Der Industrie Podcast des VDMA / "SBOM: Die Zutatenliste für Softwareanwendungen"
(Frankfurt am Main) - Wenn der Cyber Resilience Act 2027 Anwendung findet, werden auch Software-Stücklisten verpflichtend. Der VDMA empfiehlt Unternehmen, sich rechtzeitig vorzubereiten, um digitale Produkte lückenlos weiter verkaufen zu können.
Welche Komponenten stecken eigentlich in einer Software? Das zu wissen ist für Unternehmen bald schon verpflichtend. Software-Stücklisten, auch Software Bill of Materials (SBOM) genannt, geben dazu genau Angaben. Die Software-Stückliste ist ein detailliertes Inventar, das die Bestandteile einer Softwareanwendung auflistet. Man kann sie sich vorstellen wie eine Einkaufsliste, die genau aufzeigt, was eingekauft wurde und woher es stammt. Welche Chancen und Herausforderungen sich durch die Einführung einer SBOM ergeben, zeigt die neueste Folge des VDMA Industrie Podcast.
SBOM: Eine Einkaufsliste für Softwareanwendungen
Beispielsweise FESTO nutzt im Unternehmen bereits SBOM. Tobias Pfeiffer, Product Security Officer bei Festo berichtet, welche Chancen sich durch die Einführung einer SBOM ergeben und auf welche Herausforderungen sie gestoßen sind. "Mithilfe der SBOM lässt sich die Kommunikation zu Kunden besser gestalten, weil das Lizenzmanagement einfacher zu generieren ist. Außerdem kann man mit der SBOM eine Art Lieferanten-Qualitätsmanagement betreiben", sagt Pfeiffer.
Vorteile einer SBOM
SBOM optimiert nicht nur das Lizenzmanagement, sondern steigert auch die Transparenz. Zudem kann dadurch das Risikobewusstsein verbessert und Schwachstellen können schneller behoben werden, was bei digitalen Produkten einhergeht. Denn erst wenn man weiß, was in einem Produkt drin ist, kann man analysieren, welche Probleme auftreten können.
SBOM wird verpflichtend
Durch die zunehmende Digitalisierung verfügen immer mehr Produkte über digitale Elemente. Sobald der Cyber Resilience Act 2027 Anwendung findet, müssen sämtliche Firmen, die Produkte mit digitalen Elementen auf den Markt bringen möchten, eine SBOM als Teil der technischen Dokumentation zu ihren Produkten zur Verfügung stellen.
Damit die Sicherheit der Produkte gewährleistet ist, will der VDMA die Formate mit der sich eine SBOM erstellen lässt, weiter ausbauen, sodass sie zu Ready-to-use-Lösungen werden, die auch kleinere Unternehmen nutzen können. Unternehmen können sich somit ordentlich auf die Einführung des CRA vorbereiten.
"Kleine und mittelständische Unternehmen müssen in diesem Vorhaben unterstützt werden. Gerade wenn die Ressourcen in einem Unternehmen nicht vorhanden sind, ist eine kleine IT-Abteilung, die sich dann auch noch um die Sicherheit der Produkte kümmern muss, überfordert. Deshalb ist es wichtig, dass wir als Verband, die Formate mit denen sich eine SBOM erstellen lässt, weiter ausbauen", sagt Maximilian Moser, Referent Industrial Security, Product Security & OT-Security des VDMA. Der VDMA unterstützt Mitgliedsunternehmen mit zahlreichen Angeboten. Insbesondere der Arbeitskreis Industrial Security setzt sich mit dem Thema SBOM intensiv auseinander.
Die neue Folge des Industrie Podcast des VDMA ist auf Spotify, Apple Podcast und Podigee verfügbar.
Quelle und Kontaktadresse:
Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA)
Holger Paul, Leiter Kommunikation
Lyoner Str. 18, 60528 Frankfurt am Main
Telefon: (069) 66030, Fax: (069) 66031511