Wie verknüpft ein OEM ein SBOM mit einem Asset?

Kurz gesagt: OEMs sollten SBOMs über Softwareversionen und Konfigurationen mit Maschinen verknüpfen, diese Verbindung über den gesamten Lebenszyklus aufrechterhalten und sie bei jeder Softwareänderung aktualisieren.

Aus Sicht eines OEM ist es am sinnvollsten, das SBOM als Bestandteil der Maschinenkonfiguration zu behandeln – nicht als eigenständiges Dokument.

Jede Maschine sollte über eine eindeutige Asset-Identität verfügen (z. B. Seriennummer, Asset-ID oder Digital Twin). Das SBOM wird anschließend über die installierten Software- und Firmware-Versionen mit diesem Asset verknüpft – nicht ausschließlich über die einzelne physische Einheit. In der Praxis bedeutet dies, dass ein SBOM mehrere Maschinen abdecken kann, sofern diese denselben Software-Stack und dieselbe Version verwenden.

Beim Bau oder bei der Inbetriebnahme einer Maschine dokumentiert der OEM die Asset-ID, die installierten Firmware- und Softwareversionen sowie die zugehörige SBOM-Version. Bei einem Software- oder Firmware-Update wird auch die SBOM-Referenz des jeweiligen Assets aktualisiert.

Die physische Maschine bleibt unverändert – ihre Cyber-Konfiguration jedoch nicht. Die SBOM-Verknüpfung bildet diese Änderungen ab.

Für Skalierbarkeit verwalten OEMs SBOMs in der Regel zentral und verknüpfen sie mit Assets über ein Konfigurationsmanagementsystem, eine Asset- oder Flottenmanagementplattform oder ein Product-Lifecycle-Management-System (PLM).

Dieser Ansatz ermöglicht es dem OEM, bei Bekanntwerden einer Schwachstelle in einer bestimmten Softwarekomponente betroffene Maschinen schnell zu identifizieren und gezielte Updates bereitzustellen – genau im Sinne der CRA-Anforderungen.

Sprechen Sie mit unseren Experten, um zu erfahren, wie Sie SBOMs strukturiert und CRA-konform mit Ihren Assets verknüpfen sollten.