Vertrauen ist gut, nachprüfbares Vertrauen ist besser! Software Bill of Materials (SBOM): Transparenz für Software-Hersteller

Von Waldemar Bergstreiser

Anbieter zum Thema

Insbesondere bei Software-Produkten halt sich die Transparenz bei den meisten Anbietern sehr in Grenzen. Aus welchen einzelnen Komponenten eine komplexe Software-Lösung besteht, ist meist vollkommen intransparent und gefährdet dadurch nicht selten die Sicherheit der Unternehmen, die solche Software einsetzen. Ein vielversprechendes Konzept zur Erhöhung der Transparenz der Bestandteile von Software ist „Software Bill of Materials“ (SBOM).

Die Einhaltung internationaler Standards ist für Unternehmen aus dem IT-Sicherheitsbereich eine wichtige Voraussetzung, um bei Kunden und Partnern nachhaltig Vertrauen zu schaffen.
Die Einhaltung internationaler Standards ist für Unternehmen aus dem IT-Sicherheitsbereich eine wichtige Voraussetzung, um bei Kunden und Partnern nachhaltig Vertrauen zu schaffen.
(Bild: Kaspersky)

Die Digitale Transformation in Unternehmen hat, angeheizt durch die Pandemie, ein noch nie dagewesenes Ausmaß erreicht: So geht IDC davon aus, dass die weltweiten Ausgaben für digitale Transformationsinitiativen innerhalb von drei Jahren die 2,8-Billionen-US-Dollar-Grenze überschreiten werden. Mit zunehmender Digitalisierung vergrößert sich die Abhängigkeit der Unternehmen von digitalen Produkten, aber auch die Anzahl der entwickelten und im Einsatz befindlichen Lösungen. Da Software dabei oftmals mit Open-Source durch verschiedene Parteien entwickelt wird, ist ein Einblick in die verwendeten Software-Stücke sowie deren Updates und Patches schwierig.

Diese fehlende Transparenz mit Blick auf die im Unternehmen eingesetzte Software birgt mehrere Risiken – dazu gehören nicht nur mögliche Cyberangriffe auf das Unternehmen selbst, sondern auch Vertrauensverlust durch die Kunden, weil ein Unternehmen auf der Anbieterseite nicht nachweisen kann, dass die eigene Software sicher ist.

Die Software-Branche muss daher dringend das Thema Transparenz adressieren. Generell gilt: Die Sicherheit einer IT-Infrastruktur hängt davon ab, wie viel Wissen und Einblick das Unternehmen in die einzelnen Komponenten innerhalb der eigenen IT-Infrastruktur hat. Anstrengungen zur Förderung der Transparenz – sowohl nach innen als auch außen – sind daher zwingend nötig.

Interne Transparenz mittels SBOMs hilft der Cybersicherheit – und dem externen Vertrauen

Ein noch recht junges – in den USA entwickeltes – Konzept zur Erhöhung der Transparenz der Bestandteile von Software ist „Software Bill of Materials“ (SBOM). Bei SBOM handelt es sich um eine Liste aller Komponenten, aus denen eine Software zusammengesetzt ist.

Obwohl Regulierungsbehörden und private Akteure das SBOM-Konzept als ein wesentliches Element für die Gewährleistung einer nachhaltigen und sicheren Softwarenutzung ansehen, zeigen aktuelle Studien, dass weniger als die Hälfte der Unternehmen weltweit SBOMs nutzen. Darüber hinaus verwenden sie nur 18 Prozent der Unternehmen in allen Geschäftsbereichen oder haben Praktiken eingeführt, die eine Verwendung von SBOMs einschließen.

Dies könnte sich jedoch in naher Zukunft ändern, weil einige Regierungen SBOMs als notwendige Maßnahme zur Verbesserung des Risikomanagements sehen. So hat die US-Regierung beispielsweise bereits im vergangenen Jahr eine Executive Order erlassen, in der sie dazu auffordert, jedem Unternehmenskäufer von Software „eine SBOM für jedes Produkt direkt [zu liefern] oder einfach auf einer öffentlichen Website zu veröffentlichen“.

Bereits im Herbst 2021 stellte Kaspersky im Rahmen seiner Globalen Transparenzinitiative SBOMs in den Transparenzzentren des Unternehmens zur Verfügung. Diese schon seit 2018 eröffneten Zentren dienen in erster Linie als Einrichtungen zur Überprüfung des Kaspersky-Quellcodes, der Software-Updates, der Regeln zur Bedrohungserkennung und weiterer technischer und geschäftlicher Prozesse. Die Kombination von SBOMs mit Audit- und Überprüfungsoptionen in Transparenzzentren bietet tiefere Einblicke in die Lösungen und weist die Sicherheit und Integrität der Produkte nach.

