Die Software Bill of Materials (SBOM) gewinnt an Bedeutung in Unternehmen, wird jedoch durch den Cyber Resilience Act (CRA) bald zur Norm
ONEKEY IoT & OT Cybersecurity Report 2025: Viele Firmen stehen noch am Anfang und können ihre Cyberresilienz durch SBOMs verbessern
Die Vernetzung von Geräten nimmt rasant zu, sei es im Smart Home oder in der Industrie 4.0, was sie zu potenziellen Zielen für Hacker macht. Eine stets aktuelle und sichere Software ist daher entscheidend für die Widerstandsfähigkeit digitaler Systeme gegen Cyberangriffe. Laut dem aktuellen „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY haben lediglich 12 Prozent der deutschen Industrie einen vollständigen Überblick über die in ihren Geräten, Maschinen und Anlagen verwendeten Programme. Grundlage dafür ist eine sogenannte Software Bill of Materials (SBOM), die alle enthaltenen Komponenten auflistet. Dabei steht „OT“ für „Operational Technology“, also industrielle Steuerungssysteme, während „IoT“ das Internet der Dinge umfasst – von vernetzten Spielzeugen bis hin zu medizinischen Geräten im Krankenhaus.
Befragung unter 300 Industrieunternehmen
Für seinen neuesten Sicherheitsbericht hat ONEKEY 300 deutsche Industrieunternehmen zur Sicherheit von OT- und IoT-Systemen befragt. Dabei gaben 44 Prozent an, sich mit dem Thema SBOM auseinanderzusetzen. Etwa ein Drittel (32 Prozent) hat eine Software Bill of Materials für einige ihrer vernetzten Geräte erstellt; nur 12 Prozent haben dies jedoch für alle relevanten Produkte umgesetzt. Ein Viertel verfügt über keine SBOM für seine digitalen Geräte, während ein weiteres Viertel unsicher bezüglich des Themas ist.
„Das Ergebnis überrascht angesichts dessen, dass der Cyber Resilience Act (CRA) spätestens ab 2027 eine Software Bill of Materials für alle Produkte mit digitalen Elementen vorschreibt“, erklärt Jan Wendenburg, CEO von ONEKEY. Er betont: „Es handelt sich um eine EU-Verordnung und nicht bloß um eine Richtlinie; das bedeutet, dass diese Cybersicherheitsnorm direkt gültig wird ohne nationale Umsetzung.“ Daher wird es keine Verzögerungen bei der Umsetzung des CRA geben wie bei anderen Regelungen wie NIS2.
Interessanterweise sehen die befragten Unternehmen die Erstellung einer SBOM nicht als größte Herausforderung bei den Anforderungen des CRA an. Nur 29 Prozent halten diesen Prozess für besonders schwierig; zum Vergleich: Die Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden betrachten hingegen 37 Prozent als größte Herausforderung des Gesetzeswerks. Diese Unterschätzung könnte sich später als erhebliche Hürde hinsichtlich der Compliance erweisen.
Zahlreiche Hindernisse auf dem Weg zur vollständigen SBOM
„In einem industriellen Umfeld ist es alles andere als einfach, eine aktuelle und umfassende Software Bill of Materials zu erstellen“, erläutert Jan Wendenburg weiter. Aufgrund der Vielzahl unterschiedlicher Geräte stellen bereits das Zusammenstellen aller betroffenen Systeme viele Unternehmen vor große Herausforderungen – insbesondere da viele Maschinen auf teils alten proprietären Komponenten basieren und somit Transparenz erschwert wird.
Zudem sind komplexe Lieferketten sowie unzureichendes Verständnis seitens internationaler Lieferanten bezüglich EU-spezifischer Vorschriften zusätzliche Schwierigkeiten.
Der Cyber Resilience Act verlangt zwar von allen Herstellern zukünftiger vernetzter Produkte in der EU die Bereitstellung einer detaillierten SBOM im Rahmen ihrer technischen Dokumentation; doch viele Lieferanten kämpfen selbst damit aufgrund unvollständiger Informationen ihrer Vorlieferanten.
Jan Wendenburg verdeutlicht: „Der CRA fordert umfassende Dokumentationen aller Programme sowie Bibliotheken mit genauen Versionsnummern jeder Komponente einschließlich Lizenzinformationen sowie Angaben zu Urhebern.“
Permanente Herausforderung statt einmaliger Aufgabe
Die Erstellung einer SBOM stellt keinen einmaligen Aufwand dar; vielmehr muss sie kontinuierlich aktualisiert werden”, warnt das Düsseldorfer Sicherheitsunternehmen.
Recherchen des Bundesamtes für Sicherheit in der Informationstechnologie zeigen zudem monatlich mehr als durchschnittlich zwei Tausend Schwachstellen in Softwareprodukten auf – davon stuft das BSI etwa fünfzehn Prozent als kritisch ein.
„Angesichts täglich rund siebzighundert neuer potenzieller Angriffsflächen müssen Hersteller besonders aufmerksam sein“, sagt Jan Wendenburg weiter.
„Die zentrale Herausforderung besteht darin sicherzustellen , dass eigene Produkte regelmäßig überprüft werden , ob neue Schwachstellen auftreten . Dies ermöglicht schnelles Handeln im Bedarfsfall . Genau hier setzt auch der CRA an ; Produkt-Cybersicherheit muss nicht nur am Tag eines Verkaufs wichtig sein , sondern sollte während des gesamten Lebenszyklus überwacht werden.”
ONEKEY gilt als führender Anbieter Europas im Bereich Product-Cybersecurity-Management
und gehört zum Investmentportfolio von PricewaterhouseCoopers Deutschland(PwC).
Durch Kombination automatisierter Plattformlösungen mit Expertenwissen bietet ONEKEY schnelle Analysen , Unterstützung beim Management zur Verbesserung sowohl Produktcyber-Sicherheit
als auch Compliance vom Einkauf bis zum Ende eines Produktslebenszyklus .
Kritische Sicherheitslücken werden dank KI-Technologie innerhalb weniger Minuten vollautomatisch identifiziert – ohne Zugang zum Quellcode oder Netzwerk erforderlich . Mit integrierter Erstellung einer “Software-Bill-of-Materials” können zudem proaktive Überprüfungen durchgeführt werden.”Digital-Cyber-Twins” ermöglichen darüber hinaus permanente Überwachung nach Veröffentlichung über den gesamten Lebenszyklus hinweg.
The patentierte integrierte Compliance Wizard(TM) erfüllt bereits heute Anforderungen gemäß EU-Cyber-Resilience-Act(CRA), IEC62443-4-2 , ETSI EN303645 sowie UNECE R155 u.v.m.
The Product-Security-Incident Response Team(PSIRT ) profitiert durch automatische Priorisierung erheblich,
was deutlich verkürzt Zeit bis Fehlerbehebung .
Anführende internationale Unternehmen aus Asien Europa USA nutzen erfolgreich Lösungen aus dem Bereich ProductCyberSecurity&CompliancePlatform(OCP )von ONKAYE .
Pressekontakt:
Für weitere Informationen:
ONEKEY GmbH,
Sara Fortmann,E-Mail:sara.fortmann@onekey.com,
Kaiserswerther Straße45,
40477 Düsseldorf Deutschland,
Web:www.onekey.com
PR-Agentur :euromarcom public relations GmbH,
Mühlhohle2,
65205 Wiesbaden Deutschland,
E-Mail :team@euromarcom.de ,
Web:www.euromarcom.de