SBOM-Pflege für KRITIS: Software Bill of Materials operativ aktuell halten

Eine durchdachte SBOM-Pflege für KRITIS entscheidet darüber, ob eine kritische Anwendung im Schwachstellenfall in Sekunden oder erst nach Tagen den Verantwortlichen auffällt. Unser Beitrag zeigt KRITIS-Betreibern, wie SBOM Lifecycle Management praktisch organisiert wird, welche Trigger eine Aktualisierung auslösen und wie sich der Pflegestand audit-fähig nachweisen lässt, ohne den laufenden Betrieb zu belasten.

Ein Business-Team beugt sich mit einer Lupe über mehrere große Fragezeichen und nimmt sie genau unter die Lupe. Sinnbild für die häufig gestellten Fragen rund um die SBOM-Pflege für KRITIS.

1. Was SBOM-Pflege für KRITIS vom Standardinventar trennt
2. SBOM Lifecycle Management im KRITIS-Tagesbetrieb
3. SBOM-Pflege für KRITIS reifegradorientiert ausbauen
4. VEX-Berichte und Lieferanten-SBOM in der SBOM-Pflege für KRITIS

Was SBOM-Pflege für KRITIS vom Standardinventar trennt

SBOM-Pflege für KRITIS folgt drei Regeln, die sie von gewöhnlichen Stücklisten abheben. Aktualisiert wird, sobald sich an einer Komponente etwas ändert. Neben jeder Komponente steht der aktuelle Schwachstellenstatus, und jeder Stand wird so signiert, dass er einem Audit standhält.

Laut dem Bitkom Open Source Monitor 2025 setzen drei von vier Unternehmen in Deutschland Open-Source-Komponenten produktiv ein. In KRITIS-Anwendungen liegt der Anteil meist sogar höher, weil Frameworks, Bibliotheken und Laufzeitumgebungen offen entwickelt werden. Genau dieser hohe Open-Source-Anteil macht eine gepflegte Stückliste zwingend. Die Übersichtsseite zur Softwareentwicklung für KRITIS ordnet die Pflegepflicht ins größere Sicherheitsbild ein.

Welche SBOM-Aktualisierungsfrequenz fordert das BSI in KRITIS-Umgebungen?

Das BSI nennt keine starre Tagesfrist, sondern verlangt eine ereignisbasierte Aktualisierung der Software Bill of Materials in KRITIS-Anwendungen. Jeder Build, jeder Patch und jede neue Drittkomponente löst eine SBOM-Anpassung aus. Damit wird SBOM-Pflege in KRITIS zur Frage des Pipeline-Designs statt des Kalenders. Eine ergänzende IT-Compliance-Strategie sichert die Nachweisspur ab. Das Zusammenspiel mit dem Software-Lebenszyklus in KRITIS-Anwendungen sorgt dafür, dass Wechsel- und Pflegestände konsistent bleiben.

Wie unterscheidet sich eine CMDB von einer SBOM in der KRITIS-Praxis?

Eine CMDB beschreibt Assets im Betrieb, eine Software Bill of Materials beschreibt die innere Komposition einer Software-Auslieferung. Beide ergänzen sich, ersetzen sich aber niemals gegenseitig im KRITIS-Betrieb. Die CMDB kennt den Server, die SBOM kennt jede einzelne Bibliothek auf diesem Server. Erst die Verschneidung beider Quellen beantwortet die Frage, welche Anlage von einer neuen Schwachstelle betroffen ist. Wer SBOM-Pflege in KRITIS allein der CMDB-Verantwortung unterstellt, verliert genau diese Auflösungsebene und damit die Reaktionsfähigkeit im Ernstfall. Software Bill of Materials und CMDB gehören in KRITIS-Anwendungen deshalb in getrennte, eng verzahnte Workflows.

SBOM Lifecycle Management im KRITIS-Tagesbetrieb

SBOM Lifecycle Management bündelt alle Schritte zwischen erster Stücklisten-Erzeugung und finaler Stilllegung einer KRITIS-Anwendung. Der Pflegezyklus folgt dem Build-Takt der Software, nicht dem Audit-Kalender. SBOM-Pflege im KRITIS-Tagesbetrieb organisieren beginnt deshalb in der CI/CD-Pipeline. SBOM-Updates in CI/CD-Pipeline integrieren ist der erste Hebel jedes belastbaren Pflegekonzepts.

Automatisiertes Build und manuelle Freigaben

Ein gutes SBOM Lifecycle Management trennt sauber zwischen automatisierten Build-Triggern, manuellen Freigaben und der finalen Repository-Übergabe. Dieser SBOM-Pflegeprozess gehört zum Tagesbetrieb der SBOM-Pflege für KRITIS. Ein eingespieltes Maintenance- und Support-Modell übersetzt die Pflicht in einen festen Tagesrhythmus. Der enge Schulterschluss mit den Regressionstests in der KRITIS-Wartung sichert ab, dass jede Komponentenänderung zugleich getestet wird.

