SBOM-Anforderungen unter dem EU Cyber Resilience Act (CRA)

Der EU Cyber Resilience Act (CRA) macht Software Bills of Materials (SBOMs) zu einer gesetzlichen Pflicht für jedes Produkt mit digitalen Elementen, das in der Europäischen Union verkauft wird. Dieser Leitfaden erklärt, was der CRA und die BSI TR-03183 verlangen, welche Formate akzeptiert werden, welche Felder Ihr SBOM enthalten muss und wann die Compliance-Fristen greifen.

Was ist ein SBOM?

Eine Software Bill of Materials (SBOM) ist ein strukturiertes Verzeichnis aller Softwarekomponenten in einem Produkt: Bibliotheken, Frameworks, Betriebssystempakete und deren Abhängigkeiten. Stellen Sie sich einen SBOM wie eine Zutatenliste für Software vor: Er listet genau auf, was enthalten ist, damit Käufer und Regulierungsbehörden Risiken bewerten, Schwachstellen nachverfolgen und die Lizenzkonformität überprüfen können.

Was verlangt der CRA für SBOMs?

Der CRA verweist in zwei zentralen Abschnitten auf SBOMs:

Anhang I: Wesentliche Anforderungen

„Die Hersteller identifizieren und dokumentieren Schwachstellen und in den Produkten enthaltene Komponenten, einschließlich der Erstellung einer Software-Stückliste in einem gängigen und maschinenlesbaren Format."

Das bedeutet:

• SBOMs sind obligatorisch, nicht optional
• Sie müssen in einem maschinenlesbaren Format vorliegen (keine PDFs oder Tabellenkalkulationen)
• Sie müssen alle Komponenten abdecken, einschließlich transitiver Abhängigkeiten

Anhang VII: Technische Dokumentation

Die technischen Unterlagen müssen SBOM-Informationen enthalten, die Folgendes ermöglichen:

• Verfolgung von Schwachstellen auf Komponentenebene
• Lieferantenidentifizierung
• Überprüfung der Lizenzkonformität
• Planung des Lebensendes (End-of-Life)

Welche SBOM-Formate werden unter dem CRA akzeptiert?

Der CRA verlangt „gängige und maschinenlesbare" Formate. In der Praxis kommen zwei Standards infrage:

Beide Formate werden akzeptiert, aber CycloneDX wird zunehmend für Sicherheitsanwendungsfälle bevorzugt, aufgrund seiner nativen Unterstützung für:

• Vulnerability Exploitability eXchange (VEX)
• Sicherheitshinweise
• Abhängigkeitsgraphen

graph TD
    SBOM((SBOM))
    SCN[Komponentennamen] --> SBOM
    VS[Versionen] --> SBOM
    SUP[Lieferanteninformationen] --> SBOM
    DEP[Abhängigkeiten] --> SBOM
    LIC[Lizenzen] --> SBOM
    PURL[Paket-URLs] --> SBOM
    HASH[Hash-Werte] --> SBOM
    OSC[Open-Source-Komponenten] --> SBOM
    style SBOM fill:#008080,color:#fff,stroke:#006666,stroke-width:4px
    style SCN fill:#e8f4f8,stroke:#008080,color:#333
    style VS fill:#e8f4f8,stroke:#008080,color:#333
    style SUP fill:#e8f4f8,stroke:#008080,color:#333
    style DEP fill:#e8f4f8,stroke:#008080,color:#333
    style LIC fill:#e8f4f8,stroke:#008080,color:#333
    style PURL fill:#e8f4f8,stroke:#008080,color:#333
    style HASH fill:#e8f4f8,stroke:#008080,color:#333
    style OSC fill:#e8f4f8,stroke:#008080,color:#333

Welche Felder muss ein SBOM enthalten?

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TR-03183 veröffentlicht, das detaillierte SBOM-Qualitätsanforderungen definiert, die über das CRA-Minimum hinausgehen. Für deutsche Hersteller ist dieser Standard besonders relevant, da er vom BSI, der nationalen Cybersicherheitsbehörde, stammt und als Referenzrahmen für die EU-weite CRA-Konformität dient.

Pflichtfelder (BSI TR-03183)

• Komponentenname und -version
• Lieferanten-/Herstellerinformationen
• Eindeutige Kennungen (PURL, CPE)
• Abhängigkeitsbeziehungen
• Lizenzinformationen

Qualitätsstufen

TR-03183 definiert drei Qualitätsstufen:

Obwohl TR-03183 ein deutscher Standard ist, entwickelt er sich zum De-facto-Qualitätsmaßstab für die CRA-Konformität in der gesamten EU.

