Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Datenschutz

Kryptografische Stückliste (CBOM): Der Schlüssel zur Sicherung Ihrer Software-Lieferkette

Geschrieben vonAmit Rastogi 05 Minuten
CBOM-Banner
Inhaltsverzeichnis

Angriffe auf die Lieferkette sind vielfältig und betreffen sowohl Unternehmen als auch Behörden. Da kommerzielle Softwareprodukte und Open-Source-Software potenzielle Ziele dieser Angriffe sind, ist es für Ihr Unternehmen wichtig, einen klaren Überblick über die in Ihren Softwareentwicklungs- und -bereitstellungspipelines verwendeten Software- und Kryptografieressourcen zu haben, um sich vor diesen Angriffen zu schützen und diese abzuwehren.   

In 2020 stellte das Angriff auf die SolarWinds-Lieferkette Betroffen waren nicht nur Tausende von Organisationen, sondern auch die US-Regierung. Hacker schleusten eine Hintertür namens SUNBURST in das IT-Update-Tool Orion ein.  

Im Februar 2021 gelang es dem Sicherheitsforscher Alex Birsan, mithilfe einer Abhängigkeitsverwirrung in die Netzwerke von Microsoft, Tesla, Uber und Apple einzudringen. Er führte Schadsoftware in deren Netzwerken aus und überschrieb dabei Softwarepakete namens „Abhängigkeiten“ mit gleichnamigen Schadpaketen.  

Um die Sicherheit gegen solche Angriffe zu verbessern, erließ die US-Regierung 2021 eine Durchführungsverordnung, die Softwareanbieter zur Bereitstellung einer Software-Stückliste (SBOM) verpflichtet. Die SBOM ist eine umfassende Liste aller Module, Bibliotheken und Drittanbieter-Abhängigkeiten sowie Metadateninformationen wie Lizenzen und Versionen Ihrer Softwareanwendungen. So können Sie die von einem Supply-Chain-Angriff betroffenen Komponenten schnell identifizieren und aktualisieren.  

Darüber hinaus Nationales Institut für Standards (NIST) hat empfohlen, das SBOM im Rahmen seiner Richtlinien für die Einführung der Post-Quanten-Kryptografie (PQC) um eine Cryptography Bill of Materials (CBOM) zu erweitern. 

Was ist eine kryptografische Stückliste (CBOM)?  

Ein CBOM bietet einen detaillierten Einblick in die verschiedenen kryptografischen Assets, die mit Ihrem SBOM-Inventar verbunden sind. Während Ihr SBOM-Inventar typischerweise Betriebssystem, Webserver/Anwendungsserver, SSL/TLS-Bibliothek (OpenSSL), Konfigurations-, Überwachungs- und Protokollverwaltungstools sowie deren Metadateninformationen umfasst, erweitert Ihr CBOM-Inventar Ihr SBOM-Inventar um Details wie: X.509-Zertifikate, SSH-Schlüssel und ihre Größen, Public-Key-Kryptografiealgorithmen wie RSA, ECDSA und andere, Hashing-Algorithmen wie SHA1, SHA2 usw. und alle zusätzlichen Metadateninformationen wie Lizenz und alle bekannten Schwachstellen.   

CBOM

Erhalten Sie vollständige Transparenz durch kontinuierliche kryptografische Erkennung, automatisierte Inventarisierung und datengesteuerte PQC-Sanierung.

Demo buchen

Wie würde CBOM zur Verbesserung Ihrer Sicherheitslage beitragen?  

CBOM bietet Ihrem Unternehmen detaillierte Einblicke in die kryptografischen Assets der verschiedenen kommerziellen und Open-Source-Software, die in Ihrem Unternehmen eingesetzt wird. Dies unterstützt die Verwaltung und Überwachung des kryptografischen Fußabdrucks Ihres Unternehmens und trägt dazu bei, die Sicherheitsflexibilität Ihres Unternehmens zu verbessern, indem proaktive Maßnahmen zum Schutz vor verschiedenen Angriffen auf die Lieferkette ergriffen und durch schnelle Identifizierung und Patchen der betroffenen Komponenten schnellere Reaktionszeiten für die Reaktion und Wiederherstellung nach solchen Angriffen ermöglicht werden. Ohne CBOM wären die operativen und finanziellen Auswirkungen einer Sicherheitsverletzung hingegen vielfältig. Ein aktualisiertes CBOM-Inventar hilft Ihrem Unternehmen zudem bei der Einhaltung verschiedener gesetzlicher Compliance-Anforderungen wie NIST, ISO 27001 und DSGVO.   