Trigger für eine SBOM-Aktualisierung

Folgende Ereignisse lösen eine Aktualisierung der Software Bill of Materials in KRITIS-Anwendungen aus:

jeder erfolgreiche Build in der CI-Pipeline
jeder Sicherheitspatch einer eingebundenen Bibliothek
jeder Versionswechsel einer Drittkomponente
jede Änderung an Container-Basis-Images
jede neue Schnittstelle zu einem Fremdsystem
jeder Wechsel der Laufzeitumgebung
jeder Lieferanten-Release mit aktualisierter Stückliste

Diese Trigger machen SBOM-Pflege für KRITIS planbar. Im SBOM Lifecycle Management gehören sie in die Pipeline-Konfiguration und nicht ins Wiki, damit kein Build ohne aktuelle Stückliste durchläuft.

SBOM Signierung und Versionierung im Repository

Eine ungeprüfte SBOM ist im KRITIS-Audit wertlos. Kryptographische Signatur belegt Herkunft und Unversehrtheit jedes einzelnen Stücklisten-Stands. Werkzeuge wie Cosign oder Sigstore hängen die Signatur direkt an den SBOM-Stand. Der signierte Stand landet zusammen mit dem zugehörigen Build-Artefakt im zentralen Repository. So entsteht ein revisionsfester Nachweis, der die CycloneDX-Vorgaben in KRITIS-Anwendungen ebenso sauber bedient wie SPDX-basierte Anforderungen. SBOM Signierung wird damit zum Bindeglied zwischen Build und Audit. Eine konsequente SBOM-Wartung in KRITIS-Umgebungen liefert auf diesem Weg jeden Tag eine prüfbare Belegkette.

Pflichtfelder nach BSI TR-03183-2

In jeder gepflegten Stückliste stehen mindestens folgende Felder:

Komponentenname und exakte Version
Hersteller- oder Projektkennung
Lizenzangabe inklusive SPDX-Identifier
Abhängigkeitsbeziehungen zu anderen Komponenten
Hash-Wert zur Integritätsprüfung
Beziehungstyp gemäß CycloneDX oder SPDX

Werden diese Felder konsequent erfasst, deckt SBOM-Pflege für KRITIS die Anforderungen des Cyber Resilience Act und sektorspezifische B3S-Vorgaben in einem Aufwasch ab. Mit dieser sauberen Datenbasis wird das SBOM Lifecycle Management bei späteren Konsolidierungsläufen deutlich schneller.

SBOM-Pflege für KRITIS reifegradorientiert ausbauen

Reifegrad zeigt im KRITIS-Umfeld, wie weit die Pflege vom Einmal-Excel zum kontinuierlich signierten und VEX-angereicherten Datensatz herangewachsen ist. Mit definierten Reifegraden lassen sich Sektoren und Dienstleister überhaupt erst seriös vergleichen. Damit wird SBOM-Aktualisierung in KRITIS-Umgebungen zu einem steuerbaren Programm statt zu einer punktuellen Pflichtübung. Wie die konkreten Stufen gemessen werden, erläutert der folgende Abschnitt mit klarem Bezug zum Schwachstellenmanagement für KRITIS, das auf gepflegten Stücklisten direkt aufsetzt.

Was ist das SBOM-Reifegradmodell für KRITIS-Betreiber?

Das SBOM-Reifegradmodell für KRITIS-Betreiber beschreibt vier Stufen vom rein statischen Komponenten-Export bis zum kontinuierlich signierten und VEX-angereicherten Datensatz. Jede Stufe entscheidet darüber, wie schnell eine Anwendung im Schwachstellenfall reagieren kann. Stufe eins liefert eine Liste, Stufe vier liefert einen lebendigen Zustand. Die Anwendung der Stufen folgt der Kritikalität der jeweiligen Anlage und der vertraglichen Zusage gegenüber Aufsicht und Auftraggeber. Das SBOM-Reifegradmodell schafft so die Brücke zwischen Pipeline-Realität und regulatorischer Nachweispflicht. Damit wird SBOM-Pflege für KRITIS plan- und prüfbar.

Stufen im SBOM-Reifegradmodell auditfähig messen

Folgende vier SBOM-Reifegradstufen prägen das SBOM-Reifegradmodell in der KRITIS-Praxis und werden gelegentlich auch als SBOM-Maturity-Modell bezeichnet:

Stufe 1: einmaliger Stücklisten-Export ohne Aktualisierungspflicht
Stufe 2: regelmäßige Aktualisierung in CI/CD ohne Signatur
Stufe 3: signierte SBOMs im zentralen Repository mit Versionsspur
Stufe 4: kontinuierlich signiert, VEX-angereichert und mit Lieferanten-Stücklisten konsolidiert

Aussagekräftige Pflege-Kennzahlen sind Aktualisierungslatenz, Signatur-Quote und VEX-Abdeckung. Ein quartalsweiser Bericht an die Geschäftsleitung schafft Verbindlichkeit und macht Investitionen in den nächsten Reifegrad nachvollziehbar. Das SBOM-Reifegradmodell wird so zur gemeinsamen Sprache von Audit, Betrieb und Geschäftsleitung. So findet SBOM-Pflege für KRITIS aus dem Bauchgefühl heraus in eine kennzahlenbasierte Steuerung.

