SBOM – Die neue Pflicht für Software-Sicherheit? Erhöhen Sie die Sicherheit Ihrer Lieferkette.

SBOM – Die neue Pflicht für Software-Sicherheit? Erhöhen Sie die Sicherheit Ihrer Lieferkette.

Avatar of Tamara Heene
Tamara Heene
10. September 2025
5 min Lesezeit
Informationssicherheit

Software Bill of Materials (SBOM): Die strategische Notwendigkeit für moderne Unternehmen

Warum SBOMs unverzichtbar für Ihre Cybersicherheit sind

In einer hoch vernetzten Welt, in der ein Ausfall des IT-Betriebs für viele Unternehmen auch einen Ausfall des Geschäftsbetriebs zur Folge hat, sind Schwachstellen der eingesetzten Software oft das Einfallstor für Angreifer und ursächlich für wesentliche Teile der operationellen Risiken.

Software ist komplex und wird schon seit Jahrzehnten nicht mehr als Monolith entwickelt, sondern aus Komponenten und Bibliotheken „zusammengesetzt" und durch eigenen Code des Anbieters „ergänzt". Daher kommt der Software-Lieferkette eine sehr hohe Bedeutung zu, da oft mehr als 90 Prozent des Codes eines ausgelieferten Softwareprodukts nicht vom Anbieter stammen.

Die Gefahr von Cyberangriffen auf die Software-Lieferkette

Cyberangriffe auf die Software-Lieferkette sind ein Beispiel dafür, wie ein gezielter Einbau von Schadsoftware in Komponenten oder Bibliotheken eines weit verbreiteten Softwareprodukts sehr hohe Schäden verursachen kann.

Spätestens seit dem SolarWinds-Hack mit Millionen betroffenen IT-Systemen und mehr als 18000 Kunden, die das kompromittierte Update heruntergeladen hatten, ist jedem bekannt, was die Folgen eines solchen Angriffs sein können, nicht nur für den betroffenen Anbieter, sondern insbesondere für seine Kunden, die das eigentliche Ziel der Angreifer sind.

Angriffe auf die Software-Lieferkette durch den Einbau von Schadsoftware richten sich nicht nur gegen kommerzielle Software, sondern vermehrt auch gegen Open Source Software, insbesondere solche, die in einem kritischen Umfeld eingesetzt wird und weit verbreitet ist. Ein prominentes Beispiel dafür ist die in 2024 entdeckte XZ-Backdoor in den XZ-Tools und Bibliotheken für Linux. Die Backdoor, die in zwei Releases der Bibliotheken vorkommt, wurde etwa einen Monat nach ihrem „Einbau" entdeckt, so dass sich der Schaden trotz eines CVSS-Scores von 10 in Grenzen hielt, auch weil weit verbreitete Distributionen wie Red Hat Enterprise Linux nicht betroffen waren.

Jenseits von gezielten Angriffen zeigen aber auch weit verbreitete Schwachstellen wie Log4Shell die Notwendigkeit, volle Transparenz über die in Software verbauten Komponenten und Bibliotheken zu schaffen.

Software Bill of Materials: Die Lösung für mehr Transparenz

Genau hier setzt das Konzept der Software Bill of Materials (SBOM), auf Deutsch Software-Komponentenliste, an. Was einst eine Nischendiskussion unter Experten war, hat sich zu einem zentralen Thema der Anwendungssicherheit entwickelt. Die Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu der "Shared Vision zum Thema Software Bill of Materials (SBOM)" und der dazugehörigen Publikation mit dem Titel "A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity" die im Zuge des „Global Government Expert Forum on SBOM" entstanden ist, ist ein weiterer Aufruf an alle, die sich bislang damit nicht auseinander gesetzt haben: SBOMs sind keine Option mehr, sondern eine strategische Notwendigkeit.

Dieser Beitrag beleuchtet, warum SBOMs für Ihr Unternehmen unverzichtbar sind, welche Rolle die vom BSI unterstützte Initiative spielt und wie Sie die Herausforderungen meistern können, um Ihre Software-Lieferkette effektiv zu sichern.

