Hardware-Stückliste (HBOM) und CRA-Compliance

Veröffentlicht 4. Mai 2026 Aktualisiert 16. Mai 2026

Ihre SBOM listet Bibliotheken und Softwarepakete auf, doch was ist mit der Firmware, die in Ihren Bluetooth-Chip gebrannt wurde, oder dem Mikrocontroller im Herzstück Ihres Geräts? Eine Hardware-Stückliste (HBOM) erweitert das Komponenteninventar auf physische Chips, Module und die darauf ausgeführte Firmware. Der CRA verwendet den Begriff „HBOM" nicht, aber Hardware-Produkte, separat vermarktete Hardware-Komponenten, die Sorgfalt gegenüber Drittanbieter-Komponenten und das SBOM-Komponenteninventar führen zu demselben praktischen Bedarf: wissen, welche Hardware und Firmware im Produkt steckt.

Zusammenfassung

  • Eine HBOM ist ein strukturiertes Inventar der physischen Komponenten Ihres Produkts einschließlich der Firmware, die jede Komponente trägt
  • Der CRA schreibt eine HBOM unter diesem Namen nicht vor. Behandeln Sie sie als Hardware-Seite des Komponenteninventars, das Sie für ein Produkt mit digitalen Elementen ohnehin benötigen
  • Firmware ist für die praktische CRA-Arbeit Software: Sie ist Computercode in einem elektronischen System und gehört neben den Hardware-Komponenteneinträgen in die SBOM
  • CycloneDX ist das praktische einheitliche Format: type: device steht für physische Hardware, type: firmware für eingebettete Software, und beide können in einem einzigen CycloneDX-Dokument ab Version 1.6 koexistieren
  • BSI TR-03183 deckt HBOM als Konzept derzeit nicht ab; alle drei Teile konzentrieren sich auf Software-Stücklisten und Schwachstellenberichte
  • Die Kommission kann SBOM-Format und -Elemente noch per Durchführungsrechtsakt konkretisieren, aber der CRA-Text schafft kein separates HBOM-Formatmandat
Hardware-Umfang
CRA-Anwendungsbereich
Erfasst Hardware-Produkte
Verpflichtend
Sorgfaltspflicht
Alle Drittanbieter-Komponenten
CycloneDX 1.6+
Empfohlenes Format
device + firmware types
Dez. 2027
Volle Anwendung
CE-Kennzeichnung erforderlich

Warum HBOM nach dem CRA relevant ist

Der Anwendungsbereich des CRA geht über reine Software-Produkte hinaus. Hardware-Produkte, separat vermarktete Hardware-Komponenten und die Firmware in diesen Komponenten gehören alle zum Inventarproblem des Produkts.

Für Hersteller ist das wichtig, weil Komponentensorgfalt nicht bei Open-Source-Bibliotheken endet. Ein Prozessor auf Ihrer Leiterplatte, ein Funkmodul auf Ihrem Entwicklungsboard oder ein Secure Element in Ihrem IoT-Gateway kann Firmware und sicherheitsrelevante Versionen mitbringen. Diese Risiken lassen sich ohne Inventar nicht steuern.

Die SBOM-Pflicht ist der rechtliche Ort für diese Arbeit: Sie verlangt die Erfassung der Komponenten, die in Produkten mit digitalen Elementen enthalten sind. Ein ESP32-Modul bringt daher sowohl das physische Modul als auch seinen Firmware-Stack in den Komponentenbestand. Eine HBOM ist das praktische Werkzeug dafür.

HBOM ist kein separates Rechtsartefakt

Der CRA verlangt kein Dokument namens HBOM. Behandeln Sie HBOM-Einträge als Hardware-Seite des einheitlichen Komponenteninventars, das Sie für das Produkt führen, insbesondere bei hardwarelastigen Produkten.

