Supply-Chain-Angriffe häufen sich – doch viele Unternehmen wissen nicht einmal, welche Softwarekomponenten in ihren eigenen Systemen stecken. Die Software Bill of Materials (SBOM) entwickelt sich vom freiwilligen Best-Practice-Instrument zur regulatorischen Pflicht und könnte entscheiden, ob ein Unternehmen im Ernstfall Stunden oder Tage braucht, um auf kritische Sicherheitslücken zu reagieren.
Software-Lieferketten im Visier: Warum SBOMs für Unternehmen unverzichtbar werden
Supply-Chain-Angriffe auf Software-Infrastrukturen nehmen zu – und viele Unternehmen wissen nicht einmal, welche Komponenten in ihren eigenen Systemen stecken. Die Software Bill of Materials (SBOM) gilt mittlerweile als einer der zentralen Ansätze, um Transparenz in komplexe Abhängigkeiten zu bringen und Angriffsflächen systematisch zu reduzieren.
Was ein SBOM leistet – und was nicht
Ein SBOM ist im Kern eine maschinenlesbare Bestandsliste aller Softwarekomponenten eines Systems: Open-Source-Bibliotheken, kommerzielle Pakete, Abhängigkeiten und deren jeweilige Versionen. Ähnlich wie ein Zutatenverzeichnis in der Lebensmittelindustrie schafft es die Grundlage, um bei bekannten Schwachstellen (CVEs) schnell handlungsfähig zu sein.
Der entscheidende Mehrwert liegt in der Reaktionsgeschwindigkeit:
Wenn eine kritische Sicherheitslücke wie Log4Shell publik wird, können Unternehmen mit gepflegten SBOMs innerhalb von Stunden feststellen, welche internen Systeme betroffen sind – anstatt tagelang manuell Code-Repositories zu durchsuchen.
Ohne diese Transparenz verlieren Sicherheitsteams wertvolle Zeit in genau jenen ersten Stunden, in denen Angreifer besonders aktiv sind.
Ein SBOM ersetzt jedoch keine vollständige Sicherheitsstrategie. Es identifiziert bekannte Schwachstellen, sagt aber nichts darüber aus, ob diese in einem konkreten Deploymentkontext tatsächlich ausnutzbar sind. Die Priorisierung von Risiken bleibt menschliche Aufgabe.
Tools wie Trivy im Fokus
Open-Source-Scanner wie Trivy von Aqua Security haben sich in der Praxis als verbreitete Werkzeuge zur automatischen SBOM-Generierung und Schwachstellenanalyse etabliert. Sie lassen sich in CI/CD-Pipelines integrieren und scannen Container-Images, Dateisysteme und Repository-Inhalte auf bekannte Sicherheitsprobleme.
Gerade dieser Ansatz offenbart aber ein Grundproblem der Supply-Chain-Sicherheit:
Selbst die Scanning-Tools sind Teil der Lieferkette. Ein kompromittiertes Sicherheitswerkzeug kann falsche Ergebnisse liefern oder Hintertüren einschleusen.
Dieses Szenario mag theoretisch klingen – in verwandten Angriffsszenarien wurde es jedoch bereits in der Praxis beobachtet. Der Aufbau einer vertrauenswürdigen Tool-Chain ist daher ebenso wichtig wie die Pflege der SBOMs selbst.
Regulatorischer Druck wächst
Die gesetzlichen Anforderungen nehmen auf beiden Seiten des Atlantiks Fahrt auf:
- USA: Eine Executive Order aus dem Jahr 2021 verpflichtet Softwareanbieter, die an Bundesbehörden liefern, zur SBOM-Bereitstellung.
- EU: Der Cyber Resilience Act tritt schrittweise bis 2027 in Kraft und verlangt von Herstellern digitaler Produkte eine systematische Dokumentation von Softwarekomponenten und deren Sicherheitseigenschaften.
Für deutsche Unternehmen bedeutet das: Die SBOM ist kein optionales Instrument mehr, sondern wird zunehmend zur Compliance-Anforderung – sowohl für eigene Produkte als auch im Rahmen von Lieferantenverträgen mit öffentlichen Auftraggebern oder größeren Konzernen.
Einordnung für den deutschen Mittelstand
Viele mittelständische Unternehmen stehen vor dem gleichen Problem: Sie setzen eine Vielzahl von Open-Source-Komponenten ein, ohne deren genaue Herkunft und Versionierung lückenlos zu dokumentieren.
Der Aufbau eines SBOM-Prozesses erfordert initiale Investitionen in Tooling und Prozesse – zahlt sich aber mittelfristig aus:
- ✅ Schnellere Reaktionsfähigkeit bei Sicherheitsvorfällen
- ✅ Erfüllung bald verbindlicher regulatorischer Anforderungen
- ✅ Stärkere Verhandlungsposition gegenüber Lieferanten und Auftraggebern
Wer jetzt mit dem Aufbau entsprechender Strukturen beginnt, vermeidet später den typischen Compliance-Zeitdruck – und ist im Ernstfall um Stunden schneller als die Konkurrenz.