Cybersicherheitsreport: Software-Stücklisten als Schlüssel zur digitalen Resilienz
(ots) - Die Software Bill of Materials (SBOM) ist in Unternehmen noch nicht weit verbreitet, wird aber durch den Cyber Resilience Act (CRA) bald zum Standard
ONEKEY IoT&OT Cybersecurity Report 2025: Viele Firmen stehen noch am Anfang - und können mit SBOMs ihre Cyberresilienz stärken
Immer mehr Geräte sind mit dem Internet verbunden, vom Smart Home bis zur Industrie 4.0, und werden dadurch zu potenziellen Angriffszielen für Hacker. Eine stets aktuelle und sichere Software wird somit zum Schlüssel für die Resilienz digitaler Systeme gegen Cyberattacken. Aus dem aktuellen"IoT&OT Cybersecurity Report 2025"des Düsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) geht hervor, dass lediglich 12 Prozent der deutschen Industrie einen lückenlosen Überblick über die in ihren Geräten, Maschinen und Anlagen verwendeten Programme hat. Die Grundlage hierfür bildet eine sogenannte Software Bill of Materials (SBOM), also eine Software-Stückliste, die alle enthaltenen Komponenten dokumentiert."OT"steht für"Operational Technology", also beispielsweise industrielle Steuerungssysteme,"IoT"für"Internet of Things", also vernetzte Geräte vom digitalen Kinderspielzeug bis zu medizinischen Apparaturen im Krankenhaus.
Umfrage unter 300 Industrieunternehmen
ONEKEY hat für seinen jüngsten Sicherheitsbericht, der online zur Verfügung steht (https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025), 300 deutsche Industrieunternehmen einer Befragung zu OT- und IoT-Security unterzogen. Dabei bestätigten 44 Prozent, dass sie sich mit dem Thema SBOM befassen. Ein knappes Drittel (32 Prozent) hat eine Software Bill of Materials für einige seiner vernetzten Geräte, Maschinen und Anlagen erstellt, jedoch lediglich 12 Prozent für alle betroffenen Produkte und Systeme. Ein Viertel besitzt für keine seiner digitalen Geräte eine SBOM.Ein weiteres Viertel gab sich verunsichert angesichts der SBOM-Frage.
"Das Ergebnis istüberraschend, da der Cyber Resilience Act (CRA) spätestens ab 2027 zwingend eine Software Bill of Materials für alle Produkte mit digitalen Elementen vorschreibt", sagt Jan Wendenburg, CEO von ONEKEY. Er stellt klar:"Es handelt sich dabei um eine EU-Verordnung, nicht bloß um eine Richtlinie. Das bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung benötigt, sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird. Es wird also keine Zeitverzögerung durch eine deutsche Umsetzung des Cyber Resilience Act geben, wie es beispielsweisebei der Cybersicherheitsnorm NIS2 der Fall ist."
Bemerkenswert: Die befragten Unternehmen stufen die Erstellung einer Software-Stückliste nicht als die größte Herausforderung bei der Erfüllung der CRA-Anforderungen ein. Lediglich 29 Prozent halten die Anfertigung einer SBOM für besonders schwierig. Zum Vergleich: Die Pflicht, künftig Sicherheitsvorfälle innerhalb von 24 Stunden bei den zuständigen Behörden melden zu müssen, halten 37 Prozent für die größte Herausforderung des Cyber Resilience Act. Diese Unterschätzung des SBOM-Aufwands wird sich später als außerordentliche Herausforderung im Zusammenhang mit der CRA-Compliance herausstellen, heißt es bei ONEKEY.
Viele Hürden auf dem Weg zur lückenlosen SBOM
"Tatsächlich ist es in einem Industrieumfeld alles andere als leicht, eine aktuelle und lückenlose Software Bill of Materials zu erhalten", erklärt ONEKEY-Geschäftsführer Jan Wendenburg. Angesichts des breiten Spektrums an unterschiedlichen Geräten, Maschinen und Anlagen stelle allein die Zusammenstellung der betroffenen Systeme in vielen Firmen eine Mammutaufgabe dar. Zudem basierten viele Maschinen und damit auch ihre Steuerungssysteme auf teilweise alten und proprietären Komponenten, die eine vollständige Transparenz beinahe unmöglich machten. Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis bei Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen kämen erschwerend hinzu.
Der Cyber Resilience Act fordert zwar von allen Herstellern, die künftig vernetzte Produkte in die EU liefern, die Bereitstellung einer SBOM im Rahmen der technischen Dokumentation. Diese muss detaillierte Informationen über die verschiedenen Softwarekomponenten enthalten. Aber viele Lieferanten hätten selbst Schwierigkeiten, eine lückenlose SBOM aufzustellen, weil sie von ihren Vorlieferanten nicht vollständig mit Informationen versorgt würden. Jan Wendenburg verdeutlicht:"Der CRA verlangt insgesamt eine detaillierte Dokumentation aller Programme, Bibliotheken, Komponenten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einemÜberblick über alle bekannten Schwachstellen und Sicherheitslücken."
Permanente Herausforderung statt einmaliger Kraftakt
Vor allem sei die Erstellung der SBOM kein einmaliger Kraftakt, sondern die Software-Stückliste müsse permanent aktuell gehalten werden, gibt das Düsseldorfer Sicherheitsunternehmen, das selbst eine Plattform zur automatischen Generierung von SBOMS betreibt, zu bedenken. ONEKEY verweist auf Recherchen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach jeden Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities ("Schwachstellen") in Softwareprodukten zu verzeichnen seien, von denen das Amt 15 Prozent als"kritisch"einstuft.
"Angesichts von täglich rund 70 neuen potenziellen Einfallstoren für Hacker ist es für alle Hersteller besonders wichtig, den Überblick zu behalten", erläutert Jan Wendenburg."Die zentrale Herausforderung als Hersteller besteht darin, regelmäßig zu prüfen, ob eigene Produkte von neuen Schwachstellen betroffen sind, um vorausschauend und im Bedarfsfall schnell reagieren zu können. Genau hier setzt der Cyber Resilience Act an. Mit dem CRA ist Produkt-Cybersicherheit nicht nur am Tag der Auslieferung eines Produktes wichtig, sondern muss über den gesamten Produktlebenszyklus überwacht und nachgebessert werden. Wer Transparenzüber mögliche Sicherheitslücken schafft, kann im Ernstfall souverän und rechtssicher handeln."
ONEKEY ist Europas führender Spezialist für Product Cybersecurity&Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity&Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von"Software Bill of Materials (SBOM)"können Software-Lieferketten proaktiv überprüft werden."Digital Cyber Twins"ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity&Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann(at)onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team(at)euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH,übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 11.09.2025 - 10:42 Uhr
Sprache: Deutsch
News-ID 2197128
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Düsseldorf
Kategorie:
Softwareindustrie
Dieser Fachartikel wurde bisher 5 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Cybersicherheitsreport: Software-Stücklisten als Schlüssel zur digitalen Resilienz"
steht unter der journalistisch-redaktionellen Verantwortung von
ONEKEY GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).