US Executive Order 14028 für Open Source Verwendung
13 September, 2021
Die im Mai 2021 erschienene Executive Order 14028 der US-Regierung ist ein gewaltiger Schritt! Sie zielt auf die Verbesserung der nationalen Cybersicherheit ab und führt Maßnahmen ein, um die Transparenz der Software-Supply-Chain innerhalb des öffentlichen Sektors zu steigern. Die Herausforderung: Sie verlangt von Unternehmen, Informationen zu übermitteln, die viele bislang nicht erhoben haben.
Das Wichtigste in 30 Sekunden
- Seit der Veröffentlichung der Executive Order 14028 durch die US-amerikanische Regierung am 12. Mai 2021 ist klar: Unternehmen, die Produkte oder Services mit Software an US-Behörden liefern, müssen zahlreiche neue Vorschriften erfüllen.
- Unter diesen Vorschriften besteht die Verpflichtung, eine sogenannte Software Bill of Materials (SBOM) ergänzend zu jedem Produkt mitzuliefern. Die US-Telekommunikationsbehörde National Telecommunications and Information Administration (NTIA) hat eine Reihe an Minimalanforderungen für eine entsprechende, gültige SBOM veröffentlicht.
- Im Zusammenhang mit den kürzlich veröffentlichen Standards ISO 5230 und ISO 5962 für Open Source Software Compliance und Open Source Software Bill of Materials haben Unternehmen, welche Produkte oder Services mit Software anbieten die Chance, nicht nur die Anforderungen der Executive Order zu erfüllen, sondern interne Entwicklungspraktiken für Software nach internationalen Standards für die Nutzung von Open Source Software zu gestalten und zertifizieren zu lassen.
Ihr Experte für Fragen
Marcel Scholze
Director Open Source Software Services & IT Sourcing bei PwC Deutschland
Tel: +49 69 9585-1746
E-Mail
Warum wird das Thema fast jeden betreffen?
Der etablierte OpenChain Industriestandard der Linux Foundation zu Open Source Software Compliance wurde Ende 2020 auf Grund der hohen globalen Relevanz und Kritikalität als offizielle ISO-Norm, die ISO 5230 veröffentlicht – auch hierin ist die Software Bill of Materials ein wesentliches Element. 2021 wurde mit der ISO 5962 ein weit verbreitetes und verwandtes SBOM-Format international standardisiert.
Wenig später forderte die Executive Order 14028 der US-amerikanischen Regierung die Lieferung von SBOMs an US-Behörden. Bislang haben viele Organisationen aus Gründen der Komplexität und notwendigen Anpassungen immer gezögert, die Lieferung von SBOMs von ihren Zulieferern zu verlangen. Die Executive Order 14028 führt nun die Idee ein, dass SBOMs standardmäßig gefordert werden können – und dies, obwohl viele Unternehmen große Anstrengungen unternehmen müssen, um eine ausreichende Reife und Qualität der SBOM zu erreichen.
Der Review und die Auslieferung von SBOMs ist in manchen Branchen längst gängige Praxis. Die Prüfung von Bill of Materials auf Compliance für Lizenzen und Sicherheit der verbauten Komponenten waren bereits vor dem aktuellen Fokus durch die Executive Order Empfehlung von PwC für Beschaffungsprozesse von Produkten und Services, die Software beinhalten. Mit steigender Digitalisierung, Komplexität und Nutzung von Open-Source-Software ist unseres Erachtens nach zu erwarten, dass andere Regierungen und Industrien diese Anforderungen ebenfalls übernehmen werden.
„Insbesondere kleine und mittlere Unternehmen sind häufig überfordert mit den Compliance-Anforderungen an die Software Bill of Materials, da ihnen kein dediziertes und trainiertes Personal zur Verfügung steht.“
Woher kommt die Aufmerksamkeit für das Thema?
Das Thema der Software-Supply-Chain-Sicherheit und deren Schwachstellen kommt nicht von ungefähr: Der Anstieg von Cyberangriffen auf die Software-Supply-Chain in der jüngsten Vergangenheit und die mediale Präsenz haben die Aufmerksamkeit auf diese Problematik gelenkt.
Aktuelle Beispiele zeigen eindrücklich: Bereits ein kleines schadhaftes Element oder Exploit einer Software-Komponente an jeglichem Punkt in der Supply Chain kann Sicherheitsmängel globaler Tragweite auslösen. Nach solchen Vorfällen leidet das Vertrauen in Softwareprodukte und kann nachgelagerte Benutzer der Software verunsichern.
