|
Düsseldorf (ots) - Die Software Bill of Materials (SBOM) ist in Unternehmen noch
nicht weit verbreitet, wird aber durch den Cyber Resilience Act (CRA) bald zum
Standard
ONEKEY IoT & OT Cybersecurity Report 2025: Viele Firmen stehen noch am Anfang -
und können mit SBOMs ihre Cyberresilienz stärken
Immer mehr Geräte sind mit dem Internet verbunden, vom Smart Home bis zur
Industrie 4.0, und werden dadurch zu potenziellen Angriffszielen für Hacker.
Eine stets aktuelle und sichere Software wird somit zum Schlüssel für die
Resilienz digitaler Systeme gegen Cyberattacken. Aus dem aktuellen "IoT & OT
Cybersecurity Report 2025" des Düsseldorfer Cybersicherheitsunternehmens ONEKEY
(http://www.onekey.com/) geht hervor, dass lediglich 12 Prozent der deutschen
Industrie einen lückenlosen Überblick über die in ihren Geräten, Maschinen und
Anlagen verwendeten Programme hat. Die Grundlage hierfür bildet eine sogenannte
Software Bill of Materials (SBOM), also eine Software-Stückliste, die alle
enthaltenen Komponenten dokumentiert. "OT" steht für "Operational Technology",
also beispielsweise industrielle Steuerungssysteme, "IoT" für "Internet of
Things", also vernetzte Geräte vom digitalen Kinderspielzeug bis zu
medizinischen Apparaturen im Krankenhaus.
Umfrage unter 300 Industrieunternehmen
ONEKEY hat für seinen jüngsten Sicherheitsbericht, der online zur Verfügung
steht ( https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025 ),
300 deutsche Industrieunternehmen einer Befragung zu OT- und IoT-Security
unterzogen. Dabei bestätigten 44 Prozent, dass sie sich mit dem Thema SBOM
befassen. Ein knappes Drittel (32 Prozent) hat eine Software Bill of Materials
für einige seiner vernetzten Geräte, Maschinen und Anlagen erstellt, jedoch
lediglich 12 Prozent für alle betroffenen Produkte und Systeme. Ein Viertel
besitzt für keine seiner digitalen Geräte eine SBOM. Ein weiteres Viertel gab
sich verunsichert angesichts der SBOM-Frage.
"Das Ergebnis ist überraschend, da der Cyber Resilience Act (CRA) spätestens ab
2027 zwingend eine Software Bill of Materials für alle Produkte mit digitalen
Elementen vorschreibt", sagt Jan Wendenburg, CEO von ONEKEY. Er stellt klar: "Es
handelt sich dabei um eine EU- Verordnung , nicht bloß um eine Richtlinie. Das
bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung benötigt,
sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird. Es wird also
keine Zeitverzögerung durch eine deutsche Umsetzung des Cyber Resilience Act
geben, wie es beispielsweise bei der Cybersicherheitsnorm NIS2 der Fall ist."
Bemerkenswert: Die befragten Unternehmen stufen die Erstellung einer
Software-Stückliste nicht als die größte Herausforderung bei der Erfüllung der
CRA-Anforderungen ein. Lediglich 29 Prozent halten die Anfertigung einer SBOM
für besonders schwierig. Zum Vergleich: Die Pflicht, künftig Sicherheitsvorfälle
innerhalb von 24 Stunden bei den zuständigen Behörden melden zu müssen, halten
37 Prozent für die größte Herausforderung des Cyber Resilience Act. Diese
Unterschätzung des SBOM-Aufwands wird sich später als außerordentliche
Herausforderung im Zusammenhang mit der CRA-Compliance herausstellen, heißt es
bei ONEKEY.
Viele Hürden auf dem Weg zur lückenlosen SBOM
"Tatsächlich ist es in einem Industrieumfeld alles andere als leicht, eine
aktuelle und lückenlose Software Bill of Materials zu erhalten", erklärt
ONEKEY-Geschäftsführer Jan Wendenburg. Angesichts des breiten Spektrums an
unterschiedlichen Geräten, Maschinen und Anlagen stelle allein die
Zusammenstellung der betroffenen Systeme in vielen Firmen eine Mammutaufgabe
dar. Zudem basierten viele Maschinen und damit auch ihre Steuerungssysteme auf
teilweise alten und proprietären Komponenten, die eine vollständige Transparenz
beinahe unmöglich machten. Die häufig komplexen Lieferketten und das oftmals
mangelnde Verständnis bei Lieferanten außerhalb der Europäischen Union für
EU-spezifische Regulierungen kämen erschwerend hinzu.
Der Cyber Resilience Act fordert zwar von allen Herstellern, die künftig
vernetzte Produkte in die EU liefern, die Bereitstellung einer SBOM im Rahmen
der technischen Dokumentation. Diese muss detaillierte Informationen über die
verschiedenen Softwarekomponenten enthalten. Aber viele Lieferanten hätten
selbst Schwierigkeiten, eine lückenlose SBOM aufzustellen, weil sie von ihren
Vorlieferanten nicht vollständig mit Informationen versorgt würden. Jan
Wendenburg verdeutlicht: "Der CRA verlangt insgesamt eine detaillierte
Dokumentation aller Programme, Bibliotheken, Komponenten mit genauen
Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen
Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten
Schwachstellen und Sicherheitslücken."
Permanente Herausforderung statt einmaliger Kraftakt
Vor allem sei die Erstellung der SBOM kein einmaliger Kraftakt, sondern die
Software-Stückliste müsse permanent aktuell gehalten werden, gibt das
Düsseldorfer Sicherheitsunternehmen, das selbst eine Plattform zur automatischen
Generierung von SBOMS betreibt, zu bedenken. ONEKEY verweist auf Recherchen des
Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach jeden
Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities ("Schwachstellen") in
Softwareprodukten zu verzeichnen seien, von denen das Amt 15 Prozent als
"kritisch" einstuft.
"Angesichts von täglich rund 70 neuen potenziellen Einfallstoren für Hacker ist
es für alle Hersteller besonders wichtig, den Überblick zu behalten", erläutert
Jan Wendenburg. "Die zentrale Herausforderung als Hersteller besteht darin,
regelmäßig zu prüfen, ob eigene Produkte von neuen Schwachstellen betroffen
sind, um vorausschauend und im Bedarfsfall schnell reagieren zu können. Genau
hier setzt der Cyber Resilience Act an. Mit dem CRA ist Produkt-Cybersicherheit
nicht nur am Tag der Auslieferung eines Produktes wichtig, sondern muss über den
gesamten Produktlebenszyklus überwacht und nachgebessert werden. Wer Transparenz
über mögliche Sicherheitslücken schafft, kann im Ernstfall souverän und
rechtssicher handeln."
ONEKEY (https://www.onekey.com/) ist Europas führender Spezialist für Product
Cybersecurity & Compliance Management und Teil des Investmentportfolios von
PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der
automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit
Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse,
Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und
Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum
End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware
werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch
im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch
die integrierte Erstellung von "Software Bill of Materials (SBOM)" können
Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins"
ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach
dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits
heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2,
ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte,
automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit
bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren
bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform
(OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: mailto:sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: http://www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: mailto:team@euromarcom.de, Web: http://www.euromarcom.de
Weiteres Material: http://presseportal.de/pm/151206/6115543
OTS: ONEKEY GmbH
|
