Sägetstrasse 18, 3123 Belp, Switzerland +41 79 173 36 84 info@ict.technology

    Erlass der U.S. Regierung macht SBOMs obligatorisch, verpflichtet Behörden zu Zero-Trust-Architekturen, und stärkt Cybersicherheit allgemein

    Die Executive Order vom 16. Januar 2025 zur Stärkung und Förderung von Innovation in der Cybersicherheit der Nation unterstreicht das Engagement des Weißen Hauses, die kritische Infrastruktur und das digitale Ökosystem des Landes zu schützen. Angesichts der fortdauernden und sich weiterentwickelnden Cyberbedrohungen setzt dieser Erlass eine Reihe mutiger Initiativen in Kraft, die darauf abzielen, die Cybersicherheit in Bundesbehörden und im Privatsektor zu verbessern. Durch die Betonung von Zusammenarbeit, technologischer Innovation und Best Practices in Softwareentwicklung und -bereitstellung treibt er das Land in Richtung einer sichereren digitalen Zukunft. Im Mittelpunkt dieser Bemühungen steht in Abschnitt 2 das Thema Software Bills of Materials (SBOMs) – eine proaktive Maßnahme, um mehr Transparenz, Verantwortlichkeit und Vertrauen in Software-Lieferketten zu gewährleisten.

    Link zum Weißen Haus: Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity

     

    1. Überblick und Kontext der Executive Order

    Diese Executive Order baut auf früheren Maßnahmen der Regierung auf, die darauf abzielen, die nationale Cybersicherheit zu stärken und sowohl für staatliche Behörden als auch für private Akteure klare Erwartungen zu formulieren. Zu den bisherigen Bemühungen zählten Leitlinien zu Zero-Trust-Architekturen, zum Umgang mit Bedrohungen durch ausländische Cyberangreifer und zur Verbesserung von Risikomanagement-Rahmenwerken. Durch die steigende Komplexität von Cyberangriffen und die zunehmende Abhängigkeit von Drittanbietern und ausgelagerten Komponenten ist jedoch der Bedarf an einer kohärenteren und detaillierteren Richtlinie gewachsen.

    Der Erlass begegnet diesen Herausforderungen, indem er Best Practices bekräftigt, Compliance-Maßnahmen vorschreibt und starke Partnerschaften zwischen öffentlichen und privaten Akteuren fördert. Sein Anwendungsbereich reicht von der Stärkung des Echtzeit-Bedrohungsaustauschs bis hin zur Entwicklung moderner, sicherer Technologien. Durch die Fokussierung auf Verantwortlichkeit über den gesamten Software-Lebenszyklus hinweg soll die Ausnutzung von Schwachstellen durch böswillige Akteure eingedämmt werden.

    2. Abschnitt 1: Stärkung föderaler Systeme

    Der erste Abschnitt der Executive Order hat die Modernisierung der Bundesinfrastruktur zum Ziel und ermutigt Behörden, Cybersicherheitsmaßnahmen einzusetzen, die sowohl flexibel als auch zukunftsfähig sind. Konkret werden der verpflichtende Einsatz von Verschlüsselungsstandards für Daten im Ruhezustand und bei der Übertragung sowie regelmäßige Schwachstellenanalysen gefordert. Darüber hinaus werden Behörden angewiesen, kritische Dienste von veralteten Systemen – die oft eine erhebliche Sicherheitslücke darstellen – in Cloud- oder Container-Lösungen zu überführen, die eine bessere Anpassungsfähigkeit und einfachere Aktualisierung ermöglichen.

    Ein zentrales Element in Abschnitt 1 ist die Anweisung an Behörden, eine Zero-Trust-Architektur zu implementieren. Durch die Beseitigung impliziten Vertrauens im Netzwerk und die kontinuierliche Überprüfung jeder Zugriffsanfrage lassen sich sensible Daten besser schützen. Darüber hinaus werden Behörden verpflichtet, detaillierte Abläufe für den Umgang mit Sicherheitsvorfällen zu erstellen, um im Ernstfall schnell eindämmen und sich erholen zu können. Zusammen genommen bilden diese Maßnahmen eine solide Sicherheitsgrundlage, auf der weitergehende Initiativen – wie die Software-Stücklisten – wirksam aufbauen können.

    3. Abschnitt 2: Betonung der Software Bills of Materials (SBOMs)

    Abschnitt 2 ist das Herzstück der Executive Order, wenn es um Transparenz in der Software-Lieferkette geht. Er legt fest, dass Hersteller und Lieferanten von Software für die Bundesregierung zu jedem Produkt eine umfassende SBOM bereitstellen müssen. Eine SBOM ist im Wesentlichen ein verschachteltes Inventar, das jede Open-Source-, proprietäre oder kommerziell verfügbare Komponente auflistet, die zur Erstellung eines bestimmten Softwareprodukts verwendet wurde.

