BSI TR-03183: Wie sie die CRA-SBOM-Anforderungen erweitert

Das deutsche BSI hat die TR-03183 veröffentlicht, eine Technische Richtlinie, die über die grundlegenden SBOM-Erwartungen des CRA hinausgeht. Wenn Sie Produkte mit digitalen Elementen in Deutschland verkaufen, hilft Ihnen das Verständnis von TR-03183, sowohl den CRA als auch die erhöhten Erwartungen des deutschen Marktes zu erfüllen.

Dieser Leitfaden erklärt, was TR-03183 erfordert und wie sie sich zur CRA-Compliance verhält.

Was ist TR-03183?

BSI TR-03183 "Cyber-Resilienz-Anforderungen an Hersteller und Produkte" ist eine Technische Richtlinie, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurde.

Status: Technische Richtlinie, kein Gesetz. Aber:

• Referenziert in deutschen Beschaffungsanforderungen
• Von deutschen Kunden erwartet
• Demonstriert Best Practice für CRA-Compliance
• Kann zukünftige harmonisierte CRA-Standards beeinflussen

TR-03183 Struktur

TR-03183 STRUKTUR

Teil 1: Allgemeine Anforderungen
├── Geltungsbereich und Anwendbarkeit
├── Beziehung zum CRA
├── Produktsicherheitsanforderungen
└── Konformitätskriterien

Teil 2: Software-Stückliste (SBOM)
├── SBOM-Erstellungsanforderungen
├── Erforderliche Felder und Metadaten
├── Formatspezifikationen (CycloneDX, SPDX)
├── Liefer- und Aktualisierungsanforderungen
└── Qualitätskriterien

Teil 3: Schwachstellenberichte und Advisories
├── Anforderungen an Schwachstellenoffenlegung
├── Berichtsformat (CSAF)
├── Advisory-Veröffentlichung
├── VEX (Vulnerability Exploitability eXchange)
└── Koordinationsanforderungen

TR-03183 vs. CRA: Wesentliche Unterschiede

SBOM-Anforderungen

Schwachstellenbehandlung

TR-03183 Teil 2: SBOM im Detail

Erforderliche SBOM-Formate

TR-03183 akzeptiert:

• CycloneDX 1.4 oder höher (bevorzugt)
• SPDX 2.3 oder höher

Andere Formate (SWID, kundenspezifisch) sind nicht konform.

Erforderliche Felder

TR-03183 spezifiziert minimal erforderliche Felder:

SBOM ERFORDERLICHE FELDER (TR-03183)

DOKUMENT-METADATEN:
├── SBOM-Format und -Version
├── Dokumentname/-identifikator
├── Erstellungszeitstempel
├── Erstellungstool-Informationen
├── Dokument-Namespace (SPDX) / serialNumber (CycloneDX)
└── Spezifikationsversion

PRIMÄRE KOMPONENTE (das Produkt):
├── Name
├── Version
├── Lieferant/Hersteller
├── Eindeutiger Identifikator (purl, CPE)
└── Beschreibung

JEDE KOMPONENTE:
├── Name
├── Version
├── Lieferant
├── Eindeutiger Identifikator (purl bevorzugt)
├── Lizenz(en)
├── Hash/Prüfsumme (SHA-256 Minimum)
├── Komponententyp (Bibliothek, Framework, etc.)
└── Beziehung zur übergeordneten Komponente

BEZIEHUNGEN:
├── Abhängigkeitsbeziehungen
├── Enthält-Beziehungen
└── Build-Tool-Beziehungen (falls zutreffend)

SBOM-Qualitätskriterien

TR-03183 definiert Qualitätserwartungen:

Vollständigkeit:

• Alle direkten Abhängigkeiten enthalten
• Transitive Abhängigkeiten enthalten
• Betriebssystemkomponenten (falls eingebettet)
• Build-Tools (falls sicherheitsrelevant)

Genauigkeit:

• Korrekte Versionsnummern
• Gültige eindeutige Identifikatoren (purl-Format)
• Genaue Lizenzinformationen
• Funktionale Hashes

Aktualität:

• SBOM spiegelt aktuelle Produktversion wider
• Aktualisiert mit jeder Veröffentlichung
• Schwachstellen gegen aktuelle SBOM bewertet

SBOM-Erstellungsbeispiel

Konforme SBOM-Struktur (CycloneDX):

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79",
  "version": 1,
  "metadata": {
    "timestamp": "2027-01-15T10:00:00Z",
    "tools": [
      {
        "vendor": "Syft",
        "name": "syft",
        "version": "0.98.0"
      }
    ],
    "component": {
      "type": "firmware",
      "name": "SmartSensor Pro",
      "version": "2.4.1",
      "supplier": {
        "name": "Beispiel GmbH",
        "url": ["https://beispiel.de"]
      },
      "purl": "pkg:firmware/beispiel/smartsensor-pro@2.4.1"
    }
  },
  "components": [
    {
      "type": "library",
      "name": "openssl",
      "version": "3.0.12",
      "purl": "pkg:generic/openssl@3.0.12",
      "licenses": [
        {
          "license": {
            "id": "Apache-2.0"
          }
        }
      ],
      "hashes": [
        {
          "alg": "SHA-256",
          "content": "abc123..."
        }
      ],
      "supplier": {
        "name": "OpenSSL Software Foundation"
      }
    }
  ],
  "dependencies": [
    {
      "ref": "pkg:firmware/beispiel/smartsensor-pro@2.4.1",
      "dependsOn": [
        "pkg:generic/openssl@3.0.12"
      ]
    }
  ]
}

TR-03183 Teil 3: Schwachstellenbehandlung

CSAF-Format-Anforderung

TR-03183 erfordert Security Advisories im CSAF (Common Security Advisory Framework) 2.0-Format.