HBOM und SBOM im Vergleich

Dimension SBOM HBOM
Primärer Geltungsbereich Softwarebibliotheken, Pakete, Frameworks Physische Komponenten: Chips, Module, Secure Elements
Firmware-Abdeckung Kann type: firmware-Einträge enthalten Firmware neben der übergeordneten Hardware-Komponente gelistet
Compliance-Rolle Explizite Pflicht zum Komponenteninventar Praktische Erweiterung desselben Komponenteninventars für Hardware-Produkte
BSI TR-03183-Abdeckung Ja, TR-03183-2 (v2.1.0, 2025) Nein, keiner der drei TR-03183-Teile behandelt HBOM
CycloneDX-Unterstützung Alle Versionen type: device seit v1.1; type: firmware seit v1.2 (Mai 2020)
Typisches Generierungswerkzeug Syft, Trivy, cdxgen Manuell oder Hardware-Hersteller-Datenblätter; noch keine ausgereiften Werkzeuge zur automatischen Generierung
Ablageort in der technischen Dokumentation Technische Dokumentation, Abschnitt zum Komponenteninventar Gleicher Ort, als Teil des einheitlichen Komponenteninventars

Die vollständigen SBOM-Pflichten finden Sie unter CRA-SBOM-Anforderungen. Einen Formatvergleich bietet CycloneDX vs. SPDX.

Was in eine HBOM aufzunehmen ist

Die folgenden Kategorien beruhen auf technisch-praktischem Urteil, nicht auf einer gesetzlichen Aufzählung. Der CRA listet keine Hardware-Komponentenkategorien auf. Nehmen Sie jede physische Komponente auf, die digitale Daten verarbeitet, speichert oder überträgt, weil solche Komponenten die Cybersicherheit beeinflussen können.

Verarbeitungs- und Konnektivitätskomponenten

Diese Einträge haben höchste Priorität, weil ihre Firmware der wahrscheinlichste Angriffspunkt für Schwachstellen ist:

  • Hauptanwendungsprozessor oder SoC (Name, Hersteller, Version/Stepping, Firmware-Version)
  • Funkmodule: WLAN, Bluetooth, Zigbee, LoRa, Mobilfunk (jeweils mit Firmware-Version)
  • Sekundäre Mikrocontroller für bestimmte Teilsysteme

Sicherheitskomponenten

Sicherheitshardware verdient eigene Einträge, weil Schwachstellen hier die größte Auswirkung haben:

  • Trusted Platform Module (TPM)-Chips
  • Secure Elements und Hardware-Sicherheitsmodule
  • Kryptografische Beschleuniger
  • Jede Komponente, die Schlüssel, Zertifikate oder Zugangsdaten gespeichert hält

Speicherkomponenten

Speicher ist relevant, wenn er Code, Konfiguration oder sensible Daten enthält:

  • Flash-Speicher mit Bootloader oder Firmware
  • eMMC- oder SD-Module für persistente Speicherung
  • EEPROM mit Gerätekonfiguration

Erfassen Sie für jeden Eintrag mindestens: Komponentenname, Hersteller, Hardware-Version oder Stepping sowie Firmware-Version, falls zutreffend. Verknüpfen Sie jeden Hardware-Eintrag mit dem zugehörigen Firmware-Eintrag über CycloneDX-Abhängigkeitsbeziehungen.

Veraltete Firmware ist die häufigste Hardware-Schwachstelle

Ein erheblicher Anteil der IoT-Schwachstellen betrifft Firmware, die nach der Auslieferung nie aktualisiert wird. Firmware-Versionen in Ihrer HBOM zu dokumentieren ist die Voraussetzung für Überwachung und Behebung. Sie können nicht verfolgen, was Sie nicht gelistet haben. Das übergeordnete Muster beschreibt häufige SBOM-Fehler.

Wie Firmware in die CRA-Definition von Software passt

Firmware wird gelegentlich als eigenständige Kategorie behandelt, die sich von Hardware und Software unterscheidet. Für die CRA-Arbeit sollten Sie Firmware als Software behandeln, weil sie Computercode ist, der in einem elektronischen Informationssystem läuft.