    Durch die Verpflichtung zu SBOMs will Abschnitt 2 blinde Flecken in der Lieferkette schließen. Wenn eine Sicherheitslücke bekannt wird (wie etwa bei weit verbreiteten Problemen durch Fehler in Open-Source-Bibliotheken), können Behörden und private Akteure rasch feststellen, welche Produkte auf die gefährdete Komponente angewiesen sind. Dies verkürzt das Zeitfenster, in dem Systeme angreifbar sind, und ermöglicht gezieltere und effizientere Patch-Vorgänge. Abschnitt 2 betont zudem die Wichtigkeit zeitnaher Aktualisierungen der SBOM, sodass jede Änderung oder jeder Patch am Softwareprodukt von einer aktualisierten Stückliste begleitet wird.

    4. Vorteile der SBOM-Implementierung

    Die Integration von SBOMs in den Beschaffungsprozess der Bundesregierung hat mehrere greifbare Vorteile. Erstens sorgt sie für Verantwortlichkeit, indem sie klar offenlegt, wer jede Softwarekomponente erstellt hat, einschließlich der Open-Source-Beiträge und proprietärer Entwickler. Dieses Maß an Transparenz fördert eine Kultur, in der sowohl Anbieter als auch Bundesbehörden bewusster mit den von ihnen eingesetzten Komponenten umgehen.

    Zweitens ermöglichen SBOMs ein proaktiveres Schwachstellenmanagement. Vor Abschnitt 2 führte eine neu entdeckte Schwachstelle oder ein Angriff häufig zu hektischen Audits, um herauszufinden, welche Produkte möglicherweise betroffen sind. Eine SBOM erlaubt Administratoren eine schnelle Lokalisierung gefährdeter Abhängigkeiten und verkürzt damit die Reaktionszeit. Diese systematische Vorgehensweise macht die Verteilung von Sicherheitsupdates effizienter und wirksamer.

    Drittens fördert die SBOM-Pflicht den Fortschritt bei automatisierten Tools. Immer mehr Anbieter investieren in Lösungen, die kontinuierlich die eingesetzten Komponenten verfolgen und aktualisieren können. Durch die Automatisierung dieses Prozesses können Softwareentwicklungsteams ihren Codebestand in Echtzeit überwachen, die Vorgaben der Executive Order einhalten und gleichzeitig eine Umgebung schaffen, die rasche Innovation begünstigt.

    5. Zusammenarbeit mit dem Privatsektor

    Da ein solcher staatlicher Erlass Auswirkungen auf die gesamte Wirtschaft hat, wird in der Executive Order angeordnet, dass Bundesbehörden eng mit Branchenführern, Softwareanbietern und Standardisierungsgremien zusammenarbeiten, um Best Practices für die Erstellung und Pflege von SBOMs zu formulieren. Außerdem treibt das Weiße Haus die Standardisierung maschinenlesbarer Formate voran, um Einheitlichkeit bei SBOMs in verschiedenen Branchen sicherzustellen.

    Darüber hinaus bemüht sich die Regierung, die Compliance-Anforderungen so zu gestalten, dass kleine und mittelständische Unternehmen (KMUs) nicht übermäßig belastet werden. Während große Konzerne über die Ressourcen verfügen, detaillierte SBOMs zu pflegen, benötigen KMUs möglicherweise technische und finanzielle Unterstützung, um die neuen Vorschriften einzuhalten. Abschnitt 2 konzentriert sich daher auch auf die Entwicklung von Schulungsprogrammen, Vorlagen und Fördermitteln, um diesen kleineren Organisationen die Umsetzung von SBOM-Methoden zu erleichtern.

    6. Etablierung einer Kultur kontinuierlicher Verbesserung

    Die Executive Order beschränkt sich nicht nur auf neue Prozesse, sondern legt auch Wert auf deren fortlaufende Optimierung. Abschnitt 2 sieht ausdrücklich vor, dass Behörden regelmäßig Rückmeldungen zur Nutzbarkeit, Vollständigkeit und Wirksamkeit der SBOMs geben, die sie erhalten. Dieser iterative Zyklus aus Einreichung, Prüfung und Überarbeitung dient der Feinjustierung der Standards im Zeitverlauf. Falls eine bestimmte Komponente oder ein Ansatz sich wiederholt als problematisch erweist, können diese Daten genutzt werden, um entweder das Produkt selbst oder die Richtlinien für die SBOM-Erstellung zu verbessern.

