Cybersicherheitsbericht: Die Bedeutung von Software-Stücklisten für eine robuste digitale Widerstandsfähigkeit

Die Software Bill of Materials (SBOM) ist in vielen Unternehmen noch nicht etabliert, wird jedoch durch den Cyber Resilience Act (CRA) bald zur Norm

ONEKEY IoT & OT Cybersecurity Report 2025: Viele Firmen stehen am Anfang und können ihre Cyberresilienz durch SBOMs verbessern

Die Anzahl der internetfähigen Geräte nimmt stetig zu, von Smart Homes bis hin zu Industrie 4.0-Anwendungen, was sie anfällig für Hackerangriffe macht. Eine stets aktuelle und sichere Software ist daher entscheidend für die Widerstandsfähigkeit digitaler Systeme gegen Cyberbedrohungen. Laut dem aktuellen „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY haben lediglich 12 Prozent der deutschen Industrie einen vollständigen Überblick über die in ihren Geräten, Maschinen und Anlagen verwendeten Softwarekomponenten. Diese Übersicht basiert auf einer sogenannten Software Bill of Materials (SBOM), die alle enthaltenen Elemente dokumentiert. Dabei steht „OT“ für „Operational Technology“, also industrielle Steuerungssysteme, während „IoT“ das Internet der Dinge bezeichnet – vernetzte Geräte vom digitalen Spielzeug bis hin zu medizinischen Geräten im Krankenhaus.

Befragung unter 300 Industrieunternehmen

Für seinen neuesten Sicherheitsbericht hat ONEKEY eine Umfrage unter 300 deutschen Industrieunternehmen durchgeführt, um deren Ansichten zur OT- und IoT-Sicherheit zu erfassen (verfügbar unter https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025). Dabei gaben 44 Prozent an, sich mit dem Thema SBOM auseinanderzusetzen. Etwa ein Drittel (32 Prozent) hat eine SBOM für einige ihrer vernetzten Produkte erstellt; nur zwölf Prozent verfügen über eine solche Liste für alle relevanten Systeme und Produkte. Ein Viertel der Befragten hat keine SBOM für ihre digitalen Geräte erstellt; ein weiteres Viertel zeigte sich unsicher bezüglich des Themas.

Jan Wendenburg, CEO von ONEKEY, äußert sich überrascht über diese Ergebnisse: „Der Cyber Resilience Act (CRA) wird spätestens ab 2027 vorschreiben, dass jede digitale Komponente mit einer Software Bill of Materials versehen sein muss.“ Er betont: „Es handelt sich hierbei um eine EU-Verordnung – keine Richtlinie –, was bedeutet, dass es keine nationale Umsetzung benötigt und somit direkt in Kraft tritt.“ Im Gegensatz dazu gab es bei anderen Regelungen wie NIS2 Verzögerungen aufgrund nationaler Umsetzungen.

Interessanterweise betrachten die befragten Unternehmen die Erstellung einer SBOM nicht als größte Herausforderung bei der Einhaltung des CRA. Nur etwa 29 Prozent halten dies für besonders schwierig; im Vergleich dazu sehen 37 Prozent die Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von nur einem Tag als größere Hürde an. Diese Unterschätzung könnte später als erhebliche Herausforderung bei der Einhaltung des CRA angesehen werden.

Zahlreiche Hindernisse auf dem Weg zur vollständigen SBOM

Jan Wendenburg erklärt weiter: „In einem industriellen Umfeld ist es alles andere als einfach, eine aktuelle und umfassende Software Bill of Materials zusammenzustellen.“ Die Vielzahl unterschiedlicher Geräte stellt bereits viele Unternehmen vor große Herausforderungen beim Zusammenstellen aller relevanten Systeme. Zudem basieren viele Maschinen auf älteren oder proprietären Komponenten , was Transparenz erschwert . Auch komplexe Lieferketten sowie mangelndes Verständnis seitens internationaler Lieferanten hinsichtlich europäischer Vorschriften tragen zur Problematik bei.

Denn obwohl der CRA alle Hersteller verpflichtet , welche künftig vernetzte Produkte in Europa anbieten wollen , müssen sie auch eine detaillierte SBOM bereitstellen . Diese Dokumentation muss präzise Informationen über sämtliche verwendete Softwarekomponenten beinhalten . Doch viele Zulieferer kämpfen selbst damit , vollständige Informationen bereitzustellen , da sie oft nicht ausreichend informiert werden . Wendenburg verdeutlicht : „Der CRA verlangt umfassende Dokumentationen aller Programme einschließlich Bibliotheken sowie exakter Versionsnummern jeder Komponente nebst Lizenzinformationen sowie Angaben zum Urheberrechtsschutz.“

Dauerhafte Herausforderung statt einmaliger Anstrengung

Die Erstellung einer solchen Liste ist kein einmaliges Projekt ; vielmehr erfordert es kontinuierliche Aktualisierungen . Das Düsseldorfer Unternehmen weist darauf hin , dass laut Recherchen des Bundesamtes für Sicherheit in der Informationstechnologie monatlich mehr als zweitausend Schwachstellen entdeckt werden ; davon gelten etwa fünfzehn Prozent als kritisch .

„Angesichts täglich rund siebenzig neuer potenzieller Angriffsflächen müssen Hersteller besonders wachsam bleiben“, erläutert Wendenburg weiter . „Die zentrale Aufgabe besteht darin festzustellen ob eigene Produkte betroffen sind um proaktiv reagieren zu können wenn nötig .“ Der Cyber Resilience Act zielt darauf ab sicherzustellen dass Cybersicherheit nicht nur am Tag eines Produktlaunches wichtig bleibt sondern während seines gesamten Lebenszyklus überwacht wird.

ONEKEY ist Europas führender Anbieter im Bereich Produktsicherheit & Compliance Management sowie Teil des Investmentportfolios von PricewaterhouseCoopers Deutschland(PwC). Durch innovative Kombination aus automatisierter Plattform OCP mit Expertenwissen bietet ONEKEY schnelle Analysen Unterstützung beim Management sodass Produktcybersicherheit vom Einkauf Design Entwicklung Produktion bis zum Ende gewährleistet bleibt.