbehörden und ‘Unternehmen im besonderen öffentlichen Interesse sowie deren Zulieferer’. Diese Unternehmen werden die ersten großen Nutzer von SBOMs sein und sollten sich spätestens jetzt mit dem Thema befassen.

ANZEIGE

Welche Requirements für SBOM gibt es im Second?

Sensible: Die Section der Definition von Spezifikationen und Requirements läuft noch. Mit der Norm ISO5962 wurde inzwischen ein SBOM-Format worldwide standardisiert. Noch gibt es keine marktreifen Implementierungen, doch das dürfte sich bis Ende 2022 ändern. In der Praxis benötigen SBOM eine sichere Backend-Schicht für die Speicherung und Integration. Entwickler wiederum benötigen ein Frontend, das Sicherheit in ihren Arbeitsablauf integriert, ohne die Produktivität zu beeinträchtigen. Eine Herausforderung ist, dass es kein einheitliches Rahmenwerk gibt. Ein klar definierter, einheitlicher und gestraffter SBOM-Prozess trägt zu einer reibungslosen, raschen Implementierung und zu einer hohen Akzeptanz bei. Allerdings haben in den USA das staatliche Nationwide Institute of Requirements and Expertise (NIST) und die personal OWASP (Open Net Software Safety Challenge) Basis bereits unterschiedliche Rahmenwerke definiert. Weitere dürften hinzukommen.

Was bedeutet das für Unternehmen?

Sensible: Sie müssen agil genug sein, um unterschiedliche Rahmenwerke nutzen zu können. Als positiven Effekt erhalten Sicherheitsverantwortliche eine Wahlmöglichkeit und können die beste Lösung für die Bedürfnisse ihres Unternehmens nutzen.


Das könnte Sie auch interessieren:

.

Leave a Reply

Your email address will not be published. Required fields are marked *