    Darüber hinaus sieht der Erlass die künftige Entwicklung sicherer Repositorien vor, in denen SBOM-Daten in maschinenlesbarem Format gespeichert werden. Diese Repositorien können Analysen über größere Zusammenhänge, Risikomodelle und auch fortgeschrittene Bedrohungserkennung erleichtern, da sich Muster in der Software-Lieferkette bei einer zentralen Datensammlung besser erkennen lassen.

    7. Abschnitt 3: Forschung, Entwicklung und Pilotprojekte

    Während sich Abschnitt 2 stark auf die Verpflichtung zu SBOMs für Bundesbeschaffungen konzentriert, erweitert Abschnitt 3 den Cybersicherheitsdiskurs, indem er neue Forschungs- und Pilotprojekte fördert. Ein Schwerpunkt liegt hier etwa auf quantenresistenter Kryptografie, um potenziellen zukünftigen Angriffen durch Quantencomputer frühzeitig zu begegnen. Der Erlass verweist zudem auf Pilotprojekte, die hochmoderne, KI-gestützte Sicherheitstools erproben sollen.

    Diese Pilotprojekte stehen im engen Zusammenhang mit den SBOM-Vorgaben – Bundesbehörden können untersuchen, wie fortschrittliche Technologien die Erstellung und Verwaltung von SBOMs besser automatisieren oder wie sie nahezu in Echtzeit Schwachstellenscans integrieren können. Die Ergebnisse dieser Projekte fließen in künftige Gesetzgebungsverfahren ein und können zu Erweiterungen oder Anpassungen der bestehenden Anforderungen führen.

    8. Durchsetzung, Fristen und Konsequenzen

    Um die Ernsthaftigkeit dieser Vorgaben zu unterstreichen, nennt die Executive Order einen klaren Zeitplan für die Einhaltung der Richtlinien. Innerhalb eines festgelegten Zeitrahmens – in der Regel sechs bis zwölf Monate ab Inkrafttreten – müssen Bundesbehörden beginnen, SBOM-Anforderungen in ihre Beschaffungszyklen zu integrieren. Auftragnehmer, Lieferanten und andere Privatsektor-Partner, die diese Anforderungen nicht erfüllen, können mit Sanktionen wie dem Verlust von Bundesaufträgen oder zusätzlichen Kontrollen rechnen.

    Darüber hinaus beauftragt der Erlass zuständige Behörden – wie die Cybersecurity and Infrastructure Security Agency (CISA) – mit der Entwicklung robuster Prüfmechanismen. Hierzu zählen stichprobenartige Kontrollen bei Anbietern mit hoher Priorität und Bewertungen, ob SBOMs sowohl aktuell als auch umfassend sind. Dieses Vorgehen macht deutlich, dass Compliance nicht nur ein formaler Akt ist, sondern eine dauerhafte Verpflichtung.

    9. Zukünftige Auswirkungen und Fazit

    Der Erlass vom 16. Januar 2025 markiert einen entscheidenden Schritt zur Stärkung der Cybersicherheitslage des Landes. Mit der Vorschrift zu SBOMs drängt das Weiße Haus die Softwarebranche in eine Zukunft, in der Transparenz zum Standard und nicht zur nachträglichen Ergänzung wird. Auch wenn es zweifellos Herausforderungen geben wird – insbesondere für Organisationen, die noch keine SBOMs erstellen –, wird die Gesamtwirkung voraussichtlich eine widerstandsfähigere nationale Infrastruktur sein, die auf Bedrohungen schneller und präziser reagiert.

    Aus Sicht der Innovation setzt der Erlass einen klaren Kurs: Er fordert Behörden zur Einführung von Zero-Trust-Frameworks auf und verlangt von Softwareentwicklern, Verantwortung für die Komponenten ihrer Produkte zu übernehmen. Damit legt die US-Regierung den Grundstein für eine Kultur, in der Cybersicherheit als kontinuierlicher, integrierter und zukunftsorientierter Prozess verstanden wird.

    Insgesamt signalisiert diese Executive Order eine Ära, in der digitale Sicherheit als Grundpfeiler des nationalen Wohlergehens betrachtet wird. Der Schwerpunkt von Abschnitt 2 auf SBOMs zeigt einen Schritt weg von rein reaktiven Strategien hin zu proaktiven, datenbasierten Lösungen. Indem Behörden erkennen, was sich „unter der Haube“ jeder Softwareanwendung befindet, können sie Schwachstellen schneller und gezielter beheben als je zuvor. Mit Hilfe von Forschung, Pilotprojekten und einem soliden Durchsetzungsrahmen werden diese Maßnahmen im Lauf der Zeit die Abwehrkräfte der Nation gegen wachsende Cyberbedrohungen stärken und gleichzeitig die Innovation in der Cybersicherheitsbranche fördern.