{"id":1759,"date":"2025-09-11T15:22:33","date_gmt":"2025-09-11T13:22:33","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1759"},"modified":"2025-09-11T15:22:33","modified_gmt":"2025-09-11T13:22:33","slug":"cybersicherheitsreport-software-stuecklisten-als-schluessel-zur-digitalen-resilienz","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2025\/09\/11\/cybersicherheitsreport-software-stuecklisten-als-schluessel-zur-digitalen-resilienz\/","title":{"rendered":"Cybersicherheitsreport: Software-St\u00fccklisten als Schl\u00fcssel zur digitalen Resilienz"},"content":{"rendered":"<p>Immer mehr Ger\u00e4te sind mit dem Internet verbunden, vom Smart Home bis zur Industrie 4.0, und werden dadurch zu potenziellen Angriffszielen f\u00fcr Hacker. Eine stets aktuelle und sichere Software wird somit zum Schl\u00fcssel f\u00fcr die Resilienz digitaler Systeme gegen Cyberattacken. Aus dem aktuellen \u201eIoT &amp; OT Cybersecurity Report 2025\u201c des D\u00fcsseldorfer Cybersicherheits\u00adunternehmens Onekey geht hervor, dass lediglich 12 Prozent der deutschen Industrie einen l\u00fcckenlosen \u00dcberblick \u00fcber die in ihren Ger\u00e4ten, Maschinen und Anlagen verwendeten Programme hat. Die Grundlage hierf\u00fcr bildet eine sogenannte Software Bill of Materials (SBOM), also eine Software-St\u00fcckliste, die alle enthaltenen Komponenten dokumentiert. \u201eOT\u201c steht f\u00fcr \u201eOperational Technology\u201c, also beispielsweise industrielle Steuerungssysteme, \u201eIoT\u201c f\u00fcr \u201eInternet of Things\u201c, also vernetzte Ger\u00e4te vom digitalen Kinderspielzeug bis zu medizinischen Apparaturen im Krankenhaus.<\/p>\n<h4>Umfrage unter 300 Industrieunternehmen<\/h4>\n<p>Onekey hat f\u00fcr seinen j\u00fcngsten Sicherheitsbericht, der online zur Verf\u00fcgung steht (https:\/\/www.onekey.com\/de\/resource\/iot-ot-cybersecurity-report-2025), 300 deutsche Industrie\u00adunternehmen einer Befragung zu OT- und IoT-Security unterzogen. Dabei best\u00e4tigten 44 Prozent, dass sie sich mit dem Thema SBOM befassen. Ein knappes Drittel (32 Prozent) hat eine Software Bill of Materials f\u00fcr einige seiner vernetzten Ger\u00e4te, Maschinen und Anlagen erstellt, jedoch lediglich 12 Prozent f\u00fcr alle betroffenen Produkte und Systeme. Ein Viertel besitzt f\u00fcr keine seiner digitalen Ger\u00e4te eine SBOM. Ein weiteres Viertel gab sich verunsichert angesichts der SBOM-Frage.<\/p>\n<p>\u201eDas Ergebnis ist \u00fcberraschend, da der Cyber Resilience Act (CRA) sp\u00e4testens ab 2027 zwingend eine Software Bill of Materials f\u00fcr alle Produkte mit digitalen Elementen vorschreibt\u201c, sagt Jan Wendenburg, CEO von Onekey. Er stellt klar: \u201eEs handelt sich dabei um eine EU-Verordnung, nicht blo\u00df um eine Richtlinie. Das bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung ben\u00f6tigt, sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird. Es wird also keine Zeitverz\u00f6gerung durch eine deutsche Umsetzung des Cyber Resilience Act geben, wie es beispielsweise bei der Cybersicherheitsnorm NIS2 der Fall ist.\u201c<\/p>\n<p>Bemerkenswert: Die befragten Unternehmen stufen die Erstellung einer Software-St\u00fcckliste nicht als die gr\u00f6\u00dfte Herausforderung bei der Erf\u00fcllung der CRA-Anforderungen ein. Lediglich 29 Prozent halten die Anfertigung einer SBOM f\u00fcr besonders schwierig. Zum Vergleich: Die Pflicht, k\u00fcnftig Sicherheits\u00advorf\u00e4lle innerhalb von 24 Stunden bei den zust\u00e4ndigen Beh\u00f6rden melden zu m\u00fcssen, halten 37 Prozent f\u00fcr die gr\u00f6\u00dfte Herausforderung des Cyber Resilience Act. Diese Untersch\u00e4tzung des SBOM-Aufwands wird sich sp\u00e4ter als au\u00dferordentliche Herausforderung im Zusammenhang mit der CRA-Compliance herausstellen, hei\u00dft es bei Onekey.