HBOM für CRA-Compliance: Leitfaden zur Hardware-Stückliste

Während SBOM (Software Bill of Materials) die meiste Aufmerksamkeit erhält, haben Produkte mit digitalen Elementen oft bedeutende Hardware-Komponenten, jede potenziell mit Firmware und eigenen Schwachstellen. HBOM (Hardware Bill of Materials) bietet Sichtbarkeit in diese physischen Komponenten und ihre eingebettete Software.

Dieser Leitfaden erklärt HBOM im CRA-Kontext.

Was ist HBOM?

Definition

Eine Hardware-Stückliste (HBOM) ist ein strukturiertes Inventar physischer Komponenten in einem Produkt, typischerweise einschließlich:

• Komponentenidentifikation (Teilenummern, Hersteller)
• Hardware-Versionen/Revisionen
• Firmware-Versionen (in Komponenten eingebettet)
• Sicherheitsrelevante Attribute
• Lieferketteninformationen

HBOM vs. Traditionelle Stückliste

TRADITIONELLE STÜCKLISTE (Fertigung):
Fokus: Produktion und Beschaffung
Inhalt: Teile, Mengen, Lieferanten, Kosten
Verwendung: Fertigung, Inventar, Einkauf

HBOM (Sicherheitsfokussiert):
Fokus: Sicherheit und Transparenz
Inhalt: Komponenten, Firmware, Sicherheitsattribute
Verwendung: Schwachstellenmanagement, Lieferkettensicherheit

ÜBERSCHNEIDUNG:
Beide listen physische Komponenten
HBOM fügt sicherheitsrelevante Informationen hinzu
HBOM verknüpft mit Firmware-/Software-Inhalt

HBOM vs. SBOM

SBOM:
- Software-Komponenten
- Bibliotheken und Abhängigkeiten
- Betriebssystem-Komponenten
- Anwendungscode

HBOM:
- Hardware-Komponenten
- Chips und Module
- Firmware in Komponenten
- Physische Sicherheitsfunktionen

BEZIEHUNG:
┌─────────────────────────────────────────────┐
│ Vollständige Produkttransparenz             │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Anwendung   │    │ Platine     │        │
│  │ Bibliothek. │◄──►│ Chips       │        │
│  │ BS          │    │ Module      │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Firmware erscheint in beiden: es ist     │
│   Software, die auf Hardware läuft          │
└─────────────────────────────────────────────┘

Warum HBOM für CRA wichtig ist

CRA-Anforderungen und Hardware

Während sich der CRA auf „Produkte mit digitalen Elementen“ konzentriert, sind diese Produkte oft Hardware-Geräte:

CRA Artikel 3(1) Definition:

„'Produkt mit digitalen Elementen' bedeutet ein Software- oder Hardware-Produkt und seine Fernverarbeitungslösungen...“

Hardware enthält Software:

• Mikrocontroller haben Firmware
• Netzwerkchips haben eingebetteten Code
• Sicherheitsmodule haben kryptografische Software
• Sensoren können verarbeitende Firmware haben

Schwachstellenverfolgungsanforderung

CRA verlangt von Herstellern:

• Keine bekannten ausnutzbaren Schwachstellen haben
• Schwachstellen in Produktkomponenten behandeln
• Sicherheitsupdates bereitstellen

Für Hardware-Produkte bedeutet das:

• Schwachstellen in Komponenten-Firmware verfolgen
• Wissen, was in Ihrer Hardware steckt
• Komponenten-Schwachstellen aktualisieren oder mitigieren können

Lieferketten-Rückverfolgbarkeit

CRA Artikel 13(5) verlangt angemessene Sorgfalt für Komponenten:

„Für die Zwecke der Erfüllung der in Absatz 1 festgelegten Pflicht lassen die Hersteller die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte mit digitalen Elementen integrieren, sodass solche Komponenten die Cybersicherheit des Produkts mit digitalen Elementen nicht beeinträchtigen, auch nicht bei der Integration von freier und quelloffener Software, die nicht im Rahmen einer Geschäftstätigkeit auf dem Markt bereitgestellt wurde."

