Anwendungen & Cloud
Säule 6CRANIS2DORABSI-GRUNDSCHUTZ

Software Bill of Materials (SBOM)

Praxis-Szenario

Log4Shell (2021) betraf Millionen Systeme. Die erste Frage: 'Nutzen wir Log4j?' Unternehmen ohne SBOM brauchten Wochen zur Klärung. Mit SBOM: Ein Blick ins Inventar, sofortige Klarheit. Ein SBOM ist die Zutatenliste Ihrer Software — Sie wissen genau, welche Bibliotheken in Ihren Produkten stecken und ob eine davon verwundbar ist.

Rechtsfundament

CRACRA Art. 10 Abs. 6, Anhang I Teil II Nr. 1

Pflicht zur Erstellung und Pflege einer SBOM für Produkte mit digitalen Elementen

NIS2NIS2 Art. 21 Abs. 2 lit. e

Schwachstellenmanagement und Kenntnis eingesetzter Softwarekomponenten

DORADORA Art. 8 Abs. 4

Dokumentation eingesetzter IKT-Systeme und deren Abhängigkeiten

Lösung & Umsetzung

1. SBOM-Generator einsetzen: CycloneDX, Syft, oder GitHub Dependency Graph 2. Für jedes Produkt / jede Anwendung ein SBOM erstellen 3. Automatische Schwachstellen-Prüfung: SBOM gegen CVE-Datenbanken abgleichen 4. In CI/CD-Pipeline integrieren: Bei jedem Build neues SBOM generieren 5. SBOMs dokumentieren und für Audits bereithalten

Ihr Mehrwert

SBOMs reduzieren die Reaktionszeit auf neue Schwachstellen von Wochen auf Minuten. Ab 2027 Pflicht für alle Produkte mit digitalen Elementen (CRA). Frühzeitige Einführung verschafft Wettbewerbsvorteil.

Nächster Schritt

Generieren Sie Ihr erstes SBOM mit Syft oder dem GitHub Dependency Graph. Prüfen Sie es gegen die CVE-Datenbank.

Verwandte Maßnahmen

Shared Responsibility & Cloud-Audit

API-Sicherheit