Die praktische Konsequenz ist eindeutig. Firmware, die auf einem Chip in Ihrem Produkt läuft, ist eine Software-Komponente Ihres Produkts mit digitalen Elementen. Sie muss im Komponenteninventar erscheinen. Enthält sie eine Schwachstelle, folgt diese Schwachstelle demselben Schwachstellenmanagement- und Meldeprozess wie jede andere Software-Schwachstelle.

CycloneDX als einheitliches SBOM- und HBOM-Format

CycloneDX verarbeitet sowohl Hardware- als auch Software-Komponenten in einem einzigen Dokument. Sie benötigen kein eigenes Dateiformat für Ihre HBOM.

Versionshistorie der Komponententypen (hardware-relevant)

CycloneDX-Version Veröffentlichungsdatum Relevante Ergänzung
1.1 oder früher 2018 type: device eingeführt
1.2 2020-05-26 type: firmware hinzugefügt
1.5 2023-06-26 type: device-driver hinzugefügt
1.6 2024 Aktuelle Empfehlung für CRA-Konformität
1.7 Oktober 2025 Neueste stabile Version

Hinweis: type: hardware existiert in keiner CycloneDX-Version. Der korrekte Typ für einen physischen Chip oder ein Modul ist type: device.

Die CycloneDX-v1.2-Spezifikation zur Modellierung von Hardware mit Firmware lautet:

"A hardware device such as a processor, or chip-set. A hardware device containing firmware SHOULD include a component for the physical hardware itself, and another component of type 'firmware' or 'operating-system' (whichever is relevant), describing information about the software running on the device."

Diese Vorgabe entspricht direkt der CRA-Behandlung: Das physische Gerät und seine Firmware sind verwandte, aber eigenständige Komponenten mit je eigener Identität und Version.

Setzen Sie CycloneDX 1.6 als Ziel für neue HBOM-Arbeiten ein. BSI TR-03183-2 v2.1.0 (2025-08-20) hat die Mindestanforderung an die CycloneDX-Version auf 1.6 angehoben. Die Ausrichtung auf 1.6 hält SBOM und HBOM in einem Dokument zusammen und erfüllt TR-03183.

Beispiel: ESP32-Gerät mit Firmware-Stack

Das folgende Beispiel zeigt eine realistische Hardware-Komponente (ESP32-WROOM-32E), ihre Firmware (ESP-IDF) und eine Bibliothek innerhalb der Firmware (mbedtls), alles in einem einzigen CycloneDX-1.6-oder-neuer-Dokument mit Abhängigkeitsbeziehungen:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.6",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": { "name": "Espressif Systems" },
      "description": "WiFi+BT SoC Module",
      "properties": [
        { "name": "firmware-version", "value": "4.4.1" },
        { "name": "secure-boot", "value": "supported" }
      ]
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware on ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "TLS library in firmware"
    }
  ],
  "dependencies": [
    { "ref": "ESP32-WROOM-32E", "dependsOn": ["ESP-IDF"] },
    { "ref": "ESP-IDF", "dependsOn": ["mbedtls"] }
  ]
}

Das dependencies-Array macht die Beziehung zwischen Hardware und Firmware explizit. Wenn mbedtls einen CVE-Patch veröffentlicht, können Sie nachvollziehen, welches Gerät betroffen ist und welche Firmware-Version aktualisiert werden muss.

Einen Formatvergleich und Hinweise zur Werkzeugauswahl finden Sie unter CycloneDX vs. SPDX.

Häufig gestellte Fragen

Schreibt der CRA eine HBOM ausdrücklich vor?