Warum CSAF:

• Maschinenlesbar
• Standardisierte Struktur
• Unterstützt Automatisierung
• Enthält Produktbaum und Schwachstellen-Mapping

CSAF-Advisory-Struktur

{
  "document": {
    "category": "csaf_security_advisory",
    "csaf_version": "2.0",
    "publisher": {
      "category": "vendor",
      "name": "Beispiel GmbH",
      "namespace": "https://beispiel.de"
    },
    "title": "Sicherheitsupdate für SmartSensor Pro",
    "tracking": {
      "current_release_date": "2027-02-01T10:00:00Z",
      "id": "BEISPIEL-2027-001",
      "initial_release_date": "2027-02-01T10:00:00Z",
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "category": "product_name",
        "name": "SmartSensor Pro",
        "branches": [
          {
            "category": "product_version_range",
            "name": "vers:generic/<2.4.2",
            "product": {
              "name": "SmartSensor Pro < 2.4.2",
              "product_id": "CSAFPID-0001"
            }
          }
        ]
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2027-XXXXX",
      "product_status": {
        "fixed": ["CSAFPID-0002"],
        "known_affected": ["CSAFPID-0001"]
      },
      "remediations": [
        {
          "category": "vendor_fix",
          "details": "Update auf Version 2.4.2",
          "product_ids": ["CSAFPID-0001"]
        }
      ]
    }
  ]
}

VEX-Anforderungen

TR-03183 erwartet VEX-Dokumente (Vulnerability Exploitability eXchange):

Zweck: Kommunizieren, ob eine bekannte Schwachstelle in einer Komponente tatsächlich Ihr Produkt betrifft.

Status-Optionen:

• not_affected: Schwachstelle betrifft dieses Produkt nicht
• affected: Schwachstelle betrifft dieses Produkt
• fixed: Schwachstelle war vorhanden, ist aber jetzt behoben
• under_investigation: Noch in Bewertung

VEX-Beispiel (CycloneDX VEX):

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "vulnerabilities": [
    {
      "id": "CVE-2027-XXXXX",
      "source": {
        "name": "NVD",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2027-XXXXX"
      },
      "analysis": {
        "state": "not_affected",
        "justification": "code_not_reachable",
        "detail": "Die verwundbare Funktion wird in unserer Implementierung nicht aufgerufen."
      },
      "affects": [
        {
          "ref": "pkg:generic/openssl@3.0.12"
        }
      ]
    }
  ]
}

Praktische Umsetzung

SBOM-Erstellungs-Workflow

TR-03183 KONFORMER SBOM-WORKFLOW

1. BUILD-PHASE
   ├── SBOM während des Builds erstellen
   ├── Tool: Syft, Trivy oder ähnlich
   ├── Format: CycloneDX 1.5
   └── Alle Abhängigkeiten einschließen

2. VALIDIERUNGSPHASE
   ├── Erforderliche Felder auf Vorhandensein prüfen
   ├── purl-Format-Gültigkeit prüfen
   ├── Hashes validieren
   └── Vollständigkeit bestätigen

3. SCHWACHSTELLEN-SCAN
   ├── SBOM gegen Schwachstellendatenbanken scannen
   ├── Ergebnisse dokumentieren
   ├── VEX für Fehlalarme erstellen
   └── Behebung für echte Positive verfolgen

4. LIEFERUNG
   ├── An Produkt-Release anhängen
   ├── Im Kundenportal veröffentlichen
   ├── Auf Anfrage bereitstellen
   └── Mit jeder Version aktualisieren

5. WARTUNG
   ├── Periodisch erneut scannen
   ├── VEX bei Bedarf aktualisieren
   ├── Advisories veröffentlichen (CSAF)
   └── Über den Produktlebenszyklus verfolgen

Advisory-Veröffentlichungsprozess

SCHWACHSTELLE → ADVISORY WORKFLOW

Entdeckung
    │
    ▼
Bewertung
├── Betroffene Versionen
├── Schweregrad (CVSS)
└── Ausnutzbarkeit
    │
    ▼
Behebungsentwicklung
├── Patch-Entwicklung
├── Tests
└── Release-Vorbereitung
    │
    ▼
Advisory-Erstellung (CSAF)
├── Dokument-Metadaten
├── Produktbaum
├── Schwachstellendetails
└── Behebungsinfo
    │
    ▼
Veröffentlichung
├── CSAF an Verteilungskanäle
├── Web-Advisory (menschenlesbar)
├── Kundenbenachrichtigung
└── VEX-Dokumente aktualisieren
    │
    ▼
Überwachung
├── Patch-Übernahme verfolgen
├── Auf Ausnutzung überwachen
└── Advisory bei Bedarf aktualisieren