HBOM unterstützt dies durch Dokumentation von:

• Welche Komponenten in Ihrem Produkt sind
• Wer sie liefert
• Welche Firmware-Versionen vorhanden sind
• Welche Sicherheitsfunktionen sie haben

Was in HBOM einzubeziehen ist

Kernkomponenteninformationen

HBOM-KOMPONENTENEINTRAG-STRUKTUR

IDENTIFIKATION:
- Komponententyp (MCU, Funkmodul, Sensor usw.)
- Herstellername
- Teilenummer / Modell
- Hardware-Revision

FIRMWARE-INFORMATIONEN:
- Firmware-Version
- Firmware-Lieferant (wenn anders als HW)
- Update-Fähigkeit
- Bekannter Schwachstellenstatus

SICHERHEITSATTRIBUTE:
- Secure-Boot-Unterstützung
- Hardware-Sicherheitsmodul
- Manipulationswiderstand
- Kryptografische Fähigkeiten
- Eindeutige ID / Seriennummer

LIEFERKETTE:
- Direkter Lieferant
- Ursprungsland (wenn bekannt)
- End-of-Life-Status

Zu verfolgende Komponentenkategorien

HBOM-KOMPONENTENKATEGORIEN

VERARBEITUNG:
- Hauptprozessor / MCU
- Co-Prozessoren
- FPGA / programmierbare Logik
- Anwendungsprozessoren

KONNEKTIVITÄT:
- WiFi-Module
- Bluetooth-Module
- Mobilfunkmodems
- Ethernet-Controller
- LoRa / Zigbee / Thread-Funkgeräte

SICHERHEIT:
- TPM / Sichere Elemente
- Hardware-Sicherheitsmodule
- Krypto-Beschleuniger
- Sicherer Speicher

SPEICHER:
- Flash-Speicher
- EEPROM
- SD-Karten-Controller

SENSOREN:
- Umgebungssensoren
- Bewegungssensoren
- Biometrische Sensoren
- Bildsensoren

STROMVERSORGUNG:
- Stromversorgungs-ICs
- Batteriemanagement

SCHNITTSTELLEN:
- Display-Controller
- USB-Controller
- Audio-Codecs

Tiefenerwägungen

HBOM-TIEFENSTUFEN

STUFE 1: Hauptkomponenten
- Hauptprozessor
- Konnektivitätsmodule
- Sicherheitselemente
- Komponenten mit aktualisierbarer Firmware

STUFE 2: Sekundäre Komponenten
- Unterstützende ICs
- Sensoren
- Speicherchips
- Stromversorgungsmanagement

STUFE 3: Passive/Einfache Komponenten
- Typischerweise NICHT in HBOM
- Widerstände, Kondensatoren
- Einfache Steckverbinder
- Nicht programmierbare Komponenten

EMPFEHLUNG FÜR CRA:
Fokus auf Stufe 1 (kritisch)
Stufe 2 einbeziehen, wenn machbar
Stufe 3 selten sicherheitsrelevant

HBOM-Formatoptionen

CycloneDX HBOM

CycloneDX unterstützt Hardware-Komponenten nativ:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "WiFi+BT SoC-Modul",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    },
    {
      "type": "device",
      "name": "ATECC608B",
      "version": "Rev B",
      "manufacturer": {
        "name": "Microchip"
      },
      "description": "Sicheres Element",
      "properties": [
        {
          "name": "type",
          "value": "secure-element"
        }
      ]
    }
  ]
}

SPDX HBOM

SPDX kann auch Hardware darstellen:

SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: Smart-Sensor-Pro-HBOM
DocumentNamespace: https://example.com/hbom/ssp-2.0

