Open Source Software (OSS) spielt eine immer wichtigere Rolle bei der Entwicklung von Geschäftsanwendungen. Allerdings geht damit auch ein ernst zu nehmendes Sicherheitsrisiko einher, dem sich Unternehmen mithilfe einer Software Bills of Materials (SBOM) sowie eines effizienten SBOM- und SBOM-Vulnerability-Managements stellen können.
In einer Welt, in der Software-Entwickler die Codebasen von Dritten nutzen, um Zeit zu sparen, ist Transparenz der Schlüssel zu mehr Sicherheit.
(Bild: deagreez - stock.adobe.com)
Die Zeiten von vollständig selbstgeschriebenem Programmcode sind vorbei. Stattdessen hat sich Open Source Code in der Software-Entwicklung das Rampenlicht gesichert und ist mittlerweile allgegenwärtig. Das bestätigte auch der aktuelle The State of Open Source Report von OpenLogic, der zeigte, dass 84 Prozent der untersuchten Codebasen mindestens eine Open-Source-Komponente enthalten.
Gleichzeitig bedeutet das, dass Unternehmen zunehmend mit Anwendungen arbeiten, die sich zum Teil aus Open-Source-Bausteinen zusammensetzen. So zeigen sich laut des aktuellen Open Source Monitor von Bitkom 53 Prozent der befragten Unternehmen aufgeschlossen gegenüber Open Source Software (OSS); 69 Prozent nutzen sie aktiv.
Für Entwickler ist die breite Vielfalt an Open-Source-Bibliotheken eine praktische Code-Quelle. Durch sie können Unternehmen die Software-Entwicklung beschleunigen und gleichzeitig anfallende Kosten, zum Beispiel für teure Lizenzen, senken. Allerdings fand OpenLogic auch heraus, dass 89 Prozent der Codebasen mindestens eine Open-Source-Schwachstelle aufweisen. Der Anteil der Codes, die hochriskante Lücken, zum Beispiel in Form bekannter Exploits, beinhalten, ist innerhalb eines Jahres um 20 Prozent gestiegen und liegt nun bei 15 Prozent. Das Durchschnittsalter von Open-Source-Schwachstellen beträgt 4,4 Jahre. Zudem konnte festgestellt werden, dass viele Codebasen über lange Zeiträume hinweg nicht aktualisiert wurden.
Dabei haben die letzten Jahre gezeigt, dass Cyberangriffe auf anfällige Open-Source-Komponenten gar nicht so gefahrlos sind. So fanden Akteure Ende 2020 ein Hintertürchen in die Netzwerk-Monitoring-Plattform von SolarWinds, die wiederum von anderen Sicherheits-Tools verwendet wird. 2021 wurde eine kritische Sicherheitslücke in der Java-Bibliothek Log4j entdeckt. Das verheerende dabei: Die Anzahl an Java-Anwendungen, die diese Komponente nutzten und sich somit angreifbar machten, war unermesslich.
Unternehmen müssen somit Herr über das Problem von potenziellen Sicherheitslücken in Drittanbieter- und/oder Open Source Code werden. Dazu gilt es zunächst einmal zu verstehen und nachzuvollziehen, welche Software in ihrer IT-Landschaft zum Einsatz kommt und worauf die jeweiligen Lösungen aufbauen. Dafür eignet sich am besten eine Software Bill of Materials (SBOM).
Wer sich gesund und ausgewogen ernähren möchte, schaut vor dem Kauf in der Regel auf die Liste der Inhalte und Nährstoffe von Lebensmitteln. Im Prinzip ist eine SBOM nichts anderes als eine „Zutatenliste“, aus denen sich Anwendungen und Systeme zusammensetzen. Sprich: Eine SBOM zählt alle Komponenten – einschließlich aller kommerziellen Bestandteile sowie der verwendeten Open-Source-Bibliotheken – eines Software-Produkts auf. Darüber hinaus beschreibt sie die Beziehungen der Komponenten untereinander innerhalb der Software-Lieferkette. Diese Transparenz spielt besonders in Sachen Sicherheit eine entscheidende Rolle.
Ähnlich wie bei den Inhaltsstoffen von Lebensmitteln fungiert die SBOM als Entscheidungsgrundlage für Unternehmen, da diese genaustens nachvollziehen können, welche Komponenten sie in ihrem Stack einbinden. Für Software-Entwickler ergeben sich mit einer SBOM zudem noch weitere wichtige Vorteile. So dient sie als wichtiges Hilfsmittel im Kampf gegen Cyber-Kriminelle, die Code-Schwachstellen gezielt angreifen. Die Auflistung aller Software-Komponenten und Abhängigkeiten gibt Entwicklern Aufschluss darauf, ob sich in ihrem (Open Source) Code bekannte oder potenzielle Sicherheitslücken befinden.