VEX-Berichte und Lieferanten-SBOM in der SBOM-Pflege für KRITIS

VEX-Berichte ergänzen die Software Bill of Materials in KRITIS-Anwendungen um die entscheidende Frage, ob eine Schwachstelle im konkreten Einsatz tatsächlich erreichbar ist. Damit wird aus jeder SBOM-Zeile eine handlungsfähige Risikoaussage statt einer reinen Bestandsangabe.

VEX-Berichte für KRITIS-Betreiber pflegen bedeutet konkret, jede neue CVE in der eigenen Stückliste einer von vier Statuskategorien zuzuordnen. Eine reife SBOM-Pflege für KRITIS verknüpft jede dieser Klassifizierungen direkt mit Patch-Plan und Audit-Akte. Die Cyber-Resilience-Anforderungen für Individualsoftware beschreiben den vertraglichen Rahmen, in dem diese Bewertung gegenüber Lieferanten eingefordert wird.

Statusarten im VEX-Bericht

Folgende vier VEX-Statusangaben sind in KRITIS-Audits gefordert:

not_affected: Komponente verwundbar, Codepfad nicht aktiv
affected: Komponente verwundbar, Codepfad aktiv und Patch nötig
fixed: Schwachstelle bereits durch Update geschlossen
under_investigation: Bewertung läuft noch, Frist dokumentiert

Lieferanten-SBOM für KRITIS einfordern ist die zweite Säule der reifen Pflege. Ohne maschinenlesbare Stückliste vom Hersteller bleibt jede Eigenpflege Stückwerk. SBOM Lieferanten geben meist CycloneDX-Dateien aus, manche Behörden verlangen zusätzlich SPDX. Der Pflegeprozess konsolidiert beide Formate, bewertet sie über VEX und übergibt sie an die Audit-Akte. Im SBOM Lifecycle Management werden Lieferanten-Stücklisten wie eigene Builds versioniert und signiert. So entsteht aus der SBOM-Pflege für KRITIS ein durchgängiges Lagebild über die gesamte Lieferkette.

Outsourcing der SBOM-Pflege für KRITIS

SBOM-Pflege bei KRITIS lässt sich an einen ISO-27001-zertifizierten Dienstleister abgeben, ohne dass der Betreiber seine Verantwortung verliert. Der Dienstleister liefert den auditfähigen Pflegezustand, der Betreiber bleibt Inhaber der Daten. Wichtige Übergabepunkte sind das zentrale Repository, der laufende VEX-Bericht für KRITIS-Anwendungen und die signierten Versionsstände.

Ein gut geführtes SBOM Lifecycle Management beim Dienstleister wird damit selbst zum Kontrollpunkt im Lieferantenaudit. Das SBOM-Reifegradmodell des Dienstleisters sollte mindestens auf Stufe drei stehen, damit Signaturen und Versionsspur lückenlos vorliegen. So entsteht eine SBOM-Pflege für KRITIS, die im Audit Bestand hat und im Tagesbetrieb nicht stört.

FAQs

Wie wird eine SBOM in KRITIS-Anwendungen aktuell gehalten?

Eine SBOM in KRITIS-Anwendungen wird ereignisbasiert aktuell gehalten. Jeder Build, jeder Sicherheitspatch und jeder Versionswechsel einer Drittkomponente löst eine automatische Neuerzeugung in der CI/CD-Pipeline aus. Der signierte Stand landet im zentralen Repository und ist damit jederzeit auditfähig abrufbar.

Wann ist ein VEX-Bericht in der SBOM-Pflege erforderlich?

Ein VEX-Bericht ist immer dann erforderlich, wenn eine in der SBOM gelistete Komponente von einer veröffentlichten Schwachstelle betroffen ist. Er dokumentiert nachvollziehbar, ob die Lücke im konkreten Einsatz tatsächlich erreichbar ist. So bleiben Audit-Akte und Patch-Plan frei von hektischen Reaktionen auf nicht ausnutzbare CVE-Treffer.

Wie unterstützt TenMedia bei der SBOM-Pflege KRITIS?

TenMedia begleitet KRITIS-Betreiber im gesamten SBOM-Pflegezyklus, von der Erstaufnahme aller Komponenten in CycloneDX oder SPDX über die automatisierte Aktualisierung in der CI/CD-Pipeline bis zur Pflege signierter Versionsstände im zentralen Repository. Lieferanten-SBOMs werden konsolidiert, VEX-Berichte werden sauber dokumentiert und der Reifegrad wird quartalsweise gemessen. Die Leistung ist fester Bestandteil der Maintenance- und Application-Management-Verträge und folgt den Vorgaben der ISO 27001 sowie der BSI TR-03183-2. Bei Bedarf werden Bestandsstücklisten in einem ersten Audit-Schritt geprüft und in einen wiederholbaren Pflegeprozess überführt. Damit wird die SBOM-Pflege für KRITIS zu einem auditfähigen Tagesbetrieb statt zu einer punktuellen Übergabe an den Auftraggeber.