Da CBOM einen tieferen Einblick in unsere kryptografischen Vermögenswerte bietet, würde es auch bei der Planung der Migration von bestehenden Algorithmen helfen, wie z. B. RSA, DSA, ECDSA, und ECDH bis hin zu den Post Quantum Cryptography (PQC)-Algorithmen wie ML-KEM, ML-DSA, SLH-DSA.   

Wichtige Überlegungen zur Implementierung von CBOM in Ihrem Unternehmen

Sehen wir uns einige der wichtigsten Überlegungen zur Implementierung von CBOM in Ihrem Unternehmen an.

  1. Entdecken der kryptografischen Entitäten

    Einer der wichtigsten Aspekte bei der Erstellung Ihres CBOM-Inventars ist die Identifizierung verschiedener kryptografischer Einheiten in Ihrem System, wie z. B. Anwendungen von Drittanbietern (Datenbank, Konfigurationsmanagement und Automatisierungstools), Quellcode, ruhende Daten (Konfigurationsdateien, digitale Zertifikate, Passwörter und Schlüssel), Daten in Bewegung (SSL / TLS Protokolle und VPN-Konfigurationen) und Hardware (HSMs und IoT-Geräte).

  2. Erstellen und Pflegen des CBOM-Inventars

    Ein weiterer zu berücksichtigender Aspekt ist die Festlegung des Zeitpunkts der Inventarisierung in den verschiedenen Phasen der Entwicklung und Bereitstellung eines Systems. Jede Phase kann ein eigenes Inventar erstellen, das das Inventar der vorherigen Phasen ergänzt und die Verbindung zwischen der Phase, in der eine Inventarkomponente eingeführt wurde, herstellt. Dies erleichtert die Analyse und Behebung von Schwachstellen. Darüber hinaus haben verschiedene Stakeholder in den Organisationen unterschiedliche Anforderungen an den Umfang der Inventarisierung. Beispielsweise interessiert sich das Produktentwicklungsteam für die kryptografische Inventarisierung in Bezug auf Quellcode, Softwareabhängigkeiten und Anwendungskonfiguration, während das IT-Betriebsteam an einem größeren Inventarisierungsumfang in Bezug auf Software interessiert sein könnte. PKI, SaaS, Netzwerk, Daten und Hardware.

  3. Audit und Überprüfung des CBOM-Inventars

    Regelmäßige Audits und Überprüfungen des CBOM sind von entscheidender Bedeutung, um sicherzustellen, dass die kryptografischen Einheiten den neuesten Sicherheitsstandards entsprechen und alle drohenden Schwachstellen beheben, z. B. anfällige Schlüsselgrößen und Algorithmen ersetzen, erneuern und Zertifikate widerrufen, usw.

PQC-Beratungsdienste

Erreichen Sie die Post-Quanten-Bereitschaft mit einer von Experten geleiteten kryptografischen Bewertung, einer Migrationsstrategie und einer praktischen Implementierung gemäß den NIST-Standards.

Mehr erfahren

Wie könnte Encryption Consulting helfen?  

Der PQC-Bewertungsdienst von Encryption Consulting könnte Ihrem Unternehmen helfen, indem er eine detaillierte Bewertung Ihrer lokalen, Cloud- und SaaS-Umgebungen durchführt, Schwachstellen identifiziert und die besten Strategien zur Minderung der Quantenrisiken empfiehlt.  

Unser PQC-Bewertungsservice umfasst eine detaillierte Risikobewertung Ihrer aktuellen kryptografischen Umgebung, die Entwicklung einer Strategie und eines Roadmap-Plans zur Minderung der identifizierten Risiken sowie die Implementierung der erforderlichen Technologien und Lösungen zur Schaffung einer widerstandsfähigen Umgebung.  

Weitere Informationen zu unseren Produkten und Dienstleistungen finden Sie unter Post-Quantum-Kryptografiedienste.

Fazit

Das Abschließen, Identifizieren und Verwalten der Software Ihres Unternehmens und der zugehörigen kryptografischen Assets mithilfe von SBOM bzw. CBOM ist der Schlüssel zum Schutz vor und zur Minderung der mit Softwareschwachstellen und kryptografischen Angriffen verbundenen Risiken. 

Entdecken Sie unsere

Verwandte Blogs

PQC-Unterstützung in Webbrowsern

Unterstützung postquantenkryptographischer Verfahren in Webbrowsern

31. März 2026
Jetzt vertrauen, später schmieden

Ihr Leitfaden zum Verständnis von „Vertrauen jetzt schmieden später“

9. März 2026
PQC-Migration

Navigieren durch die PQC-Migration zum Schutz Ihrer Kryptografie

3. März 2026

Entdecken

Weitere Themen