PackageName: ESP32-WROOM-32E
SPDXID: SPDXRef-MCU
PackageVersion: Rev3
PackageSupplier: Organization: Espressif Systems
PackageDownloadLocation: NOASSERTION
FilesAnalyzed: false
PackageComment: Haupt-WiFi+BT-Modul, Firmware v4.4.1

Vereinheitlichte SBOM+HBOM

Best Practice ist oft eine vereinheitlichte BOM:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "description": "Hardware-Modul"
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware auf ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "TLS-Bibliothek in Firmware"
    }
  ],
  "dependencies": [
    {
      "ref": "ESP32-WROOM-32E",
      "dependsOn": ["ESP-IDF"]
    },
    {
      "ref": "ESP-IDF",
      "dependsOn": ["mbedtls"]
    }
  ]
}

HBOM erstellen und pflegen

Initiale HBOM-Erstellung

HBOM-ERSTELLUNGSPROZESS

SCHRITT 1: HARDWARE INVENTARISIEREN
- Schaltplan / Stückliste aus Engineering überprüfen
- Programmierbare Komponenten identifizieren
- Komponenten mit Firmware notieren

SCHRITT 2: INFORMATIONEN SAMMELN
- Hersteller-Datenblätter
- Teilenummern und Revisionen
- Firmware-Versionen von Lieferanten
- Sicherheitsfunktionsinformationen

SCHRITT 3: SICHERHEITSRELEVANZ BEWERTEN
- Hat die Komponente Firmware?
- Kann die Firmware aktualisiert werden?
- Behandelt sie Sicherheitsfunktionen?
- Ist sie netzwerkverbunden?

SCHRITT 4: DATEN STRUKTURIEREN
- Format wählen (CycloneDX empfohlen)
- Komponenteninformationen eingeben
- Mit Firmware-SBOM verknüpfen, wo anwendbar
- Sicherheitsattribute dokumentieren

SCHRITT 5: VALIDIEREN
- Mit Engineering-Stückliste abgleichen
- Firmware-Versionen verifizieren
- Lieferanteninformationen bestätigen

Fortlaufende Pflege

HBOM-PFLEGEPROZESS

AUSLÖSER: Hardware-Revision
- Komponenteneinträge aktualisieren
- Versionsänderungen notieren
- Firmware-Versionen aktualisieren

AUSLÖSER: Firmware-Update
- Firmware-Version in HBOM aktualisieren
- Mit aktualisierter SBOM für Firmware verknüpfen
- CVE-Statusänderungen verfolgen

AUSLÖSER: Komponenten-End-of-Life
- Komponentenstatus markieren
- Ersatzplan dokumentieren
- Sicherheitsauswirkung bewerten

AUSLÖSER: Schwachstelle entdeckt
- HBOM auf betroffene Komponenten prüfen
- Ausnutzbarkeit bewerten
- Behebung planen

REGELMÄSSIGE ÜBERPRÜFUNG:
- Vierteljährliche HBOM-Genauigkeitsprüfung
- Jährliche Lieferketten-Überprüfung
- Komponenten-EOL-Überwachung

Tool-Unterstützung

HBOM-TOOLING-OPTIONEN

KOMMERZIELL:
- Finite State (Firmware-/Hardware-Analyse)
- Cybellum (Automotive-Fokus)
- Exein (Embedded-Sicherheit)

OPEN SOURCE:
- CycloneDX CLI (Format-Validierung)
- SBOM-Tooling (viele unterstützen Hardware-Typen)

INTEGRATION:
- PLM-Systeme (Product Lifecycle Management)
- ERP-Integration für Stücklistendaten
- CI/CD für Firmware-SBOM

HBOM für spezifische Produkttypen

IoT-Geräte

IoT-GERÄTE HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Haupt-MCU/SoC (Firmware!)
- Konnektivitätsmodul (WiFi, BT, Mobilfunk)
- Sicheres Element (falls vorhanden)
- Sensoren mit Verarbeitungsfähigkeit

BEISPIELEINTRAG:
Komponente: Nordic nRF52840
Typ: BLE SoC
Firmware: Zephyr RTOS 3.2.0
Secure Boot: Ja
SBOM-Link: /sbom/nrf52840-firmware-v3.2.0.json

Industrieausrüstung

INDUSTRIEAUSRÜSTUNG HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Haupt-SPS/Controller
- Kommunikationsmodule (PROFINET, EtherNet/IP)
- HMI-Prozessor
- Sicherheitscontroller (wenn separat)
- E/A-Module mit Intelligenz

BESONDERE ERWÄGUNGEN:
- Langlebige Komponenten
- Legacy-Komponenten-Tracking
- Sicherheitszertifizierungsauswirkung
- IEC 62443-Abstimmung

Unterhaltungselektronik

UNTERHALTUNGSELEKTRONIK HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Anwendungsprozessor
- Konnektivität (WiFi, BT)
- Audio-/Video-Codecs
- Sicherheitselemente
- Speicher-Controller

VOLUMENERWÄGUNGEN:
- Komponentenbeschaffungsänderungen
- Mehrere Lieferanten möglich
- Revisionsverfolgung im großen Maßstab

HBOM mit CRA-Compliance integrieren

In der Technischen Dokumentation

TECHNISCHE DOKUMENTATION HBOM-ABSCHNITT

ABSCHNITT: Komponenteninventar (HBOM)

ZWECK:
Hardware-Komponenten mit Sicherheitsrelevanz
dokumentieren, zur Unterstützung von
Schwachstellenmanagement und Sorgfaltspflicht-
anforderungen in der Lieferkette.

INHALTE:
1. HBOM-Dokument (CycloneDX-Format)
2. Zusammenfassung der Komponenten-Sicherheitsbewertung
3. Firmware-Versionsverfolgung
4. Lieferketten-Dokumentation

QUERVERWEISE:
- Verknüpfung mit SBOM für Firmware-Komponenten
- Verknüpfung mit Lieferanten-Sicherheitsbewertungen
- Verknüpfung mit Schwachstellen-Verfolgungsaufzeichnungen

Schwachstellenmanagement

HBOM IM SCHWACHSTELLEN-WORKFLOW

1. SCHWACHSTELLE ANGEKÜNDIGT
   (z.B. CVE in ESP32-Firmware)

2. HBOM PRÜFEN
   - Welche Produkte nutzen ESP32?
   - Welche Firmware-Versionen?
   - Wie viele Einheiten betroffen?

3. AUSWIRKUNG BEWERTEN
   - Ist Schwachstelle in unserem Einsatz ausnutzbar?
   - Wie hoch ist das Risikoniveau?
   - Sind Mitigationen verfügbar?

4. BEHEBUNG
   - Firmware-Update, wenn verfügbar
   - Konfigurations-Mitigation
   - Kundenbenachrichtigung

5. AUFZEICHNUNGEN AKTUALISIEREN
   - HBOM-Firmware-Version aktualisieren
   - Schwachstellenstatus aktualisieren
   - Behebung dokumentieren

Lieferketten-Due-Diligence

HBOM FÜR LIEFERKETTEN-DUE-DILIGENCE

LIEFERANTENANFORDERUNGEN:
- Komponenten-HBOM von Lieferanten anfordern
- Firmware-SBOM für Module verlangen
- Schwachstellen-Benachrichtigungsvereinbarung etablieren

WARENEINGANGSPRÜFUNG:
- Verifizieren, dass Komponente mit HBOM übereinstimmt
- Firmware-Version prüfen
- Sicherheitsfunktionen validieren

ÄNDERUNGSMANAGEMENT:
- Lieferanten-Komponentenänderungen → HBOM-Update
- Zweite-Quelle-Qualifizierung → HBOM-Eintrag
- EOL-Benachrichtigung → HBOM-Status-Update

HBOM-Checkliste

HBOM-IMPLEMENTIERUNGS-CHECKLISTE

INVENTAR:
[ ] Alle programmierbaren Komponenten identifiziert
[ ] Firmware-Versionen dokumentiert
[ ] Sicherheitsfunktionen notiert
[ ] Lieferanten erfasst

FORMAT:
[ ] Standardformat gewählt (CycloneDX empfohlen)
[ ] Schema validiert
[ ] Mit SBOM verknüpft, wo anwendbar
[ ] Versionskontrolliert

PROZESS:
[ ] Erstellungsprozess dokumentiert
[ ] Update-Auslöser definiert
[ ] Verantwortlichkeit zugewiesen
[ ] Überprüfungszeitplan etabliert

INTEGRATION:
[ ] In Technischer Dokumentation enthalten
[ ] Mit Schwachstellenmanagement verknüpft
[ ] Teil der Lieferantenanforderungen
[ ] Für Audits zugänglich

PFLEGE:
[ ] Komponentenänderungen verfolgt
[ ] Firmware-Updates reflektiert
[ ] EOL-Status überwacht
[ ] Regelmäßige Genauigkeitsüberprüfungen

Häufige Herausforderungen

Herausforderung: Lieferantendaten-Verfügbarkeit

Problem: Lieferanten stellen keine detaillierten Komponenteninformationen bereit.

Lösungen:

• HBOM-Anforderungen in Lieferantenverträge aufnehmen
• SBOMs für Module mit Firmware anfordern
• Öffentlich verfügbare Datenblätter nutzen
• Bekannte Einschränkungen dokumentieren

Herausforderung: Komponentenvarianten

Problem: Mehrere Komponentenquellen oder Revisionen in der Produktion.

Lösungen:

• Alle Varianten in HBOM verfolgen
• Versionsbereiche verwenden, wo angemessen
• HBOM mit Produktionsaufzeichnungen verknüpfen
• Regelmäßiger Abgleich

Herausforderung: Firmware-Sichtbarkeit

Problem: Firmware-Version in erhaltenen Komponenten nicht bestimmbar.

Lösungen:

• Firmware-Versionsmarkierung verlangen
• Wareneingangsprüfungsprozess umsetzen
• Mit Lieferanten an Sichtbarkeit arbeiten
• Einschränkungen akzeptieren und dokumentieren

Wichtige Ressourcen

HBOM-RESSOURCEN

STANDARDS:
CycloneDX-Spezifikation: https://cyclonedx.org
SPDX-Spezifikation: https://spdx.dev

LEITFÄDEN:
NTIA SBOM (enthält Hardware): https://ntia.gov/sbom
CISA SBOM-Ressourcen: https://cisa.gov/sbom

TOOLS:
CycloneDX Tool Center: https://cyclonedx.org/tool-center/
Finite State: https://finitestate.io

Wie CRA Evidence hilft

CRA Evidence unterstützt HBOM-Management:

• Vereinheitlichte BOM: SBOM und HBOM zusammen verwalten
• Komponentenverfolgung: Hardware-Komponenten über Produkte verfolgen
• Firmware-Verknüpfung: Hardware mit Firmware-SBOMs verknüpfen
• Schwachstellen-Korrelation: CVEs mit Hardware-Komponenten abgleichen
• Integration in Technische Dokumentation: HBOM in Compliance-Dokumentation einbeziehen

Starten Sie Ihre CRA-Compliance bei craevidence.com.

Verwandte Artikel

• SBOM für CRA-Compliance: Vollständiger Leitfaden zur Software Bill of Materials -- Erfahren Sie, wie Sie SBOMs erstellen und verwalten, die obligatorische Ergänzung zu Ihrem HBOM.
• CRA Technische Dokumentation: Was enthalten sein muss und wie man sie vorbereitet -- Verstehen Sie, wie HBOM in Ihre gesamte CRA-Dokumentation passt.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.