Nein. Der CRA verwendet den Begriff „HBOM" nicht. Der Bedarf an einem Hardware-Inventar ergibt sich indirekt: Hardware-Produkte sind erfasst, Hersteller müssen Komponentensorgfalt leisten, und das Produktinventar muss die enthaltenen Komponenten abdecken. Eine HBOM ist der praktische Ansatz für Hardware-Produkte, kein benanntes regulatorisches Artefakt.

Gilt die Firmware in einem Bluetooth-Chip nach dem CRA als Software?

Ja. Firmware besteht aus Computercode, der in einem elektronischen Informationssystem läuft; behandeln Sie sie deshalb für das CRA-Komponenteninventar als Software. Jede Firmware, die auf einer Komponente Ihres Produkts läuft, muss im Komponenteninventar erscheinen.

Behandelt BSI TR-03183 HBOM?

Nein. BSI TR-03183 umfasst drei Teile: Teil 1 (Allgemeine Anforderungen), Teil 2 (SBOM) und Teil 3 (Schwachstellenberichte). Keiner davon behandelt HBOM als strukturelles Konzept. TR-03183-2 erwähnt Firmware nur als Komponenten-Dateityp innerhalb einer Software-Stückliste, über das Feld software_additionalPurpose: firmware. Wenn Sie Hardware-Komponenten für die CRA-Compliance dokumentieren müssen, sind technisches Urteil und die nativen Hardware-Typen von CycloneDX gefragt, da TR-03183 für diesen Teil Ihres Inventars keine Anleitung bietet.

Welche CycloneDX-Version unterstützt Software- und Hardware-Komponenten gleichzeitig?

type: device ist seit CycloneDX v1.1 (2018 oder früher) verfügbar. type: firmware wurde in v1.2, veröffentlicht Mai 2020, hinzugefügt. Beide stehen damit in jeder aktuellen CycloneDX-Version zur Verfügung. Für CRA-Arbeiten setzen Sie v1.6 oder neuer ein: BSI TR-03183-2 v2.1.0 (August 2025) hat die Mindest-CycloneDX-Anforderung auf 1.6 angehoben, und die neueste stabile Version ist 1.7 (Oktober 2025). type: hardware existiert in keiner CycloneDX-Version; verwenden Sie type: device für physische Komponenten.

Nächste Schritte

  1. Inventarisieren Sie Ihre Hardware-Komponenten nach den drei oben genannten Kategorien: Verarbeitung und Konnektivität, Sicherheit und Speicher. Erfassen Sie Herstellernamen, Hardware-Versionen oder Steppings sowie aktuelle Firmware-Versionen für jede Komponente.
  2. Erstellen Sie ein CycloneDX-1.6-oder-neuer-Dokument mit je einem type: device-Eintrag pro Hardware-Komponente und je einem type: firmware-Eintrag pro Firmware-Image. Verknüpfen Sie sie mit dependencies-Beziehungen.
  3. Fügen Sie die HBOM-Einträge zu Ihrer bestehenden SBOM hinzu, anstatt eine eigene Datei zu erstellen. CycloneDX unterstützt gemischte Komponententypen in einem Dokument. Die vollständigen Pflichten für das einheitliche Komponenteninventar und die technische Dokumentation finden Sie unter CRA-SBOM-Anforderungen.
  4. Prüfen Sie die veröffentlichten Sicherheitshinweise Ihrer Hardware-Lieferanten und die CVE-Datenbanken für jede Komponente. Komponentensorgfalt verlangt, dass Sie den Schwachstellenstatus der integrierten Drittanbieter-Komponenten einschließlich Hardware kennen.
  5. Legen Sie die einheitliche SBOM einschließlich der Hardware-Einträge in Ihrer technischen Dokumentation ab, wo sie der Marktüberwachungsbehörde auf Anfrage zur Verfügung stehen muss. Wenn Sie SBOM- und HBOM-Daten nicht manuell über Produktversionen hinweg verwalten möchten, übernimmt CRA Evidence den CycloneDX-Import und die Komponentenverfolgung über Ihr gesamtes Produktportfolio.