HBOM für CRA-Compliance: Leitfaden zur Hardware-Stückliste

Während SBOM (Software Bill of Materials) die meiste Aufmerksamkeit erhält, haben Produkte mit digitalen Elementen oft bedeutende Hardware-Komponenten, jede potenziell mit Firmware und eigenen Schwachstellen. HBOM (Hardware Bill of Materials) bietet Sichtbarkeit in diese physischen Komponenten und ihre eingebettete Software.

Dieser Leitfaden erklärt HBOM im CRA-Kontext.

Was ist HBOM?

Definition

Eine Hardware-Stückliste (HBOM) ist ein strukturiertes Inventar physischer Komponenten in einem Produkt, typischerweise einschließlich:

• Komponentenidentifikation (Teilenummern, Hersteller)
• Hardware-Versionen/Revisionen
• Firmware-Versionen (in Komponenten eingebettet)
• Sicherheitsrelevante Attribute
• Lieferketteninformationen

HBOM vs. Traditionelle Stückliste

TRADITIONELLE STÜCKLISTE (Fertigung):
Fokus: Produktion und Beschaffung
Inhalt: Teile, Mengen, Lieferanten, Kosten
Verwendung: Fertigung, Inventar, Einkauf

HBOM (Sicherheitsfokussiert):
Fokus: Sicherheit und Transparenz
Inhalt: Komponenten, Firmware, Sicherheitsattribute
Verwendung: Schwachstellenmanagement, Lieferkettensicherheit

ÜBERSCHNEIDUNG:
Beide listen physische Komponenten
HBOM fügt sicherheitsrelevante Informationen hinzu
HBOM verknüpft mit Firmware-/Software-Inhalt

HBOM vs. SBOM

SBOM:
- Software-Komponenten
- Bibliotheken und Abhängigkeiten
- Betriebssystem-Komponenten
- Anwendungscode

HBOM:
- Hardware-Komponenten
- Chips und Module
- Firmware in Komponenten
- Physische Sicherheitsfunktionen

BEZIEHUNG:
┌─────────────────────────────────────────────┐
│ Vollständige Produkttransparenz             │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Anwendung   │    │ Platine     │        │
│  │ Bibliothek. │◄──►│ Chips       │        │
│  │ BS          │    │ Module      │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Firmware erscheint in beiden: es ist     │
│   Software, die auf Hardware läuft          │
└─────────────────────────────────────────────┘

Warum HBOM für CRA wichtig ist

CRA-Anforderungen und Hardware

Während sich der CRA auf "Produkte mit digitalen Elementen" konzentriert, sind diese Produkte oft Hardware-Geräte:

CRA Artikel 3(1) Definition:

"'Produkt mit digitalen Elementen' bedeutet ein Software- oder Hardware-Produkt und seine Fernverarbeitungslösungen..."

Hardware enthält Software:

• Mikrocontroller haben Firmware
• Netzwerkchips haben eingebetteten Code
• Sicherheitsmodule haben kryptografische Software
• Sensoren können verarbeitende Firmware haben

Schwachstellenverfolgungsanforderung

CRA verlangt von Herstellern:

• Keine bekannten ausnutzbaren Schwachstellen haben
• Schwachstellen in Produktkomponenten behandeln
• Sicherheitsupdates bereitstellen

Für Hardware-Produkte bedeutet das:

• Schwachstellen in Komponenten-Firmware verfolgen
• Wissen, was in Ihrer Hardware steckt
• Komponenten-Schwachstellen aktualisieren oder mitigieren können

Lieferketten-Rückverfolgbarkeit

CRA Artikel 13(5) verlangt angemessene Sorgfalt für Komponenten:

"Hersteller üben bei der Integration von Komponenten, die von Dritten bezogen werden, Sorgfalt aus..."

HBOM unterstützt dies durch Dokumentation von:

• Welche Komponenten in Ihrem Produkt sind
• Wer sie liefert
• Welche Firmware-Versionen vorhanden sind
• Welche Sicherheitsfunktionen sie haben

Was in HBOM einzubeziehen ist

Kernkomponenteninformationen

HBOM-KOMPONENTENEINTRAG-STRUKTUR

IDENTIFIKATION:
- Komponententyp (MCU, Funkmodul, Sensor usw.)
- Herstellername
- Teilenummer / Modell
- Hardware-Revision

FIRMWARE-INFORMATIONEN:
- Firmware-Version
- Firmware-Lieferant (wenn anders als HW)
- Update-Fähigkeit
- Bekannter Schwachstellenstatus

SICHERHEITSATTRIBUTE:
- Secure-Boot-Unterstützung
- Hardware-Sicherheitsmodul
- Manipulationswiderstand
- Kryptografische Fähigkeiten
- Eindeutige ID / Seriennummer

