Die Software Bill of Materials (SBOM) kommt – und mit ihr neue Anforderungen an Transparenz und Cybersicherheit in vernetzten Produkten. Der aktuelle „IoT & OT Cybersecurity Report 2025“ von ONEKEY zeigt, wie wenig vorbereitet viele Unternehmen in der Industrie sind. Der EU Cyber Resilience Act macht die SBOM zur Pflicht – und zur Grundlage digitaler Resilienz.
Immer mehr industrielle Systeme sind digital vernetzt. Dadurch entstehen neue Einfallstore für Cyberangriffe. Dennoch fehlt vielen Unternehmen ein zentrales Instrument für Transparenz und Sicherheit: die Software Bill of Materials (SBOM). Sie listet alle Softwarekomponenten eines Produkts auf. Nur so lassen sich Schwachstellen gezielt erkennen und beheben. Laut dem aktuellen „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Unternehmens ONEKEY verfügen lediglich 12 Prozent der befragten Industrieunternehmen über eine vollständige SBOM für alle vernetzten Geräte, Maschinen und Anlagen.
Bericht zeigt Handlungsbedarf
Für den Report hat ONEKEY 300 deutsche Industrieunternehmen befragt. Demnach befassen sich zwar 44 Prozent mit dem Thema SBOM, doch nur ein Drittel hat bereits für einzelne Systeme eine Stückliste erstellt. Ein Viertel hat bislang gar keine SBOM – und ein weiteres Viertel zeigt sich verunsichert, wie eine solche Liste überhaupt umzusetzen sei.
Dabei wird sie bald Pflicht: Der Cyber Resilience Act (CRA) der EU schreibt ab 2027 eine vollständige Software-Stückliste für alle Produkte mit digitalen Elementen vor.
„Es handelt sich dabei um eine EU-Verordnung, nicht bloß um eine Richtlinie“, erklärt Jan Wendenburg, CEO von ONEKEY. „Das bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung benötigt, sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird.“
Pflicht mit unterschätztem Aufwand
Trotz der klaren Rechtslage schätzen viele Unternehmen die SBOM als weniger problematisch ein: Nur 29 Prozent sehen in der Erstellung die größte Hürde der CRA-Anforderungen. Dagegen halten 37 Prozent die künftig verpflichtende Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden für die größte Herausforderung. Diese Einschätzung könnte sich als trügerisch erweisen: Denn die SBOM-Anforderungen gehen deutlich über eine einmalige Dokumentation hinaus.
„Tatsächlich ist es in einem Industrieumfeld alles andere als leicht, eine aktuelle und lückenlose Software Bill of Materials zu erhalten“, betont Jan Wendenburg.
Die Vielzahl an Maschinen und Anlagen, oft mit proprietären oder veralteten Komponenten, erschwert die Transparenz. Hinzu kommen Lieferketten mit internationalen Partnern, die nicht immer mit den europäischen Regulierungen vertraut sind.
SBOM ist mehr als nur eine Liste
Der CRA fordert von Herstellern, für jedes vernetzte Produkt eine SBOM bereitzustellen – inklusive detaillierter Informationen zu Programmen, Bibliotheken, Lizenzen, Urhebern sowie bekannten Schwachstellen. Viele Hersteller wiederum erhalten diese Daten nicht vollständig von ihren Zulieferern – was die Komplexität der Aufgabe erhöht.
ONEKEY verweist darauf, dass es sich bei der SBOM nicht um eine einmalige Bestandsaufnahme handelt, sondern um einen fortlaufenden Prozess. Jeden Monat registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr als 2.000 neue Schwachstellen in Softwareprodukten, etwa 15 Prozent davon gelten als kritisch.
Transparenz als Basis für Resilienz
„Angesichts von täglich rund 70 neuen potenziellen Einfallstoren für Hacker ist es für alle Hersteller besonders wichtig, den Überblick zu behalten“, so Jan Wendenburg. „Die zentrale Herausforderung als Hersteller besteht darin, regelmäßig zu prüfen, ob eigene Produkte von neuen Schwachstellen betroffen sind, um vorausschauend und im Bedarfsfall schnell reagieren zu können.“
Genau hier setzt der Cyber Resilience Act an: Er verlangt kontinuierliche Sicherheitsüberwachung über den gesamten Lebenszyklus eines Produkts – vom Einkauf bis zum End-of-Life. Eine transparente SBOM schafft dafür die technische Grundlage.
ONEKEY bietet automatisierte Lösungen
Mit seiner Plattform zur automatisierten Erstellung und Pflege von Software-Stücklisten bietet ONEKEY konkrete Unterstützung. Die Lösung erkennt per KI kritische Sicherheitslücken und Compliance-Verstöße direkt im Binärcode – ohne Quellcode oder Gerätezugriff. Gleichzeitig ermöglicht ein digitaler „Cyber Twin“ die kontinuierliche Überwachung der Cybersicherheit nach dem Produktrelease.
Ein integrierter Compliance Wizard™, der unter anderem den Cyber Resilience Act sowie Normen wie IEC 62443-4-2 und ETSI EN 303 645 abdeckt, erleichtert die Umsetzung regulatorischer Anforderungen. Das zugehörige PSIRT (Product Security Incident Response Team) kann durch die automatisierte Priorisierung von Schwachstellen schneller reagieren und die Zeit bis zur Behebung von Sicherheitslücken deutlich verkürzen.
Weitere Informationen zu ONEKEY finden Sie hier.