Was ist eine SBOM und warum ist sie so entscheidend?

Stellen Sie sich vor, Sie bauen ein Haus. Sie würden eine detaillierte Liste aller verwendeten Materialien benötigen – von den Ziegeln über die Elektrokabel bis zu den Fenstern. Eine Software Bill of Materials (SBOM) ist genau das für Software: Eine vollständige, maschinenlesbare Liste aller Komponenten und Bibliotheken, die in einer Softwareanwendung enthalten sind mit weiteren Informationen zu diesen. Dazu zählen Angaben der relevanten Lizenzierungsinformationen, externe APIs. die von der Komponente aufgerufen werden können und die diesen APIs zugeordneten URIs der Endpunkte sowie Beziehungen zu anderen Codebasen. Eine Software Bill of Materials für eine bestimmte Software umfasst in der Regel sowohl Open-Source- als auch kommerzielle Softwarekomponenten sowie interne Entwicklungen.

Die vier Schlüsselfaktoren für SBOM-Relevanz

Die Relevanz von SBOMs ergibt sich aus mehreren Schlüsselfaktoren:

1. Transparenz der Lieferkette

Moderne Software ist praktisch nie monolithisch. Sie besteht im Schnitt aus hunderten Komponenten, darunter viele von Drittanbietern. Eine SBOM schafft Transparenz darüber, welche dieser Komponenten verwendet werden, woher sie stammen und welche Versionen im Einsatz sind.

Wenn alle Beteiligten entlang der Lieferkette über eine SBOM für ihre Software verfügen, kann die Zeit zur Identifizierung und Behebung von Schwachstellen erheblich verkürzt werden (siehe Abbildung 1). Ohne eine SBOM ist jeder Akteur auf die Benachrichtigung durch vorgelagerte Lieferanten angewiesen, um zu erfahren, dass die Schwachstelle seine Software betrifft.

Blog post image

Abbildung 1. Quelle: https://www.cisa.gov/sites/default/files/2025-09/joint-guidance-a-shared-vision-of-software-bill-of-materials-for-cybersecurity_508c.pdf

2. Verbesserte Schwachstellen-Erkennung

Wenn eine neue kritische Schwachstelle in einer weit verbreiteten Komponente oder Bibliothek bekannt wird, ermöglicht eine SBOM Unternehmen, schnell zu identifizieren, ob und wo diese Komponente Bibliothek in ihrer Software-Landschaft eingesetzt wird, wie in der nachfolgenden Grafik der „Shared Vision" am Beispiel der Log4j-Schwachstelle bei Organisationen, die eine SBOM umgesetzt haben, verdeutlicht wird. Dies beschleunigt die Reaktion auf erkannte Schwachstellen und die Behandlung der von diesen induzierten Risiken drastisch.

Blog post image

Abbildung 2. Die Auswirkung von SBOM auf die Log4j-SchwachstelleQuelle: https://www.cisa.gov/sites/default/files/2025-09/joint-guidance-a-shared-vision-of-software-bill-of-materials-for-cybersecurity_508c.pdf

3. Compliance und Regulierung

Weltweit, und zunehmend auch in Europa, erkennen Regierungen die Notwendigkeit von SBOMs. In den USA sind sie durch die Executive Order 14028 der Biden-Administration bereits für Softwarelieferanten an die Bundesregierung verpflichtend. In Europa werden SBOMs in der Verordnung (EU) 2024/2847 (CRA) verbindlich gefordert.

4. Risikomanagement und Lizenz-Compliance

Neben Sicherheitslücken helfen SBOMs auch bei der Erkennung, Verwaltung und Behandlung von Lizenz-Risiken und der allgemeinen Risikobewertung von Softwarekomponenten.