LIEFERKETTE:
- Direkter Lieferant
- Ursprungsland (wenn bekannt)
- End-of-Life-Status

Zu verfolgende Komponentenkategorien

HBOM-KOMPONENTENKATEGORIEN

VERARBEITUNG:
- Hauptprozessor / MCU
- Co-Prozessoren
- FPGA / programmierbare Logik
- Anwendungsprozessoren

KONNEKTIVITÄT:
- WiFi-Module
- Bluetooth-Module
- Mobilfunkmodems
- Ethernet-Controller
- LoRa / Zigbee / Thread-Funkgeräte

SICHERHEIT:
- TPM / Sichere Elemente
- Hardware-Sicherheitsmodule
- Krypto-Beschleuniger
- Sicherer Speicher

SPEICHER:
- Flash-Speicher
- EEPROM
- SD-Karten-Controller

SENSOREN:
- Umgebungssensoren
- Bewegungssensoren
- Biometrische Sensoren
- Bildsensoren

STROMVERSORGUNG:
- Stromversorgungs-ICs
- Batteriemanagement

SCHNITTSTELLEN:
- Display-Controller
- USB-Controller
- Audio-Codecs

Tiefenerwägungen

HBOM-TIEFENSTUFEN

STUFE 1: Hauptkomponenten
- Hauptprozessor
- Konnektivitätsmodule
- Sicherheitselemente
- Komponenten mit aktualisierbarer Firmware

STUFE 2: Sekundäre Komponenten
- Unterstützende ICs
- Sensoren
- Speicherchips
- Stromversorgungsmanagement

STUFE 3: Passive/Einfache Komponenten
- Typischerweise NICHT in HBOM
- Widerstände, Kondensatoren
- Einfache Steckverbinder
- Nicht programmierbare Komponenten

EMPFEHLUNG FÜR CRA:
Fokus auf Stufe 1 (kritisch)
Stufe 2 einbeziehen, wenn machbar
Stufe 3 selten sicherheitsrelevant

HBOM-Formatoptionen

CycloneDX HBOM

CycloneDX unterstützt Hardware-Komponenten nativ:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "WiFi+BT SoC-Modul",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    },
    {
      "type": "device",
      "name": "ATECC608B",
      "version": "Rev B",
      "manufacturer": {
        "name": "Microchip"
      },
      "description": "Sicheres Element",
      "properties": [
        {
          "name": "type",
          "value": "secure-element"
        }
      ]
    }
  ]
}

SPDX HBOM

SPDX kann auch Hardware darstellen:

SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: Smart-Sensor-Pro-HBOM
DocumentNamespace: https://example.com/hbom/ssp-2.0

PackageName: ESP32-WROOM-32E
SPDXID: SPDXRef-MCU
PackageVersion: Rev3
PackageSupplier: Organization: Espressif Systems
PackageDownloadLocation: NOASSERTION
FilesAnalyzed: false
PackageComment: Haupt-WiFi+BT-Modul, Firmware v4.4.1

Vereinheitlichte SBOM+HBOM

Best Practice ist oft eine vereinheitlichte BOM:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "description": "Hardware-Modul"
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware auf ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "TLS-Bibliothek in Firmware"
    }
  ],
  "dependencies": [
    {
      "ref": "ESP32-WROOM-32E",
      "dependsOn": ["ESP-IDF"]
    },
    {
      "ref": "ESP-IDF",
      "dependsOn": ["mbedtls"]
    }
  ]
}

HBOM erstellen und pflegen

Initiale HBOM-Erstellung

HBOM-ERSTELLUNGSPROZESS

SCHRITT 1: HARDWARE INVENTARISIEREN
- Schaltplan / Stückliste aus Engineering überprüfen
- Programmierbare Komponenten identifizieren
- Komponenten mit Firmware notieren

SCHRITT 2: INFORMATIONEN SAMMELN
- Hersteller-Datenblätter
- Teilenummern und Revisionen
- Firmware-Versionen von Lieferanten
- Sicherheitsfunktionsinformationen

SCHRITT 3: SICHERHEITSRELEVANZ BEWERTEN
- Hat die Komponente Firmware?
- Kann die Firmware aktualisiert werden?
- Behandelt sie Sicherheitsfunktionen?
- Ist sie netzwerkverbunden?

