SBOM-Anforderungen unter dem EU Cyber Resilience Act: Ein praktischer Leitfaden

Die Software-Stückliste (SBOM) ist zu einem Eckpfeiler der modernen Sicherheit in der Software-Lieferkette geworden. Unter dem EU Cyber Resilience Act (CRA) sind SBOMs nicht nur eine Best Practice - sie sind eine regulatorische Anforderung. Dieser Leitfaden erklärt, was Hersteller über die SBOM-Konformität unter dem CRA wissen müssen.

Was der CRA über SBOMs sagt

Der CRA verweist in mehreren Schlüsselbereichen auf SBOMs:

Anhang I: Wesentliche Anforderungen

"Die Hersteller identifizieren und dokumentieren Schwachstellen und in den Produkten enthaltene Komponenten, einschließlich der Erstellung einer Software-Stückliste in einem gängigen und maschinenlesbaren Format."

Das bedeutet:

• SBOMs sind obligatorisch, nicht optional
• Sie müssen in einem maschinenlesbaren Format sein (keine PDFs oder Tabellenkalkulationen)
• Sie müssen alle Komponenten abdecken, einschließlich transitiver Abhängigkeiten

Anhang VII: Technische Dokumentation

Die technischen Unterlagen müssen SBOM-Informationen enthalten, die Folgendes ermöglichen:

• Verfolgung von Schwachstellen auf Komponentenebene
• Lieferantenidentifizierung
• Überprüfung der Lizenzkonformität
• Planung des Lebensendes

Akzeptierte SBOM-Formate

Der CRA erfordert "gängige und maschinenlesbare" Formate. In der Praxis bedeutet dies:

Beide Formate werden akzeptiert, aber CycloneDX wird zunehmend für Sicherheitsanwendungsfälle bevorzugt aufgrund seiner nativen Unterstützung für:

• Vulnerability Exploitability eXchange (VEX)
• Sicherheitshinweise
• Abhängigkeitsgraphen

BSI TR-03183: Der deutsche Standard

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TR-03183 veröffentlicht, das detaillierte SBOM-Qualitätsanforderungen enthält, die über das CRA-Minimum hinausgehen. Wichtige Anforderungen umfassen:

Pflichtfelder

• Komponentenname und -version
• Lieferanten-/Herstellerinformationen
• Eindeutige Kennungen (PURL, CPE)
• Abhängigkeitsbeziehungen
• Lizenzinformationen

Qualitätsindikatoren

TR-03183 definiert Qualitätsstufen:

Obwohl TR-03183 ein deutscher Standard ist, wird er zum De-facto-Qualitätsmaßstab für die CRA-Konformität in der gesamten EU.

Häufige SBOM-Fehler, die zu vermeiden sind

1. Unvollständige Abhängigkeitsbäume

Viele Tools erfassen nur direkte Abhängigkeiten. Der CRA erfordert transitive Abhängigkeiten - Komponenten, von denen Ihre Abhängigkeiten abhängen.

Ihr Produkt
├── Bibliothek A (direkt) ✓
│   ├── Bibliothek B (transitiv) ← Fehlt oft!
│   └── Bibliothek C (transitiv) ← Fehlt oft!
└── Bibliothek D (direkt) ✓

2. Fehlende Versionsinformationen

Ein SBOM ohne genaue Versionsinformationen ist für den Schwachstellenabgleich nahezu nützlos. Stellen Sie sicher, dass jede Komponente hat:

• Exakte Versionsnummern (keine Bereiche)
• Hash-Werte für binäre Komponenten
• PURL-Kennungen wo möglich

3. Veraltete SBOMs

Ein zur Build-Zeit generierter, aber nie aktualisierter SBOM schafft ein falsches Sicherheitsgefühl. Implementieren Sie:

• CI/CD-Integration für automatische SBOM-Generierung
• Versionskontrolle für SBOM-Artefakte
• Regelmäßige Drift-Erkennung zwischen Builds

4. Firmware und Hardware ignorieren

Für Produkte mit eingebetteten Komponenten denken Sie daran, einzuschließen:

• Firmware-Versionen und -Komponenten
• Hardware-Stückliste (HBOM) wo zutreffend
• Bootloader- und Kernel-Komponenten

SBOM-Lebenszyklusmanagement

Eine konforme SBOM-Praxis erfordert kontinuierliches Management:

Generierung

Quellcode → Build-System → SBOM-Generierung → Validierung

Integrieren Sie die SBOM-Generierung in Ihre CI/CD-Pipeline mit Tools wie:

• Syft (CycloneDX/SPDX)
• Trivy (CycloneDX)
• cdxgen (CycloneDX)

Validierung

Validieren Sie Ihren SBOM vor der Veröffentlichung:

• Schema-Konformität (gültiges CycloneDX/SPDX)
• Vollständigkeit (alle Komponenten enthalten)
• Genauigkeit (Versionen stimmen mit der Realität überein)

Speicherung und Zugriff

SBOMs sollten:

• Sicher mit Zugriffskontrollen gespeichert werden
• Für die Produktunterstützungsperiode aufbewahrt werden (mindestens 5 Jahre unter CRA)
• Für die Konformitätsbewertung zugänglich sein
• Für nachgelagerte Kunden verfügbar sein (für B2B-Produkte)

Kontinuierliches Monitoring

Verknüpfen Sie Ihren SBOM mit Schwachstellendatenbanken:

• NVD (National Vulnerability Database)
• OSV (Open Source Vulnerabilities)
• GitHub Advisory Database
• CISA KEV (bekannt ausgenutzte Schwachstellen)

Praktische Schritte zum Einstieg

1. Prüfen Sie Ihren aktuellen Stand: Generieren Sie heute SBOMs? Welches Format? Welche Abdeckung?

2. Wählen Sie Ihr Format: CycloneDX für Sicherheitsfokus, SPDX für Lizenzkonformität (oder beides)

3. Automatisieren Sie die Generierung: Integration in CI/CD, keine manuellen Prozesse

4. Validieren Sie die Qualität: Prüfen Sie gegen TR-03183-Anforderungen

5. Implementieren Sie Monitoring: Verknüpfen Sie SBOMs mit Schwachstellen-Scanning

6. Planen Sie Updates: Etablieren Sie Prozesse für SBOM-Wartung

Wie CRA Evidence hilft

CRA Evidence bietet umfassendes SBOM-Management:

• Upload & Validierung: Unterstützung für CycloneDX und SPDX mit TR-03183-Qualitätsbewertung
• Schwachstellen-Scanning: Automatischer Abgleich gegen NVD, OSV und andere Datenbanken
• Versionsverfolgung: SBOM-Historie und Drift-Erkennung über Produktversionen
• Export: Einbeziehung validierter SBOMs in Ihre technische Dokumentation nach Anhang VII

Ihre SBOM-Praxis richtig aufzusetzen ist grundlegend für die CRA-Konformität. Beginnen Sie jetzt mit dem Aufbau dieser Fähigkeiten, um für die Frist 2027 bereit zu sein.

Verwandte Leitfäden

Generierung: Erfahren Sie, wie Sie die SBOM-Erstellung automatisieren, in unserem SBOM-Generierungsleitfaden.

Qualität: Verstehen Sie die SBOM-Qualitätsanforderungen in unserem BSI TR-03183-Leitfaden.

VEX: Ergänzen Sie Ihren SBOM mit Schwachstellendaten mithilfe von VEX-Dokumenten.

Technische Dokumentation: Erfahren Sie, wie SBOMs in die CRA Technische Dokumentation (Anhang VII) passen.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Konformitätsberatung wenden Sie sich an qualifizierte Rechtsberater.