Was ist eine SBOM und welche Vorteile bringt sie mit sich?
Eine SBOM stellt Informationen, wie z. B. verwendete Komponenten, Lizenzen und Urheber zur Verfügung und gibt damit detaillierte Einblicke in die Software-Supply-Chain. Das sorgt für Transparenz und ermöglicht es, potenzielle Sicherheitslücken sowie rechtliche Risiken zu erkennen.
Benutzer der Software können die SBOM einsetzen, um sich einen effizienten Einblick in die Software-Supply-Chain zu verschaffen und dadurch Wissen in Bezug auf potenzielle Risiken anzueignen, die mit der Nutzung verbunden sind. Die Open Source Welt ist sehr dynamisch. Daher ist es notwendig, die beschaffte Software regelmäßig zu bewerten, denn neue Sicherheitslücken und Exploits können ständig entdeckt werden. Liegt nun eine SBOM vor, so ist diese Überprüfung für die Nutzenden zu großen Teilen automatisierbar und ermöglicht damit eine schnellere Identifikation neuer Gefahren mit zeitnaher Reaktion. Unter anderem deswegen hat die National Telecommunications and Information Administration (NTIA) eine Sammlung notwendiger Mindestanforderungen für den Inhalt einer SBOM herausgegeben.
Zu den Mindestanforderungen zählen beispielsweise der Name des Zulieferers, der Name und die Versionsnummer der genutzten Komponente sowie die Beziehung zu anderen Komponenten. Zusätzlich empfiehlt die NTIA, die SBOM für jede Neuveröffentlichung zu aktualisieren. Eine solche Anforderung kann nicht-automatisierten Lösungen schnell zu Kapazitätsengpässen führen.
Die NTIA betont jedoch, dass sich diese Anforderungen in Zukunft ändern können, da durch sich verändernde Umstände Anpassungen notwendig werden. So wird empfohlen, bereits jetzt für langfristige Projekte oder bei besonders sicherheitssensiblen Kontaktpunkten Lizenzinformationen und detailliertere Darstellungen der Beziehungen zu anderen Software-Komponenten zu inkludieren.
Aktuell bieten häufig weder kommerzielle Produkte noch Open Source Software Lösungen standardmäßig eine SBOM, die den Mindestanforderungen der NTIA genügt. Um eine gültige SBOM für kommerzielle Produkte oder für Open-Source-Komponenten zu erhalten, muss üblicherweise explizit nachgefragt werden.
Dazu kommt: Open Source Produkte benötigen manchmal externe Dienstleister, um Compliance-Ansprüchen zu genügen, da deren Community Arbeiten dieser Art nicht immer übernimmt. Ohne einen etablierten Prozess kann die SBOM-Compliance schnell zu einem Problem werden, da Ad-hoc-Lösungen entweder nicht verfügbar oder mit hohen Kosten verbunden sind.
Wie die PwC-Experten Sie unterstützen können
Um Ihr Unternehmen zukunftssicher auszurichten, sollten Sie jetzt aktiv werden und dafür sorgen, dass Sie den aktuellen Regulierungen für die Software-Supply-Chain entsprechen. Eine, allen Mindestanforderungen genügende, SBOM stellt hierbei ein solides Fundament für Compliance-Anforderungen, rechtliche Fragestellungen zu Lizenzen und Schwachstellen-Analyse und somit Sicherheit dar.
Wenn Sie Software Bill of Materials noch nicht vollständig und richtig für Ihre Produkte und Services erstellen, können professionelle PwC Managed Services dabei helfen, die notwendigen Anforderungen zu erfüllen, ohne dass intern hierfür die Systeme, Prozesse und Ressourcen aufgebaut werden müssen.
Die PwC-Experten aus dem Bereich Open Source Software Services unterstützen Sie dabei, Compliance und Agilität sicherzustellen und helfen Ihnen, die Vorteile von Open Source zu realisieren. Mit der Zertifizierung durch PwC können Sie Ihr Open Source Software Compliance Programm finalisieren und damit Ihren Kunden gegenüber belegen, dass Sie gemäß ISO 5230 OSS Compliance einhalten.
„Vollständige und korrekte Software Bill of Materials sind ein entscheidender Bestandteil einer vertrauenswürdigen Software-Supply-Chain, die Compliance, Sicherheit sowie Transparenz ermöglichen und gleichzeitig den Aufwand für jeden Teilnehmenden des Ökosystems reduzieren.“
Follow us
Contact us
Director Open Source Software Services & IT Sourcing, PwC Germany
Tel.: +49 69 9585-1746
