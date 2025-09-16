Die Software Bill of Materials (SBOM) ist in Unternehmen noch nicht weit verbreitet, wird aber durch den Cyber Resilience Act (CRA) bald zum Standard. Viele Firmen stehen noch am Anfang – und können mit SBOMs ihre Cyberresilienz stärken.
Immer mehr Geräte sind mit dem Internet verbunden, vom Smart Home bis zur Industrie 4.0, und werden dadurch zu potenziellen Angriffszielen für Hacker. Eine stets aktuelle und sichere Software wird somit zum Schlüssel für die Resilienz digitaler Systeme gegen Cyberattacken. Aus dem aktuellen »IoT & OT Cybersecurity Report 2025« des Düsseldorfer Cybersicherheitsunternehmens ONEKEY geht hervor, dass lediglich 12 Prozent der deutschen Industrie einen lückenlosen Überblick über die in ihren Geräten, Maschinen und Anlagen verwendeten Programme hat [1]. Die Grundlage hierfür bildet eine sogenannte Software Bill of Materials (SBOM), also eine Softwarestückliste, die alle enthaltenen Komponenten dokumentiert. »OT« steht für »Operational Technology«, also beispielsweise industrielle Steuerungssysteme, »IoT« für »Internet of Things«, also vernetzte Geräte vom digitalen Kinderspielzeug bis zu medizinischen Apparaturen im Krankenhaus.
Umfrage unter 300 Industrieunternehmen
ONEKEY hat für seinen jüngsten Sicherheitsbericht, der online zur Verfügung steht (https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025), 300 deutsche Industrieunternehmen einer Befragung zu OT- und IoT-Security unterzogen. Dabei bestätigten 44 Prozent, dass sie sich mit dem Thema SBOM befassen. Ein knappes Drittel (32 Prozent) hat eine Software Bill of Materials für einige seiner vernetzten Geräte, Maschinen und Anlagen erstellt, jedoch lediglich 12 Prozent für alle betroffenen Produkte und Systeme. Ein Viertel besitzt für keine seiner digitalen Geräte eine SBOM. Ein weiteres Viertel gab sich verunsichert angesichts der SBOM-Frage.
»Das Ergebnis ist überraschend, da der Cyber Resilience Act (CRA) spätestens ab 2027 zwingend eine Software Bill of Materials für alle Produkte mit digitalen Elementen vorschreibt«, sagt Jan Wendenburg, CEO von ONEKEY. Er stellt klar: »Es handelt sich dabei um eine EU-Verordnung, nicht bloß um eine Richtlinie. Das bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung benötigt, sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird. Es wird also keine Zeitverzögerung durch eine deutsche Umsetzung des Cyber Resilience Act geben, wie es beispielsweise bei der Cybersicherheitsnorm NIS2 der Fall ist.«
Bemerkenswert: Die befragten Unternehmen stufen die Erstellung einer Softwarestückliste nicht als die größte Herausforderung bei der Erfüllung der CRA-Anforderungen ein. Lediglich 29 Prozent halten die Anfertigung einer SBOM für besonders schwierig. Zum Vergleich: Die Pflicht, künftig Sicherheitsvorfälle innerhalb von 24 Stunden bei den zuständigen Behörden melden zu müssen, halten 37 Prozent für die größte Herausforderung des Cyber Resilience Act. Diese Unterschätzung des SBOM-Aufwands wird sich später als außerordentliche Herausforderung im Zusammenhang mit der CRA-Compliance herausstellen, heißt es bei ONEKEY.
Viele Hürden auf dem Weg zur lückenlosen SBOM
»Tatsächlich ist es in einem Industrieumfeld alles andere als leicht, eine aktuelle und lückenlose Software Bill of Materials zu erhalten«, erklärt ONEKEY-Geschäftsführer Jan Wendenburg. Angesichts des breiten Spektrums an unterschiedlichen Geräten, Maschinen und Anlagen stelle allein die Zusammenstellung der betroffenen Systeme in vielen Firmen eine Mammutaufgabe dar. Zudem basierten viele Maschinen und damit auch ihre Steuerungssysteme auf teilweise alten und proprietären Komponenten, die eine vollständige Transparenz beinahe unmöglich machten. Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis bei Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen kämen erschwerend hinzu.
Der Cyber Resilience Act fordert zwar von allen Herstellern, die künftig vernetzte Produkte in die EU liefern, die Bereitstellung einer SBOM im Rahmen der technischen Dokumentation. Diese muss detaillierte Informationen über die verschiedenen Softwarekomponenten enthalten. Aber viele Lieferanten hätten selbst Schwierigkeiten, eine lückenlose SBOM aufzustellen, weil sie von ihren Vorlieferanten nicht vollständig mit Informationen versorgt würden. Jan Wendenburg verdeutlicht: »Der CRA verlangt insgesamt eine detaillierte Dokumentation aller Programme, Bibliotheken, Komponenten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.«
Permanente Herausforderung statt einmaliger Kraftakt
Vor allem sei die Erstellung der SBOM kein einmaliger Kraftakt, sondern die Softwarestückliste müsse permanent aktuell gehalten werden, gibt das Düsseldorfer Sicherheitsunternehmen, das selbst eine Plattform zur automatischen Generierung von SBOMS betreibt, zu bedenken. ONEKEY verweist auf Recherchen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach jeden Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities (»Schwachstellen«) in Softwareprodukten zu verzeichnen seien, von denen das Amt 15 Prozent als »kritisch« einstuft.
»Angesichts von täglich rund 70 neuen potenziellen Einfallstoren für Hacker ist es für alle Hersteller besonders wichtig, den Überblick zu behalten«, erläutert Jan Wendenburg. »Die zentrale Herausforderung als Hersteller besteht darin, regelmäßig zu prüfen, ob eigene Produkte von neuen Schwachstellen betroffen sind, um vorausschauend und im Bedarfsfall schnell reagieren zu können. Genau hier setzt der Cyber Resilience Act an. Mit dem CRA ist Produkt-Cybersicherheit nicht nur am Tag der Auslieferung eines Produkts wichtig, sondern muss über den gesamten Produktlebenszyklus überwacht und nachgebessert werden. Wer Transparenz über mögliche Sicherheitslücken schafft, kann im Ernstfall souverän und rechtssicher handeln.«
[1] Whitepaper: https://www.onekey.com/resource/iot-ot-cybersecurity-report-2025
