SchwachstellenDatenschutzCyberkriminalität

SBOMs schlagen fehl: Supply-Chain-Attacken nehmen zu, während Sicherheitsteams mit Daten kämpfen

SBOMs schlagen fehl: Supply-Chain-Attacken nehmen zu, während Sicherheitsteams mit Daten kämpfen
Zusammenfassung

Trotz ihrer Einführung vor fünf Jahren haben Software Bills of Materials (SBOMs) und Vulnerability Exploitability Exchange-Erklärungen (VEX) das Ziel verfehlt, Supply-Chain-Attacken zu reduzieren. Im Gegenteil: Die Angriffe werden immer häufiger und raffinierter. Eine unabhängige Sicherheitsforscherin hat nun enthüllt, woran das liegt – und es ist nicht der Mangel an Daten. Das Problem liegt vielmehr in der fehlenden Governance und der unzureichenden Interpretation dieser Daten durch Organisationen. Während Softwareanbieter zwar verpflichtet sind, für jede neue Version ein aktualisiertes SBOM zu erstellen, werden diese Updates nicht immer an Kunden weitergeleitet. Zudem schwankt die Qualität von VEX-Erklärungen erheblich, da Sicherheitsteams Zweifel an der Haltbarkeit ihrer Aussagen haben. Besonders für deutsche Unternehmen und Behörden wird dies zur wachsenden Herausforderung, da strengere Compliance-Anforderungen und regulatorische Vorgaben – insbesondere auf EU-Ebene – die Anforderungen an Transparenz und Dokumentation erhöhen. Ohne ein einheitliches Decision-Intelligence-Framework, das SBOMs und VEX sinnvoll interpretiert, können Organisationen ihre Sicherheitsentscheidungen weder erklären noch später verteidigen.

Sicherheitsforscherin Devashri Datta bringt es auf den Punkt: „Software-Supply-Chain-Sicherheit leidet nicht unter mangelnden Daten, sondern unter mangelnder Entscheidungsklarheit.” Ihre Erkenntnisse offenbaren ein strukturelles Problem, das deutsche Organisationen unmittelbar betrifft.

SBOMs wurden ursprünglich eingeführt, um eine detaillierte Komponenten-Inventarliste für Software-Produkte bereitzustellen. Zusammen mit VEX-Statements (Vulnerability Exploitability eXchange) – Erklärungen zur Ausnutzbarkeit bekannter Schwachstellen – sollten diese Instrumente die Lieferkettensicherheit revolutionieren. Doch in der Praxis zeigt sich ein ernüchterndes Bild.

Ein zentrales Problem: Die Qualität und Aktualität von SBOMs variiert erheblich. Während Softwareanbieter verpflichtet sind, für jeden neuen Build (Updates, Patches, neue Versionen) eine neue SBOM zu generieren, ist eine universelle Verteilung dieser aktualisierten Dokumente nicht vorgeschrieben. Viele Kunden erhalten aktualisierte SBOMs nur auf Anfrage – oder gar nicht. Sie bemerken oft nicht, dass sich die Komponenten ihrer Software geändert haben.

Auch VEX-Statements leiden unter mangelnder Akzeptanz. Sicherheitsteams zögern, Aussagen zur Ausnutzbarkeit von Schwachstellen zu treffen – nicht nur wegen technischer Unsicherheit, sondern aus Haftungsbedenken. Das führt zu einem fragmentierten Sicherheitsansatz: Sicherheitsteams verlassen sich auf Severity-Scores ohne Kontext, Engineering-Teams fehlen klare Entscheidungskriterien, und Legal-Teams arbeiten mit isolierten Disclosure-Daten.

Die fehlende Governance-Schicht

Dattas zentrale Erkenntnis: Es braucht nicht mehr Daten oder Tools, sondern eine Governance-Schicht, die SBOMs und VEX-Informationen über den gesamten Lebenszyklus hinweg interpretiert. Eine „Entscheidungs-Intelligenz”, die SBOMs als Lebenszyklus-Signale versteht statt bloße Inventare, VEX als kontextuelle Eingabe nutzt und dritte Informationsquellen integriert.

Die Dringlichkeit ist evident: Moderne Angreifer, unterstützt durch KI-Modelle, schließen die Lücke zwischen Vulnerability-Erkennung und Exploitation inzwischen in Stunden oder weniger. Veraltete Dokumentation wird zur Sicherheitslast.

Zugleich intensivieren sich regulatorische Anforderungen global – Behörden fordern strengere SBOM-Mandate und Transparenzanforderungen. Deutsche Unternehmen müssen sich darauf vorbereiten, dass sie ihre Sicherheitsentscheidungen nicht nur treffen, sondern auch erklären und verteidigen können. Ohne ein einheitliches Entscheidungsmodell bleibt die Antwort auf diese Anforderung oft: unmöglich.

Ähnliche Artikel