Externe Transparenz führt zu Vertrauen in Marken und Produkte

SBOM ist allerdings nur eines von vielen Elementen, um nachhaltiges Vertrauen für Partner und Kunden in Software-Produkte zu schaffen. Um das Maximum an Sicherheit für alle Stakeholder im Umfeld eines IT-Sicherheitsunternehmens zu gewährleisten, müssen die Parameter Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz abgedeckt sein.

Um die technologische Transparenz und die Vertrauenswürdigkeit eines Unternehmens zu steigern und zu beweisen, nutzen einige Unternehmen deshalb externe Prüfer, die ein unabhängiges Gutachten erstellen – zum Beispiel das SOC-2-Audit (Service and Organization Controls 2). Dieses Audit überprüft, ob die geforderten Kriterien für Vertrauenswürdigkeit – dazu zählen unter anderem die oben genannten Parameter – erfüllt werden. Das SOC-2-Audit ermöglicht also Dritten einen transparenten Einblick in die Abläufe der Prozesse zur Software-Entwicklung und -Bereitstellung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Bei einem SOC-2-Audit werden im ersten Schritt verantwortliche Führungskräfte, firmeninterne Prüfteams sowie unmittelbar beteiligte Mitarbeiter befragt. Im Anschluss werden Betriebsunterlagen, Aufzeichnungen und Dokumentationen gesichtet und bewertet. Dazu gehören Standardberichte, wie im System konfigurierte, parametergesteuerte Berichte, die von internen Systemen generiert werden; sowie benutzerdefinierte Berichte, die nicht zum Standard der Anwendung gehören. Hierbei stehen etwa Skripte, Report Writer – also Werkzeuge zur Berichtsdefinition – sowie Kalkulationstabellen, die für die Leistung oder das Testen des Kontrollsystems verwendet werden, im Fokus der Betrachtung.

Außerdem werden die vom Unternehmen erstellten Analysen, Zeitpläne oder andere manuell bearbeitete Nachweise in Augenschein genommen. Das Bestehen der Prüfung bescheinigt, dass angegebene Verfahren befolgt werden und Sicherheitsüberwachungsmechanismen effektiv in einem individuellen System eingerichtet wurden.

Ein ganzheitlicher Ansatz ist gefragt

Wenn es um die Vertrauenswürdigkeit digitaler (Sicherheits-)Technologien geht, sind die oben genannten Elemente wichtige Komponenten, um nach außen beleg- und prüfbar zu zeigen, welche Sicherheitsmechanismen umgesetzt sind. Allerdings gehören weitere wichtige Elemente dazu: Um das kontinuierliche IT-Sicherheitsmanagement (ITSM) zu überprüfen, ist die ISO 27001-Zertifizierung relevant.

Waldemar Bergstreiser.
Waldemar Bergstreiser.
(Bild: Kaspersky)

Die Einhaltung internationaler Standards ist für Unternehmen aus dem IT-Sicherheitsbereich eine wichtige Voraussetzung, um bei Kunden und Partnern nachhaltig Vertrauen zu schaffen.

Über den Autor

Waldemar Bergstreiser is Head of Channel Germany bei Kaspersky.

Zertifizierungen von Kaspersky

Bei Kaspersky war und ist Prüfungsgegenstand die Entwicklung und Implementierung von Antivirenprogrammen. Kaspersky hat das SOC-2-Audit zum ersten Mal im Jahr 2019 bestanden und erhielt im Mai dieses Jahres erneut die Zertifizierung gemäß den Richtlinien des vom American Institute of Certified Public Accountants (AICPA) entwickelten Standards (AICPA Professional Standard). Die Rezertifizierung zeigt das kontinuierliche Engagement für Rechenschaftspflicht und beweist, dass Kaspersky die Prinzipien und Grundsätze für Vertrauensdienste erfüllt.

Kaspersky hat die Zertifizierung des TÜV Austria erstmals im Jahr 2019 erhalten und wurde im Februar 2022 erneut zertifiziert. Den Bogen schließen dann Produktzertifizierungen. Hier hat sich Kaspersky für die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC genannt) entschieden. Kaspersky Endpoint Security (KES) wurde in Spanien zertifiziert [PDF], Kaspersky Security Center (KSC) in Italien [PDF]. Diese Zertifizierungen sind europaweit sowie in vielen anderen Regionen der Welt anerkannt. Die darin enthaltenen allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie sind ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.

(ID:48564283)