Welche Fristen gelten für die CRA-SBOM-Konformität?

Der CRA hat einen gestaffelten Durchsetzungszeitplan:

Produkte, die nach Dezember 2027 auf dem EU-Markt bereitgestellt werden und keinen konformen SBOM vorweisen können, dürfen kein CE-Kennzeichen tragen und nicht legal verkauft werden.

Was passiert bei Nichteinhaltung?

Verstöße gegen den CRA haben schwerwiegende Konsequenzen:

• Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
• Produktrückruf oder Rücknahme vom EU-Markt
• Marktverbot: nicht konforme Produkte dürfen kein CE-Kennzeichen tragen
• Auswirkungen auf die Lieferkette: Ihre Kunden können Ihr Produkt möglicherweise nicht für ihre eigene CRA-Konformität verwenden

Marktüberwachungsbehörden in jedem EU-Mitgliedstaat setzen diese Sanktionen durch.

Häufige SBOM-Fehler

1. Unvollständige Abhängigkeitsbäume

Viele Tools erfassen nur direkte Abhängigkeiten. Der CRA erfordert transitive Abhängigkeiten, also Komponenten, von denen Ihre Abhängigkeiten selbst abhängen.

Ihr Produkt
├── Bibliothek A (direkt) ✓
│   ├── Bibliothek B (transitiv) ← Fehlt oft!
│   └── Bibliothek C (transitiv) ← Fehlt oft!
└── Bibliothek D (direkt) ✓

2. Fehlende Versionsinformationen

Ein SBOM ohne genaue Versionsinformationen ist für den Schwachstellenabgleich nahezu nutzlos. Stellen Sie sicher, dass jede Komponente Folgendes hat:

• Exakte Versionsnummern (keine Bereiche)
• Hash-Werte für binäre Komponenten
• PURL-Kennungen, wo möglich

3. Veraltete SBOMs

Ein zur Build-Zeit generierter, aber nie aktualisierter SBOM schafft ein falsches Sicherheitsgefühl. Implementieren Sie:

• CI/CD-Integration für automatische SBOM-Generierung
• Versionskontrolle für SBOM-Artefakte
• Regelmäßige Drift-Erkennung zwischen Builds

4. Firmware und Hardware ignorieren

Bei Produkten mit eingebetteten Komponenten sollten Sie Folgendes einbeziehen:

• Firmware-Versionen und -Komponenten
• Hardware Bill of Materials (HBOM), wo zutreffend
• Bootloader- und Kernel-Komponenten

Erste Schritte

1. Prüfen Sie Ihren aktuellen Stand: Generieren Sie heute SBOMs? In welchem Format? Mit welcher Abdeckung?

2. Wählen Sie Ihr Format: CycloneDX für Sicherheitsfokus, SPDX für Lizenzkonformität (oder beides)

3. Automatisieren Sie die Generierung: Integrieren Sie die SBOM-Erstellung in Ihre CI/CD-Pipeline mit Tools wie Syft, Trivy oder cdxgen

4. Validieren Sie die Qualität: Prüfen Sie Ihre SBOMs gegen TR-03183-Anforderungen. Sind alle Pflichtfelder ausgefüllt?

5. Implementieren Sie Monitoring: Verknüpfen Sie SBOMs mit Schwachstellendatenbanken (NVD, OSV, GitHub Advisory Database, CISA KEV)

6. Planen Sie regelmäßige Aktualisierungen: Etablieren Sie Prozesse, damit jede Produktversion einen frischen, validierten SBOM erzeugt

Nächste Schritte

CRA-Konformität über mehrere Produkte hinweg verwalten? CRA Evidence verfolgt Ihre SBOMs, bewertet sie nach BSI TR-03183-Qualitätsstufen und meldet neue Schwachstellen, sobald sie auftreten.

Sobald Sie ein Format gewählt haben, lesen Sie den SBOM-Generierungsleitfaden, um die Erstellung in CI/CD zu automatisieren. Im Anhang-VII-Leitfaden zur technischen Dokumentation erfahren Sie, wo Ihr SBOM in die übergeordnete Compliance-Dokumentation eingebettet ist.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Konformitätsberatung wenden Sie sich an qualifizierte Rechtsberater.