Was ist eine SBOM? Die Stückliste für Software
Was ist eine SBOM? Eine SBOM, kurz für Software Bill of Materials, ist eine maschinenlesbare Stückliste aller Komponenten, Bibliotheken und Abhängigkeiten einer Software inklusive ihrer Versionen. Sie beantwortet die Frage, woraus ein Produkt tatsächlich besteht. Spätestens seit Log4Shell und mit dem Cyber Resilience Act wird die SBOM vom Nice-to-have zur belastbaren Anforderung an Hersteller.
Das Wichtigste in Kürze
- Was es ist: Eine vollständige, maschinenlesbare Liste aller Bausteine einer Software, vergleichbar mit einer Zutatenliste.
- Wozu: Bei einer neuen Schwachstelle lässt sich in Minuten statt Tagen prüfen, welche Produkte die betroffene Komponente enthalten.
- Warum jetzt: Der Cyber Resilience Act macht Transparenz über Software-Bestandteile zur Herstelleranforderung, gestaffelt bis 2027.
Warum eine SBOM überhaupt gebraucht wird
Moderne Software besteht zu großen Teilen aus fremdem Code: Open-Source-Bibliotheken, Frameworks und Abhängigkeiten, die selbst wieder Abhängigkeiten mitbringen. Ohne Stückliste weiß oft niemand genau, was in einem Produkt steckt. Genau diese Blindheit wurde bei Log4Shell zum Problem, als die weit verbreitete Bibliothek Log4j eine kritische Lücke hatte.
Die entscheidende Frage lautete damals in jedem Unternehmen: Welche unserer Anwendungen enthalten überhaupt Log4j? Wer eine SBOM je Produkt pflegt, beantwortet das per Abfrage. Wer keine hat, sucht manuell durch die gesamte Softwarelandschaft. Die SBOM verwandelt eine tagelange Suche in eine gezielte Prüfung.
Die Schwachstelle CVE-2021-44228 in der Bibliothek Log4j machte 2021 sichtbar, wie wenige Organisationen ihre Software-Bestandteile kennen
Quelle: NIST NVD / BSI
Was eine brauchbare SBOM ausmacht
Eine SBOM ist mehr als ein PDF-Anhang. Damit sie Wert stiftet, muss sie maschinenlesbar sein und sich automatisch auswerten lassen. Durchgesetzt haben sich zwei Formate: SPDX aus dem Linux-Umfeld sowie CycloneDX aus dem Umfeld der Anwendungssicherheit. Beide beschreiben Komponenten, Versionen und Beziehungen in strukturierter Form.
Wichtig ist außerdem die Aktualität. Eine SBOM, die nur zum Release erstellt und danach nie gepflegt wird, veraltet mit jeder Aktualisierung. Sinnvoll ist die automatische Erzeugung im Build-Prozess, damit jede Version ihre eigene, korrekte Stückliste erhält. Erst dann lässt sich eine neue Schwachstelle verlässlich gegen den Bestand abgleichen.
Der Einstieg in SBOM
- ✓SBOM automatisch im Build-Prozess erzeugen, nicht manuell nachpflegen
- ✓Ein maschinenlesbares Format wählen, etwa SPDX oder CycloneDX
- ✓SBOMs zentral ablegen und mit Schwachstellendaten abgleichen
- ✓Von zugekaufter Software eine SBOM einfordern
Was der Cyber Resilience Act ändert
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen zu mehr Sicherheit über den gesamten Lebenszyklus. Anhang I Teil II verlangt ausdrücklich, dass Hersteller eine SBOM in einem gängigen maschinenlesbaren Format erstellen, die mindestens die Komponenten und Abhängigkeiten der obersten Ebene abdeckt. Sie ist Teil der technischen Dokumentation und muss für Aufsichtsbehörden vorliegen, ohne dass eine Veröffentlichung an Endkunden vorgeschrieben ist.
Die Anforderungen greifen gestaffelt: Meldepflichten für aktiv ausgenutzte Schwachstellen und schwere Vorfälle gelten ab dem 11. September 2026, die übrigen CRA-Pflichten ab dem 11. Dezember 2027. Für Hersteller heißt das, die SBOM als festen Teil des Entwicklungsprozesses aufzusetzen. Wer sie früh integriert, erfüllt die kommenden Pflichten mit deutlich weniger Aufwand als bei einer späten Nachrüstung.
Wie eine SBOM im Betrieb lebendig bleibt
Eine SBOM entfaltet ihren Wert erst im laufenden Betrieb. Neue Schwachstellen tauchen täglich auf, deshalb muss die Stückliste kontinuierlich gegen aktuelle Schwachstellendatenbanken abgeglichen werden. Erst dieser automatische Abgleich macht aus der statischen Liste ein Frühwarnsystem, das bei jeder neuen Lücke sofort die betroffenen Produkte anzeigt.
Ergänzend hat sich das VEX-Konzept etabliert, kurz für Vulnerability Exploitability eXchange. Damit teilen Hersteller mit, ob eine in der SBOM enthaltene Schwachstelle im konkreten Produkt überhaupt ausnutzbar ist. Das verhindert Fehlalarme, wenn eine betroffene Bibliothek zwar enthalten, der verwundbare Code aber gar nicht aktiv ist. SBOM und VEX zusammen liefern ein realistisches Bild der tatsächlichen Angriffsfläche.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was ist der Unterschied zwischen SPDX und CycloneDX?
Beides sind etablierte SBOM-Formate. SPDX stammt aus dem Open-Source-Umfeld und ist breit standardisiert, CycloneDX kommt aus der Anwendungssicherheit. Beide sind maschinenlesbar und für den Abgleich mit Schwachstellendaten geeignet.
Macht der Cyber Resilience Act SBOMs zur Pflicht?
Ja. Anhang I Teil II der Verordnung (EU) 2024/2847 verpflichtet Hersteller, eine maschinenlesbare SBOM zu erstellen und in der technischen Dokumentation vorzuhalten. Eine öffentliche Freigabe an Endkunden ist nicht vorgeschrieben.
Reicht eine SBOM einmal pro Produkt?
Nein. Jede Softwareversion sollte ihre eigene SBOM haben, weil sich Komponenten und Versionen mit jedem Update ändern. Am besten wird sie automatisch im Build-Prozess erzeugt.
Hilft eine SBOM gegen Angriffe?
Sie verhindert keinen Angriff, verkürzt aber die Reaktionszeit erheblich. Bei einer neuen Schwachstelle zeigt die SBOM sofort, welche Produkte betroffen sind, statt eine langwierige manuelle Suche auszulösen.
Sollte man SBOMs von Lieferanten verlangen?
Ja. Wer Software zukauft oder integriert, sollte eine SBOM einfordern, um die eigene Lieferkette überblicken zu können. Ohne diese Angaben bleibt ein Teil des Risikos unsichtbar.
Lesetipps der Redaktion
LesetippZwei Joomla-Uploads landen im CISA-KEVLesetippDas Klumpenrisiko, das kein Lieferanten-Audit sieht
Mehr aus dem MBF Media Netzwerk
Digital ChiefsFünf Stellen, an denen Supply-Chain-Software brichtcloudmagazinFlexera 2026: Was der Mittelstand wirklich übernehmen kannMyBusinessFutureDigitaler Produktpass: Was Hersteller tun müssen