<\/p>\n<h4>Viele H\u00fcrden auf dem Weg zur l\u00fcckenlosen SBOM<\/h4>\n<p>\u201eTats\u00e4chlich ist es in einem Industrieumfeld alles andere als leicht, eine aktuelle und l\u00fcckenlose Software Bill of Materials zu erhalten\u201c, erkl\u00e4rt Onekey-Gesch\u00e4ftsf\u00fchrer Jan Wendenburg. Angesichts des breiten Spektrums an unterschiedlichen Ger\u00e4ten, Maschinen und Anlagen stelle allein die Zusammenstellung der betroffenen Systeme in vielen Firmen eine Mammutaufgabe dar. Zudem basierten viele Maschinen und damit auch ihre Steuerungssysteme auf teilweise alten und propriet\u00e4ren Komponenten, die eine vollst\u00e4ndige Transparenz beinahe unm\u00f6glich machten. Die h\u00e4ufig komplexen Lieferketten und das oftmals mangelnde Verst\u00e4ndnis bei Lieferanten au\u00dferhalb der Europ\u00e4ischen Union f\u00fcr EU-spezifische Regulierungen k\u00e4men erschwerend hinzu.<\/p>\n<p>Der Cyber Resilience Act fordert zwar von allen Herstellern, die k\u00fcnftig vernetzte Produkte in die EU liefern, die Bereitstellung einer SBOM im Rahmen der technischen Dokumentation. Diese muss detaillierte Informationen \u00fcber die verschiedenen Softwarekomponenten enthalten. Aber viele Lieferanten h\u00e4tten selbst Schwierigkeiten, eine l\u00fcckenlose SBOM aufzustellen, weil sie von ihren Vorlieferanten nicht vollst\u00e4ndig mit Informationen versorgt w\u00fcrden. Jan Wendenburg verdeutlicht: \u201eDer CRA verlangt insgesamt eine detaillierte Dokumentation aller Programme, Bibliotheken, Komponenten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem \u00dcberblick \u00fcber alle bekannten Schwachstellen und Sicherheitsl\u00fccken.\u201c<\/p>\n<h4>Permanente Herausforderung statt einmaliger Kraftakt<\/h4>\n<p>Vor allem sei die Erstellung der SBOM kein einmaliger Kraftakt, sondern die Software-St\u00fcckliste m\u00fcsse permanent aktuell gehalten werden, gibt das D\u00fcsseldorfer Sicherheitsunternehmen, das selbst eine Plattform zur automatischen Generierung von SBOMS betreibt, zu bedenken. Onekey verweist auf Recherchen des Bundesamtes f\u00fcr Sicherheit in der Informationstechnologie (BSI), wonach jeden Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities (\u201eSchwachstellen\u201c) in Softwareprodukten zu verzeichnen seien, von denen das Amt 15 Prozent als \u201ekritisch\u201c einstuft.<\/p>\n<p>\u201eAngesichts von t\u00e4glich rund 70 neuen potenziellen Einfallstoren f\u00fcr Hacker ist es f\u00fcr alle Hersteller besonders wichtig, den \u00dcberblick zu behalten\u201c, erl\u00e4utert Jan Wendenburg. \u201eDie zentrale Herausforderung als Hersteller besteht darin, regelm\u00e4\u00dfig zu pr\u00fcfen, ob eigene Produkte von neuen Schwachstellen betroffen sind, um vorausschauend und im Bedarfsfall schnell reagieren zu k\u00f6nnen. Genau hier setzt der Cyber Resilience Act an. Mit dem CRA ist Produkt-Cybersicherheit nicht nur am Tag der Auslieferung eines Produktes wichtig, sondern muss \u00fcber den gesamten Produktlebenszyklus \u00fcberwacht und nachgebessert werden. Wer Transparenz \u00fcber m\u00f6gliche Sicherheitsl\u00fccken schafft, kann im Ernstfall souver\u00e4n und rechtssicher handeln.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Immer mehr Ger\u00e4te sind mit dem Internet verbunden, vom Smart Home bis zur Industrie 4.0, und werden dadurch zu potenziellen Angriffszielen f\u00fcr Hacker. Eine stets aktuelle und sichere Software wird somit zum Schl\u00fcssel f\u00fcr die Resilienz digitaler Systeme gegen Cyberattacken. Aus dem aktuellen \u201eIoT &amp; OT Cybersecurity Report 2025\u201c des D\u00fcsseldorfer Cybersicherheits\u00adunternehmens Onekey geht hervor, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12,10,11],"tags":[],"class_list":["post-1759","post","type-post","status-publish","format-standard","hentry","category-pc-software","category-recht-gesetz","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1759"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1759\/revisions"}],"predecessor-version":[{"id":1760,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1759\/revisions\/1760"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}