Dank der detaillierten Aufschlüsselung können Entwickler zudem genaustens nachvollziehen, welche Versionen der jeweiligen Komponenten in die Software eingeflossen sind. Das vereinfacht die Installation von Updates und Patches enorm. Falls es zum Beispiel zu einer Warnmeldung oder einem Rückruf bestimmter Komponenten kommt, müssen Entwickler schnell herausfinden, wo diese verbaut sind. Mithilfe einer SBOM lassen sich die betroffenen Bestandteile exakt und auf direktem Wege ausfindig machen. Darüber hinaus hilft die Stückliste Entwicklern dabei, den Überblick über Drittanbieter-Code-Lizenzen zu behalten.
Damit Software-Lieferketten noch sicherer werden, folgte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2023 dem Beispiel der Biden-Regierung. Diese hatte zwei Jahre zuvor im Rahmen der Executive Order on Improving the Nation’s Cybersecurity veranlasst, dass Käufern von Software-Produkten eine SBOM bereitgestellt werden muss. Das BSI veröffentlichte mit Teil zwei der Technischen Richtlinie TR-03183 seine eigenen Vorgaben an die Erstellung und Gestaltung solcher Stücklisten. Die Richtlinie gibt unter anderem die Datenfelder vor, die in einer SBOM enthalten sein müssen. So sind zum einen Informationen zur Aufzeichnung selbst wie der Ersteller der SBOM sowie ein Zeitstempel notwendig. Zum anderen müssen alle relevanten Daten zu sämtlichen Komponenten angegeben werden – darunter deren Ersteller, Name und Version, Abhängigkeiten, Lizenzen sowie kryptografisch sichere Hashwerte.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Je mehr Anwendungen ein Unternehmen entwickelt und/oder kauft und je mehr Komponenten die Entwickler von externen Quellen heranziehen, desto größer und unübersichtlicher wird der Datenbestand, der den SBOM zugrunde liegt. Diese Komplexität wird vor allem dann zum Problem, wenn Komponenten akribisch verwaltet, bearbeitet und aktualisiert werden müssen. Unternehmen sollten zunächst die Lösungen nach Einfluss auf den täglichen Geschäftsbetrieb priorisieren, die ein SBOM-Management brauchen. Außerdem sollte das SBOM-Management bereits beim Entwicklungs- und Einkaufsprozess neuer Anwendungen künftig mitgedacht werden. Eine OSS-Vulnerability-Management-Lösung unterstützt zusätzlich bei der Identifizierung von bestehenden Schwachstellen in Open-Source-Komponenten. Wichtig ist, dass auch die SBOM-Daten angepasst werden, sobald die Software aktualisiert oder einzelne Bestandteile verändert werden.
Wer sein Haus nicht selbst baut, bleibt häufig darüber im Dunkeln, wie bröckelig und lückenhaft die Bausteine sein könnten. Die Erkenntnis folgt meist dann, wenn es schon zu spät und der Schaden angerichtet ist. Ähnlich verhält es sich auch bei Open Source Code. In einer Welt, in der Software-Entwickler die Codebasen von Dritten nutzen, um Zeit zu sparen, ist Transparenz der Schlüssel zu mehr Sicherheit. Unabhängig von Unternehmensgröße und Branche, empfiehlt es sich deshalb, für alle Anwendungen eine Software Bill of Materials zu erstellen und diese auch langfristig zu pflegen. Als wertvolle Ergänzung liefert sie alle notwendigen Informationen, um die eigene Anwendungslandschaft zu verstehen und effektiv vor Cyber-Akteuren zu schützen.
Über den Autor: Dieter Kehl ist Director Sales DACH/CEE/MEA bei OpenText.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8c/a0/8ca087c388d0b9a23ba15cd86e201f74/0120351122v1.jpeg "„Software Bills of Materials“ – Software-Stücklisten – liefern eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten, was die Transparenz der Supply Chain erhöht. (Bild: fran_kie - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913300/1913367/original.jpg "Unsichtbar für die Internet-Nutzer spielte sich am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen ab. Eine frisch entdeckte Sicherheitslücke in der Java-Bibliothek Log4j kann Angreifern einfachen Zugriff auf Server gewähren. Wie weit sie verbreitet ist, war zunächst unklar. (Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/ca/40ca466213d10355f94e9a08faee1c86/0108734389.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/4b/8f4bae7373278844cf757e5606f20636/0121163760v2.jpeg "Eine „Software Bill of Materials“ (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie die Ausnahme dar. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/d4/c2d45b09a335f3f478c6b35fb9f025f6/0121562430v2.jpeg "Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen. (Bild: ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/04/f5042ca90c17b708455122a21b27ea41/0124316477v2.jpeg "Eine Software Composition Analysis ist eine wichtige Sicherheitsmaßnahme in der Softwareentwicklung die auf die Analyse der Zusammensetzung der Codebasis setzt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/06/de/06ded9c89754195afef5bfa3d47d852a/0125048674v1.jpeg "Noch ist NIS-2 in Deutschland nicht umgesetzt. Doch Unternehmen können und sollten sich schon jetzt vorbereiten – und dabei gleichzeitig ihre Cybersecurity stärken. (Bild: © Gorodenkoff - stock.adobe.com)")