TR-03183 Compliance-Checkliste

TR-03183 COMPLIANCE-CHECKLISTE

TEIL 2 - SBOM:

Format:
[ ] CycloneDX 1.4+ oder SPDX 2.3+
[ ] Gültig gemäß Schema
[ ] Maschinenlesbar

Metadaten:
[ ] Dokumentidentifikator/Seriennummer
[ ] Erstellungszeitstempel
[ ] Erstellungstool-Informationen
[ ] Spezifikationsversion

Primäre Komponente:
[ ] Produktname
[ ] Produktversion
[ ] Lieferanteninformationen
[ ] Eindeutiger Identifikator (purl)

Jede Komponente:
[ ] Name und Version
[ ] Lieferanteninformationen
[ ] Eindeutiger Identifikator (purl bevorzugt)
[ ] Lizenzinformationen
[ ] Hash (SHA-256+)
[ ] Komponententyp

Beziehungen:
[ ] Abhängigkeitsbeziehungen definiert
[ ] Vollständiger Abhängigkeitsbaum

Qualität:
[ ] Alle direkten Abhängigkeiten enthalten
[ ] Transitive Abhängigkeiten enthalten
[ ] Versionen genau und aktuell
[ ] Identifikatoren gültig

TEIL 3 - SCHWACHSTELLENBEHANDLUNG:

Advisory-Format:
[ ] CSAF 2.0-Format-Fähigkeit
[ ] Produktbaum definiert
[ ] Schwachstellen-Mapping

VEX:
[ ] VEX-Dokumente für SBOM-Komponenten
[ ] Status für bekannte Schwachstellen
[ ] Begründung für "not_affected"

Prozess:
[ ] Schwachstellenüberwachung aktiv
[ ] Reaktionsprozess definiert
[ ] Advisory-Veröffentlichungsprozess
[ ] Kundenbenachrichtigungsprozess

Beziehung zur CRA-Compliance

TR-03183 als CRA Best Practice

TR-03183 operationalisiert CRA-Anforderungen:

Compliance-Strategie

Wenn Sie spezifisch Deutschland anvisieren:

• TR-03183 vollständig implementieren
• Demonstriert CRA-Compliance plus Ausrichtung am deutschen Markt

Wenn Sie die breitere EU anvisieren:

• CRA-Compliance ist die rechtliche Anforderung
• TR-03183 repräsentiert erhöhte Best Practice
• Erwägen Sie Implementierung auch für nicht-deutsche Märkte

Zukünftige Harmonisierung

TR-03183 kann beeinflussen:

• Zukünftige harmonisierte CRA-Standards
• Europäische Normung (CEN/CENELEC)
• Technische Richtlinien anderer Mitgliedstaaten

TR-03183 jetzt zu implementieren, positioniert Sie vor potenziellen zukünftigen Anforderungen.

Überlegungen zum deutschen Markt

BSI-Zertifizierung

Für bestimmte Produkte kann BSI-Zertifizierung relevant sein:

• IT-Sicherheitsprodukte
• Cloud-Dienste
• Kritische Infrastrukturkomponenten

TR-03183-Compliance unterstützt (ersetzt aber nicht) Zertifizierungsprozesse.

Öffentliche Beschaffung

Die deutsche öffentliche Beschaffung erwartet zunehmend:

• SBOM-Bereitstellung
• Schwachstellenbehandlungsfähigkeit
• Standards-Compliance

TR-03183-Compliance adressiert diese Erwartungen.

Kundenerwartungen

Deutsche Unternehmenskunden erwarten oft:

• Detaillierte SBOMs
• Zeitnahe Schwachstellenkommunikation
• Formellen Advisory-Prozess

TR-03183 liefert das Framework, das sie kennen.

Tools für TR-03183-Compliance

SBOM-Erstellung

SBOM-Validierung

CSAF-Erstellung

VEX-Management

Verwandte Leitfäden:

• SBOM-Anforderungen unter dem Cyber Resilience Act
• Wie man eine CRA-konforme SBOM erstellt: Tools, Formate und CI/CD-Integration

Wie CRA Evidence hilft

CRA Evidence unterstützt TR-03183-Compliance:

• SBOM-Management: CycloneDX- und SPDX-Unterstützung
• Validierung: SBOM-Vollständigkeit gegen TR-03183-Anforderungen prüfen
• VEX-Tracking: Schwachstellenstatus über Produkte hinweg verwalten
• Advisory-Unterstützung: CSAF-Erstellungshilfe
• Deutscher Markt: Spezifische Anleitung für BSI-Ausrichtung

Erfüllen Sie TR-03183-Anforderungen mit app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater.

ÜBERPRÜFEN SIE DIE PRIMÄRQUELLE: TR-03183-Details sollten gegen die offizielle BSI-Veröffentlichung verifiziert werden, da Spezifikationen aktualisiert werden können.