Das SBOM-Feigenblatt

Fri, 27 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Zwei Versäumnisse, oft gleichzeitig: Ein SBOM wird einmalig erzeugt – nicht für jeden Build. Welche Komponentenversionen im letzten Release stecken? Unbekannt. Und selbst wo SBOMs existieren, werden sie nicht beobachtet. Ein neuer CVE für eine enthaltene Komponente bleibt unsichtbar – bis jemand zufällig nachschaut.

🎯 Was soll eigentlich erreicht werden?

Zwei Dinge: wissen, was deployed ist – und wissen, ob das noch sicher ist. Der SBOM beantwortet die erste Frage: Er dokumentiert Komponentenversionen eines Builds. Die zweite beantwortet er nur, wenn er kontinuierlich gegen Schwachstellendatenbanken geprüft wird.

CRA – die stille Revolution ab September 2026

Mon, 09 Mar 2026 07:35:00 +0100

🌍 Ein Déjà-vu aus den Achtzigern

Die EG-Produkthaftungsrichtlinie von 1985 war leise und folgenreich. Hersteller physischer Güter hafteten seitdem für Schäden ihrer Produkte. Wer Produkte baute, musste Sicherheit einplanen – nicht nachliefern. Die Autoindustrie nennt das heute selbstverständlich. Die Softwarewelt hat vier Jahrzehnte gebraucht, um denselben Gedanken zu Ende zu denken.

🔬 Dieselbe Logik, digital

Am 11. September 2026 beginnt Phase 1 des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen binnen 24 Stunden melden. Eine SBOM – eine maschinenlesbare Stückliste aller verbauten Softwarekomponenten – wird Pflicht. Hersteller stellen Sicherheitsupdates fünf Jahre lang kostenlos bereit. Die Sprache ist vertraut: Stückliste, Rückrufpflicht, Gewährleistungszeitraum. Nur das Produkt ist digital.

SBOM on .kais blog

Das SBOM-Feigenblatt

🔍 Was beobachte ich?

🎯 Was soll eigentlich erreicht werden?

CRA – die stille Revolution ab September 2026

🌍 Ein Déjà-vu aus den Achtzigern

🔬 Dieselbe Logik, digital