SCHRITT 4: DATEN STRUKTURIEREN
- Format wählen (CycloneDX empfohlen)
- Komponenteninformationen eingeben
- Mit Firmware-SBOM verknüpfen, wo anwendbar
- Sicherheitsattribute dokumentieren

SCHRITT 5: VALIDIEREN
- Mit Engineering-Stückliste abgleichen
- Firmware-Versionen verifizieren
- Lieferanteninformationen bestätigen

Fortlaufende Pflege

HBOM-PFLEGEPROZESS

AUSLÖSER: Hardware-Revision
- Komponenteneinträge aktualisieren
- Versionsänderungen notieren
- Firmware-Versionen aktualisieren

AUSLÖSER: Firmware-Update
- Firmware-Version in HBOM aktualisieren
- Mit aktualisierter SBOM für Firmware verknüpfen
- CVE-Statusänderungen verfolgen

AUSLÖSER: Komponenten-End-of-Life
- Komponentenstatus markieren
- Ersatzplan dokumentieren
- Sicherheitsauswirkung bewerten

AUSLÖSER: Schwachstelle entdeckt
- HBOM auf betroffene Komponenten prüfen
- Ausnutzbarkeit bewerten
- Behebung planen

REGELMÄSSIGE ÜBERPRÜFUNG:
- Vierteljährliche HBOM-Genauigkeitsprüfung
- Jährliche Lieferketten-Überprüfung
- Komponenten-EOL-Überwachung

Tool-Unterstützung

HBOM-TOOLING-OPTIONEN

KOMMERZIELL:
- Finite State (Firmware-/Hardware-Analyse)
- Cybellum (Automotive-Fokus)
- Exein (Embedded-Sicherheit)

OPEN SOURCE:
- CycloneDX CLI (Format-Validierung)
- SBOM-Tooling (viele unterstützen Hardware-Typen)

INTEGRATION:
- PLM-Systeme (Product Lifecycle Management)
- ERP-Integration für Stücklistendaten
- CI/CD für Firmware-SBOM

HBOM für spezifische Produkttypen

IoT-Geräte

IoT-GERÄTE HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Haupt-MCU/SoC (Firmware!)
- Konnektivitätsmodul (WiFi, BT, Mobilfunk)
- Sicheres Element (falls vorhanden)
- Sensoren mit Verarbeitungsfähigkeit

BEISPIELEINTRAG:
Komponente: Nordic nRF52840
Typ: BLE SoC
Firmware: Zephyr RTOS 3.2.0
Secure Boot: Ja
SBOM-Link: /sbom/nrf52840-firmware-v3.2.0.json

Industrieausrüstung

INDUSTRIEAUSRÜSTUNG HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Haupt-SPS/Controller
- Kommunikationsmodule (PROFINET, EtherNet/IP)
- HMI-Prozessor
- Sicherheitscontroller (wenn separat)
- E/A-Module mit Intelligenz

BESONDERE ERWÄGUNGEN:
- Langlebige Komponenten
- Legacy-Komponenten-Tracking
- Sicherheitszertifizierungsauswirkung
- IEC 62443-Abstimmung

Unterhaltungselektronik

UNTERHALTUNGSELEKTRONIK HBOM-FOKUS

KRITISCHE KOMPONENTEN:
- Anwendungsprozessor
- Konnektivität (WiFi, BT)
- Audio-/Video-Codecs
- Sicherheitselemente
- Speicher-Controller

VOLUMENERWÄGUNGEN:
- Komponentenbeschaffungsänderungen
- Mehrere Lieferanten möglich
- Revisionsverfolgung im großen Maßstab

HBOM mit CRA-Compliance integrieren

In der Technischen Dokumentation

TECHNISCHE DOKUMENTATION HBOM-ABSCHNITT

ABSCHNITT: Komponenteninventar (HBOM)

ZWECK:
Hardware-Komponenten mit Sicherheitsrelevanz
dokumentieren, zur Unterstützung von
Schwachstellenmanagement und Sorgfaltspflicht-
anforderungen in der Lieferkette.

INHALTE:
1. HBOM-Dokument (CycloneDX-Format)
2. Zusammenfassung der Komponenten-Sicherheitsbewertung
3. Firmware-Versionsverfolgung
4. Lieferketten-Dokumentation

QUERVERWEISE:
- Verknüpfung mit SBOM für Firmware-Komponenten
- Verknüpfung mit Lieferanten-Sicherheitsbewertungen
- Verknüpfung mit Schwachstellen-Verfolgungsaufzeichnungen

Schwachstellenmanagement

HBOM IM SCHWACHSTELLEN-WORKFLOW

1. SCHWACHSTELLE ANGEKÜNDIGT
   (z.B. CVE in ESP32-Firmware)

2. HBOM PRÜFEN
   - Welche Produkte nutzen ESP32?
   - Welche Firmware-Versionen?
   - Wie viele Einheiten betroffen?

3. AUSWIRKUNG BEWERTEN
   - Ist Schwachstelle in unserem Einsatz ausnutzbar?
   - Wie hoch ist das Risikoniveau?
   - Sind Mitigationen verfügbar?

