5. Februar 2025

Effizientes Schwachstellenmanagement in der Industrie durch Software Bill of Materials

Eine Software Bill of Materials (SBoM) fungiert als digitales Inventar aller Software-Komponenten eines Systems. Dieser Ansatz erlaubt eine proaktive Überwachung und Verwaltung von Schwachstellen und bietet Herstellern, Integratoren und Nutzern klare Vorteile. [...]

Eine Software Bill of Materials enthält die Softwarebestandteile eines Geräts – bei einem Industrieprodukt könnten dies beispielsweise Betriebssysteme (Linux, Windows), Firmware, Treiber und Open-Source-Bibliotheken sein – und schafft Transparenz, indem sie eine klare Übersicht über alle Software-Komponenten bietet. Dies erleichtert die Bewertung von Risiken und erlaubt es, bei neu entdeckten Schwachstellen sofort zu reagieren. (c) stock.adobe.com/LiliGraphie

Die Sicherheit von Software und eingebetteten Systemen ist heute wichtiger denn je. Schlagzeilen über Sicherheitslücken wie die Log4j-Krise zeigen eindrücklich, wie weitreichend die Folgen eines unzureichenden Schwachstellenmanagements sein können. Hacker nutzen bekannte Schwachstellen aus, während Unternehmen oft zu spät reagieren – sei es durch fehlende Informationen oder langsame Prozesse.

Eine vielversprechende Lösung, die sich zunehmend durchsetzt, ist die Nutzung einer Software Bill of Materials (SBoM). Sie fungiert als digitales Inventar aller Software-Komponenten eines Systems. Dieser Ansatz erlaubt eine proaktive Überwachung und Verwaltung von Schwachstellen und bietet Herstellern, Integratoren und Nutzern klare Vorteile.

Die Herausforderungen der bisherigen Ansätze

Die traditionelle Sicherheitsstrategie ist oft reaktiv und unkoordiniert. Bei der Entdeckung einer Sicherheitslücke werden Updates meist verspätet ausgeliefert, und Endnutzer erfahren häufig erst nach Wochen oder Monaten, ob ihre Systeme betroffen sind. Dies zeigt sich exemplarisch an der Log4j-Krise, in der Millionen von Geräten und Softwareinstallationen über lange Zeiträume anfällig blieben, da vielen Nutzern schlichtweg nicht bewusst war, dass sie die fehlerhafte Log4j-Bibliothek nutzten.

Ein weiteres Problem besteht darin, dass Hersteller von Geräten und Maschinen häufig keinen direkten Kontakt zu den Endnutzern haben. Sicherheitsinformationen gelangen so nur langsam oder gar nicht zu den Betroffenen. Zudem erhöht die zunehmende Komplexität moderner Systeme – mit einer Vielzahl an integrierten und offenen Software-Komponenten – das Risiko, den Überblick zu verlieren.

Was ist eine Software Bill of Materials (SBoM)?

Eine SBoM ist vergleichbar mit einem Materialverzeichnis für physische Produkte. Während bei einem E-Bike Komponenten wie Rahmen, Motor und Batterie aufgelistet werden, enthält die SBoM die Softwarebestandteile eines Geräts. Bei einem Industrieprodukt könnten dies beispielsweise Betriebssysteme (Linux, Windows), Firmware, Treiber und Open-Source-Bibliotheken sein. Die SBoM schafft Transparenz, indem sie eine klare Übersicht über alle Software-Komponenten bietet. Dies erleichtert die Bewertung von Risiken und erlaubt es, bei neu entdeckten Schwachstellen sofort zu reagieren.

Die Vorteile von SBoM im industriellen Kontext

  • Für Hersteller: Hersteller können SBoM automatisch in ihren Entwicklungsprozessen generieren, zum Beispiel mithilfe von Tools wie dem Yocto Build Environment oder Syft. Dabei werden die SBoM im CycloneDX-Format erstellt, das eine einfache Integration in Schwachstellen-Analyseplattformen wie Dependency-Track ermöglicht. Ein weiterer wichtiger Schritt ist die Verteilung der SBoM. Hier können Asset Administration Shells (AAS) eingesetzt werden. Diese digitalen Zwillinge enthalten nicht nur die SBoM, sondern auch relevante Dokumentationen, Software-Updates und Wartungshinweise. Nutzer erhalten Zugriff darauf beispielsweise über QR-Codes am Gerät. Wenn Schwachstellen bekannt werden, sollten Hersteller Informationen dazu über etablierte Kanäle wie Common Vulnerabilities and Exposures (CVEs) veröffentlichen. Updates und Analysen können direkt über die AAS bereitgestellt werden, sodass Nutzer ohne Verzögerungen handeln können.
  • Für Integratoren: Integratoren, die Geräte in größere Systeme integrieren, übernehmen die Verantwortung, die SBoM aktuell zu halten. Sie sollten sicherstellen, dass geänderte oder aktualisierte Software-Komponenten korrekt dokumentiert werden. Dies reduziert die Risiken für Endnutzer und erleichtert langfristig die Wartung.
  • Für Nutzer (IT-Abteilungen): Die IT-Abteilungen in Fabriken spielen eine Schlüsselrolle bei der Sicherheit. Durch den Einsatz eines Asset Management Systems (AMS) können sie SBoM automatisch auslesen und kontinuierlich auf Schwachstellen prüfen. Bereits bei der Installation neuer Maschinen kann das AMS potenzielle Risiken anzeigen, bevor die Geräte in Betrieb gehen. AMS-Systeme erlauben eine lückenlose Überwachung von SBoM und Schwachstellen. Bei neu entdeckten Risiken erhalten Nutzer automatische Benachrichtigungen und können entsprechende Gegenmaßnahmen einleiten. Updates werden zentral verwaltet, wodurch Sicherheitsmaßnahmen schneller und effizienter umgesetzt werden können.

Die alte Welt vs. die neue Welt

Ein Forscher entdeckt eine Schwachstelle, die Informationen werden offengelegt, und Hersteller beginnen mit der Entwicklung eines Updates. Die Kontaktaufnahme mit Endnutzern ist oft mühsam und unvollständig, was dazu führt, dass viele Systeme ungeschützt bleiben. Mit SBoM und AMS-Systemen können Schwachstellen sofort identifiziert und bewertet werden. Nutzer wissen frühzeitig, welche Systeme betroffen sind, und können Maßnahmen wie Firewalls oder Updates vorbereiten, noch bevor ein offizieller Patch veröffentlicht wird.

Die erfolgreiche Implementierung von SBoM erfordert jedoch Zusammenarbeit und Standardisierung zwischen verschiedenen Akteuren der Industrie. Organisationen und Allianzen, die diese Kooperation fördern, werden entscheidend dazu beitragen, den Einsatz moderner Sicherheitstechnologien voranzutreiben. So auch die Open Industry 4.0 Alliance, die das Thema SBoM in einer Case Study im Detail aufgreift.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*