Eine vielversprechende Lösung, die sich zunehmend durchsetzt, ist die Nutzung einer Software Bill of Materials (SBoM). Sie fungiert als digitales Inventar aller Software-Komponenten eines Systems. Dieser Ansatz erlaubt eine proaktive Überwachung und Verwaltung von Schwachstellen und bietet Herstellern, Integratoren und Nutzern klare Vorteile.
Die Herausforderungen der bisherigen Ansätze
Die traditionelle Sicherheitsstrategie ist oft reaktiv und unkoordiniert. Bei der Entdeckung einer Sicherheitslücke werden Updates meist verspätet ausgeliefert, und Endnutzer erfahren häufig erst nach Wochen oder Monaten, ob ihre Systeme betroffen sind. Dies zeigt sich exemplarisch an der Log4j-Krise, in der Millionen von Geräten und Softwareinstallationen über lange Zeiträume anfällig blieben, da vielen Nutzern schlichtweg nicht bewusst war, dass sie die fehlerhafte Log4j-Bibliothek nutzten.
Ein weiteres Problem besteht darin, dass Hersteller von Geräten und Maschinen häufig keinen direkten Kontakt zu den Endnutzern haben. Sicherheitsinformationen gelangen so nur langsam oder gar nicht zu den Betroffenen. Zudem erhöht die zunehmende Komplexität moderner Systeme – mit einer Vielzahl an integrierten und offenen Software-Komponenten – das Risiko, den Überblick zu verlieren.
Was ist eine Software Bill of Materials (SBoM)?
Eine SBoM ist vergleichbar mit einem Materialverzeichnis für physische Produkte. Während bei einem E-Bike Komponenten wie Rahmen, Motor und Batterie aufgelistet werden, enthält die SBoM die Softwarebestandteile eines Geräts. Bei einem Industrieprodukt könnten dies beispielsweise Betriebssysteme (Linux, Windows), Firmware, Treiber und Open-Source-Bibliotheken sein. Die SBoM schafft Transparenz, indem sie eine klare Übersicht über alle Software-Komponenten bietet. Dies erleichtert die Bewertung von Risiken und erlaubt es, bei neu entdeckten Schwachstellen sofort zu reagieren.
Die Vorteile von SBoM im industriellen Kontext
- Für Hersteller: Hersteller können SBoM automatisch in ihren Entwicklungsprozessen generieren, z. B. mithilfe von Tools wie dem Yocto Build Environment oder Syft. Dabei werden die SBoM im CycloneDX-Format erstellt, das eine einfache Integration in Schwachstellen-Analyseplattformen wie Dependency-Track ermöglicht. Ein weiterer wichtiger Schritt ist die Verteilung der SBoM. Hier können Asset Administration Shells (AAS) eingesetzt werden. Diese digitalen Zwillinge enthalten nicht nur die SBoM, sondern auch relevante Dokumentationen, Software-Updates und Wartungshinweise. Nutzer erhalten Zugriff darauf beispielsweise über QR-Codes am Gerät. Wenn Schwachstellen bekannt werden, sollten Hersteller Informationen dazu über etablierte Kanäle wie Common Vulnerabilities and Exposures (CVEs) veröffentlichen. Updates und Analysen können direkt über die AAS bereitgestellt werden, sodass Nutzer ohne Verzögerungen handeln können.
- Für Integratoren: Integratoren, die Geräte in größere Systeme integrieren, übernehmen die Verantwortung, die SBoM aktuell zu halten. Sie sollten sicherstellen, dass geänderte oder aktualisierte Software-Komponenten korrekt dokumentiert werden. Dies reduziert die Risiken für Endnutzer und erleichtert langfristig die Wartung.
- Für Nutzer (IT-Abteilungen): Die IT-Abteilungen in Fabriken spielen eine Schlüsselrolle bei der Sicherheit. Durch den Einsatz eines Asset Management Systems (AMS) können sie SBoM automatisch auslesen und kontinuierlich auf Schwachstellen prüfen. Bereits bei der Installation neuer Maschinen kann das AMS potenzielle Risiken anzeigen, bevor die Geräte in Betrieb gehen. AMS-Systeme erlauben eine lückenlose Überwachung von SBoM und Schwachstellen. Bei neu entdeckten Risiken erhalten Nutzer automatische Benachrichtigungen und können entsprechende Gegenmaßnahmen einleiten. Updates werden zentral verwaltet, wodurch Sicherheitsmaßnahmen schneller und effizienter umgesetzt werden können.
Ein Forscher entdeckt eine Schwachstelle, die Informationen werden offengelegt, und Hersteller beginnen mit der Entwicklung eines Updates. Die Kontaktaufnahme mit Endnutzern ist oft mühsam und unvollständig, was dazu führt, dass viele Systeme ungeschützt bleiben. Mit SBoM und AMS-Systemen können Schwachstellen sofort identifiziert und bewertet werden. Nutzer wissen frühzeitig, welche Systeme betroffen sind, und können Maßnahmen wie Firewalls oder Updates vorbereiten, noch bevor ein offizieller Patch veröffentlicht wird.
Die erfolgreiche Implementierung von SBoM erfordert jedoch Zusammenarbeit und Standardisierung zwischen verschiedenen Akteuren der Industrie. Organisationen und Allianzen, die diese Kooperation fördern, werden entscheidend dazu beitragen, den Einsatz moderner Sicherheitstechnologien voranzutreiben. So auch die Open Industry 4.0 Alliance, die das Thema SBoM in einer Case Study im Detail aufgreift.