Die wichtigsten Vorteile von SBOMs

Die internationale Guidance "A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity" nennt folgende konkrete Mehrwerte:

  • Schnellere Reaktion auf Sicherheitslücken – Beispiel Log4Shell: Wer ein SBOM hatte, konnte betroffene Systeme sofort identifizieren.
  • Besseres Risikomanagement – Transparenz über die gesamte Lieferkette, inkl. Herkunft und Qualität der Software-Komponenten.
  • Optimierte Softwareentwicklung – Probleme mit End-of-Life-Komponenten oder Lizenzkonflikten werden früh erkannt.
  • Lizenz-Compliance – Risiken durch Lizenzverstöße, insbesondere durch Verstöße gegen Open-Source-Lizenzen werden minimiert.
  • Mehr Vertrauen – Kunden, Partner und Aufsichtsbehörden honorieren Unternehmen, die Transparenz und Sicherheit ernst nehmen.

Wer profitiert von SBOMs?

Eigentlich alle:

  • Software-Entwickler: behalten den Überblick über Abhängigkeiten und können schneller patchen.
  • Einkauf & Beschaffer: entscheiden risikobasiert mit einer realistischen Datengrundlage, ob eine Software ins Unternehmen darf.
  • Betreiber: erkennen sofort, wo neue Schwachstellen zuschlagen.
  • Staatliche Cybersicherheitsbehörden & sektorspezifische Aufsichtsbehörden: nutzen SBOMs für aufsichtliche Aufgaben im Rahmen der horizontalen und vertikalen Regulierung, vereinfachte Risikoanalysen und gemeinsame Vorhaben zur Steigerung der Resilienz.

SBOM als Baustein von „Secure by Design"

Die internationale Initiative „Secure by Design" fordert in ihrem zweiten Prinzip radikale Transparenz und Verantwortung („Embrace Radical Transparency and Accountability"). Dies gilt natürlich auch für Software-Lieferketten. SBOMs sind der Schlüssel zur praktischen Umsetzung dieses Prinzips durch:

  • automatisierte Erstellung und Pflege während des gesamten Software-Lebenszyklus,
  • Integration mit Security Advisories und Schwachstellendatenbanken,
  • Kombination mit Standards wie VEX (Vulnerability Exploitability eXchange), um Risiken zu priorisieren.

Kurz: Ohne SBOMs ist keine echte Software-Resilienz möglich.

Was heißt das für Ihr Unternehmen?

Egal ob KMU oder Konzern: Die Zeit, SBOMs als strategisches Thema zu behandeln, ist jetzt – selbst wenn Sie keine Produkte anbieten, die unter die CRA-Verordnung fallen.

Die internationale „Shared Vision" zeigt klar: SBOMs werden zum internationalen de-facto-Standard in der Software-Sicherheit – gerade in Deutschland, wo das BSI mit der technischen Richtlinie Technical Guideline BSI TR-03183: Cyber Resilience Requirements for Manufacturers and Products Part 2: Software Bill of Materials (SBOM)" bereits seit 2023 das Thema SBOM vorantreiben.

Unternehmen, die auf diesen letzten Weckruf hin handeln wollen, sichern sich nicht nur gegen Cyberrisiken ab, sondern verschaffen sich auch einen Wettbewerbsvorteil: mehr Vertrauen, kürzere Reaktionszeiten, bessere Compliance.

Unser Angebot: SBOM-Beratung mit echtem Mehrwert

SBOMs sind kein Buzzword, sondern ein echter Gamechanger für Cybersicherheit.

Mit der internationalen „Shared Vision" ist klar: Zukunftsfähige Software ist transparent – von Anfang an.

Sind Sie bereit, die Transparenz in Ihrer Software-Lieferkette zu erhöhen?

Als Beratungsunternehmen für Informationssicherheit begleiten wir Sie dabei, SBOM-Strategien durch die Umsetzung der folgenden Aktivitäten maßgeschneidert zu entwickeln und umzusetzen:

  • Analyse Ihrer bestehenden Software-Landschaft
  • Entwicklung einer SBOM-Strategie für alle relevanten Unternehmensbereiche
  • Integration in Ihre Entwicklungs-, Betriebs- und Sicherheitsprozesse
  • Schulung Ihrer Teams und Begleitung bei der Einführung

Ihre Ziele sind unsere Ziele: Weniger Risiko, mehr Transparenz, höhere Resilienz.

Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wie Sie von unserer Expertise profitieren können.

Weitere Infos finden Sie auch auf unserer Website zu SBOM CRA.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten