Die Bedeutung der CBOM


Verschlüsselung ohne Verwirrung: Mit "CBOM" den Überblick behalten
Warum Cryptography Bill of Materials (CBOM) zukünftig immer wichtiger wird


Von Nils Gerhardt, CTO von Utimaco

Ein zentrales Element der digitalen Sicherheit dabei sind kryptografische Systeme und ihre Algorithmen. Doch Kryptografie ist oft noch eine Black Box und nicht selten fehlt das Wissen, welche Algorithmen im Unternehmen zum Einsatz kommen. Um digitale Umgebungen bestmöglich abzusichern, müssen IT-Teams verstehen, welche kryptografischen Komponenten innerhalb eines Systems verwendet werden und wie sicher sie sind. Hier kommt die Cryptography Bill of Materials (CBOM) ins Spiel. Ähnlich wie die Software Bill of Materials (SBOM) im Allgemeinen zielt sie darauf ab, Transparenz und Sicherheitskontrollen für Kryptografiesysteme im Speziellen zu gewährleisten.

Eine Cryptography Bill of Materials ist eine detaillierte Auflistung der kryptografischen Algorithmen, Protokolle und Schlüssel, die innerhalb eines Softwareprodukts oder Systems verwendet werden. Die CBOM dokumentiert, welche kryptografischen Funktionen (z. B. Verschlüsselung, Hashing, Signierung) implementiert sind und welche Bibliotheken oder Komponenten dafür genutzt werden.

Typische Inhalte einer CBOM umfassen:
>> Algorithmen: Art und Anzahl der verwendeten Algorithmen, beispielsweise RSA, AES, SHA-256, ECC etc.
>> Schlüsselgrößen: Bit-Länge der verwendeten Schlüssel
>> Verwendete Bibliotheken: Kryptografiebibliotheken wie OpenSSL, BouncyCastle etc.
>> Zertifikate und Schlüssel: Informationen zu Zertifikaten, Schlüsseln und deren Gültigkeit
>> Verwendungszweck: Welche Daten oder Kommunikationskanäle durch die jeweiligen kryptografischen Methoden geschützt werden
>> Sicherheitslevel: Sicherheitsniveau der Verschlüsselung
>> Kryptografische Abhängigkeiten: Beziehungen zwischen einzelnen Krypto-Assets untereinander

Die Bedeutung der CBOM
Die CBOM ermöglicht es Unternehmen und Entwicklern, kryptografische Schwachstellen in einem System zu identifizieren. Veraltete Algorithmen oder unsichere Implementierungen von TLS-Protokollen können so frühzeitig erkannt und ersetzt werden. Wenn eine neue Schwachstelle in einer Kryptografiebibliothek bekannt wird (z. B. Heartbleed in OpenSSL), ermöglicht eine CBOM eine schnelle Identifizierung der betroffenen Systeme und Komponenten. Das minimiert die Reaktionszeit und beschleunigt die Einspielung von Sicherheits-Patches.

Software-Hersteller können eine CBOM dazu nutzen, um Transparenz zu schaffen, sodass Partner und Kunden entlang der Lieferkette genau nachvollziehen können, welche kryptografischen Methoden in einem Produkt zum Einsatz kommen und welches Sicherheitsniveau es erreicht. In hochregulierten Branchen wie dem Finanz- oder Gesundheitswesen trägt eine CBOM außerdem dazu bei, Standards einzuhalten und Audits zu vereinfachen.

CBOM und Post Quantum Cryptography (PQC)
Mit der Entwicklung von Quantencomputern rückt auch immer mehr die Gefahr für konventionelle kryptografische Systeme in den Vordergrund. Verschlüsselungen, die bisher als sicher gelten, könnten durch die überlegene Rechenleistung gebrochen werden.

Inzwischen wurden mehrere Algorithmen standardisiert, die als quantensicher gelten, also auch mit einen Quantenrechner nicht in reeller Zeit gebrochen werden können. Die Einführung dieser neuen Algorithmen wird sukzessive erfolgen und zu neuer Komplexität führen. Um schnell erkennen zu können, welche Anwendungen und Produkte bereits quantensicher sind und wo noch Handlungsbedarf besteht, wird eine CBOM zukünftig ein wichtiges Hilfsmittel sein. Außerdem hilft sie dabei, veraltete und potential unsichere Algorithmen in kritischen Systemen schnell zu erkennen. So können Unternehmen besser priorisieren, wo der dringendste Handlungsbedarf besteht.

Spezielle Crypto Discovery-Tools können Unternehmen dabei unterstützen, sich einen Überblick über die in ihren Software Supply Chains verwendeten Protokolle, Bibliotheken, Algorithmen, Zertifikate und Schlüssel zu verschaffen und bei der Migration zu PQC helfen.

Fazit
Durch die Integration von CBOMs in Sicherheitspraktiken können Unternehmen Schwachstellen schneller identifizieren, besser auf Sicherheitsvorfälle reagieren und regulatorische Anforderungen leichter erfüllen. Angesichts der wachsenden Zahl von Schwachstellen in Kryptografiesystemen wird die CBOM zukünftig eine wichtige Rolle in der Sicherheitsstrategie moderner Unternehmen spielen. (Utimaco: ra)

eingetragen: 11.12.24
Newsletterlauf: 20.02.25

Utimaco: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Fachbeiträge

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Medusa: Hacker machen Öffentlichkeitsarbeit Trends & Perspektiven der OT-ICS-Sicherheit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen