Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden „Software Bill of Materials“
Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden "Software Bill of Materials"
"Software Bills of Materials" (SBOMs) sind ein relativ neues Werkzeug in der IT-Sicherheit. Die Einsatzmöglichkeiten werden sich in den kommenden Jahren deutlich erweitern. Der jetzt veröffentlichte TeleTrusT-Leitfaden "Software Bill of Materials" beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge. Die Publikation entstand in der TeleTrusT-AG "Cloud Security".
"Software Bill of Materials" sind ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette. Die aktuell verfügbaren Werkzeuge konzentrieren sich jedoch auf Software im engeren Sinne und berücksichtigen die erweiterten Anforderungen durch die Nutzung von Cloud Services, sei es als SaaS, über Cloud APIs oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht. Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt. Lieferanten und deren Komponenten genießen oft ein hohes Vertrauen und weitgehende Rechte. Die Transparenz über die genaue Zusammensetzung dieser Komponenten ist häufig unzureichend.
Diese Kombination führt dazu, dass Unternehmen kaum in der Lage sind, Risiken in der IT Supply Chain proaktiv zu erkennen oder entsprechende Angriffe abzuwehren. Vielmehr müssen sie sich weitgehend auf ihre Zulieferer verlassen.
Software Bills of Materials, also Software-Stücklisten, bieten hier eine Lösung, indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der Supply Chain erhöhen. Dies ermöglicht es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.
SBOMs liefern außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützen so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden.
Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Software Bills of Materials sorgen für Transparenz in der IT Supply Chain. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich. Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen."
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Fachleute, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Personenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Professional for Secure Software Engineering" (T.P.S.S.E.) sowie der Vertrauenszeichen "IT Security made in Germany" und "IT Security made in EU". TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI). Hauptsitz des Verbandes ist Berlin.
Bundesverband IT-Sicherheit e.V. (TeleTrusT)
Chausseestraße 17
10115 Berlin
Telefon: +49 (30) 40054310
Telefax: +49 (30) 40054311
https://www.teletrust.de
Geschäftsführer
Telefon: +49 (30) 40054310
Fax: +49 (30) 40054311
E-Mail: info@teletrust.de
Einsatz Technischer Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme
Der sogenannten "Fiskalisierung" liegen verschiedene Rechtsnormen, Verwaltungsvorschriften, Technische Richtlinien des BSI sowie Common-Criteria-Schutzprofile zugrunde.
Für eine betriebsbereite Technische Sicherheitseinrichtung (TSE) sind aktuell mindestens 5 Zertifizierungen zu durchlaufen. Die Zertifizierungsgrundlagen haben jeweils ihren eigenen Lebenszyklus und die Zertifizierungen haben unterschiedliche Laufzeiten von 3 Jahren mit jährlicher Auditierung bis hin zu 8 Jahren.
Die Betriebserlaubnis der TSE ist nur gegeben, solange sämtliche Zertifizierungen noch gültig sind und die TSE in einem sogenannten "zertifizierten Modus" eingesetzt wird. Dabei sind bestimmte Einsatzbedingungen einzuhalten.
Diese Aufzählung zeigt, dass die Umsetzung der Fiskalisierung für Kassen- und TSE-Hersteller, Integratoren und Steuerpflichtige eine komplexe Angelegenheit ist, die Zertifizierungs- und Einsatzbedingungen sich stetig wandeln und die Verwender von TSE aufgrund der unterschiedlichen Zertifikatslaufzeiten mit der ständigen Unsicherheit leben müssen, wie lange die eingesetzte TSE noch verwendet werden darf.
Viele der beteiligten Parteien klagen darüber, dass die geschilderte Komplexität sie überfordert und sie die TSE nicht oder nicht wie vorgeschrieben – also im zertifizierten Modus – betreiben können.
Um die Komplexität der Fiskalisierung zu verringern und sie für alle beteiligten Parteien handhabbar zu gestalten, entwickelt eine TeleTrusT-Arbeitsgruppe (https://www.teletrust.de/arbeitsgremien/fiskalisierung/) ein Fiskalisierungs-Framework als Handreichung für die Praxis. Ziel ist die Veröffentlichung einer ersten Version dieses Frameworks zu Anfang 2024.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Professional for Secure Software Engineering" (T.P.S.S.E.) sowie des Vertrauenszeichens "IT Security made in Germany". TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI). Hauptsitz des Verbandes ist Berlin.
Bundesverband IT-Sicherheit e.V. (TeleTrusT)
Chausseestraße 17
10115 Berlin
Telefon: +49 (30) 40054310
Telefax: +49 (30) 40054311
https://www.teletrust.de
Geschäftsführer
Telefon: +49 (30) 40054310
Fax: +49 (30) 40054311
E-Mail: info@teletrust.de