4. BEHEBUNG
   - Firmware-Update, wenn verfügbar
   - Konfigurations-Mitigation
   - Kundenbenachrichtigung

5. AUFZEICHNUNGEN AKTUALISIEREN
   - HBOM-Firmware-Version aktualisieren
   - Schwachstellenstatus aktualisieren
   - Behebung dokumentieren

Lieferketten-Due-Diligence

HBOM FÜR LIEFERKETTEN-DUE-DILIGENCE

LIEFERANTENANFORDERUNGEN:
- Komponenten-HBOM von Lieferanten anfordern
- Firmware-SBOM für Module verlangen
- Schwachstellen-Benachrichtigungsvereinbarung etablieren

WARENEINGANGSPRÜFUNG:
- Verifizieren, dass Komponente mit HBOM übereinstimmt
- Firmware-Version prüfen
- Sicherheitsfunktionen validieren

ÄNDERUNGSMANAGEMENT:
- Lieferanten-Komponentenänderungen → HBOM-Update
- Zweite-Quelle-Qualifizierung → HBOM-Eintrag
- EOL-Benachrichtigung → HBOM-Status-Update

HBOM-Checkliste

HBOM-IMPLEMENTIERUNGS-CHECKLISTE

INVENTAR:
[ ] Alle programmierbaren Komponenten identifiziert
[ ] Firmware-Versionen dokumentiert
[ ] Sicherheitsfunktionen notiert
[ ] Lieferanten erfasst

FORMAT:
[ ] Standardformat gewählt (CycloneDX empfohlen)
[ ] Schema validiert
[ ] Mit SBOM verknüpft, wo anwendbar
[ ] Versionskontrolliert

PROZESS:
[ ] Erstellungsprozess dokumentiert
[ ] Update-Auslöser definiert
[ ] Verantwortlichkeit zugewiesen
[ ] Überprüfungszeitplan etabliert

INTEGRATION:
[ ] In Technischer Dokumentation enthalten
[ ] Mit Schwachstellenmanagement verknüpft
[ ] Teil der Lieferantenanforderungen
[ ] Für Audits zugänglich

PFLEGE:
[ ] Komponentenänderungen verfolgt
[ ] Firmware-Updates reflektiert
[ ] EOL-Status überwacht
[ ] Regelmäßige Genauigkeitsüberprüfungen

Häufige Herausforderungen

Herausforderung: Lieferantendaten-Verfügbarkeit

Problem: Lieferanten stellen keine detaillierten Komponenteninformationen bereit.

Lösungen:

• HBOM-Anforderungen in Lieferantenverträge aufnehmen
• SBOMs für Module mit Firmware anfordern
• Öffentlich verfügbare Datenblätter nutzen
• Bekannte Einschränkungen dokumentieren

Herausforderung: Komponentenvarianten

Problem: Mehrere Komponentenquellen oder Revisionen in der Produktion.

Lösungen:

• Alle Varianten in HBOM verfolgen
• Versionsbereiche verwenden, wo angemessen
• HBOM mit Produktionsaufzeichnungen verknüpfen
• Regelmäßiger Abgleich

Herausforderung: Firmware-Sichtbarkeit

Problem: Firmware-Version in erhaltenen Komponenten nicht bestimmbar.

Lösungen:

• Firmware-Versionsmarkierung verlangen
• Wareneingangsprüfungsprozess implementieren
• Mit Lieferanten an Sichtbarkeit arbeiten
• Einschränkungen akzeptieren und dokumentieren

Wichtige Ressourcen

HBOM-RESSOURCEN

STANDARDS:
CycloneDX-Spezifikation: https://cyclonedx.org
SPDX-Spezifikation: https://spdx.dev

LEITFÄDEN:
NTIA SBOM (enthält Hardware): https://ntia.gov/sbom
CISA SBOM-Ressourcen: https://cisa.gov/sbom

TOOLS:
CycloneDX Tool Center: https://cyclonedx.org/tool-center/
Finite State: https://finitestate.io

Wie CRA Evidence hilft

CRA Evidence unterstützt HBOM-Management:

• Vereinheitlichte BOM: SBOM und HBOM zusammen verwalten
• Komponentenverfolgung: Hardware-Komponenten über Produkte verfolgen
• Firmware-Verknüpfung: Hardware mit Firmware-SBOMs verknüpfen
• Schwachstellen-Korrelation: CVEs mit Hardware-Komponenten abgleichen
• Integration in Technische Dokumentation: HBOM in Compliance-Dokumentation einbeziehen

Starten Sie Ihre CRA-Compliance bei app.craevidence.com.

Verwandte Artikel

• SBOM für CRA-Compliance: Vollständiger Leitfaden zur Software Bill of Materials -- Erfahren Sie, wie Sie SBOMs erstellen und verwalten, die obligatorische Ergänzung zu Ihrem HBOM.
• CRA Technische Dokumentation: Was enthalten sein muss und wie man sie vorbereitet -- Verstehen Sie, wie HBOM in Ihre gesamte CRA-Dokumentation passt.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.