Dank Low-Code rasch zur SBOM
Low-Code als schneller Weg zur SBOM-Konformität
Am 11.12.2024 trat der Cyber Resilience Act (CRA) der EU in Kraft, die Übergangsfrist endet 2027. Unternehmen müssen dann transparent dokumentieren, aus welchen Bausteinen ihre Software besteht (Software Bill of Materials, SBOM). Firmen, die mit Low-Code-Plattformen arbeiten, sind hier im Vorteil.
Ob Datenschutz-Grundverordnung (DSGVO), Digital Operational Resilience Act (DORA) oder CRA/SBOM – die Vorbereitung auf neue regulatorische Vorgaben bringt für Unternehmen stets intensive Transformationsphasen mit sich. Oft stehen alle Beteiligten vor der Aufgabe, weitreichende Änderungen in kurzer Zeit zu bewältigen. Übergangsfristen werden dabei oft vollständig ausgeschöpft. Gerade bei so komplexen Themen wie der Integration neuer Regularien in bestehende Prozesse und Strukturen ist eine enge Zusammenarbeit zwischen Unternehmen und ihren Service-Providern entscheidend, um fristgerecht und effizient Lösungen zu entwickeln.
Häufig ist zu beobachten, dass sich alle Beteiligten mindestens ein Jahr wie in einem riesigen Sturm befinden, bei dem kein Stein auf dem anderen bleibt. Der Sturm beginnt meist ein halbes Jahr vor der gesetzlichen Frist und endet gut ein halbes Jahr danach. Wenn sich der Staub gelegt hat, wird eruiert, wo man steht und was eventuell noch in die Wege geleitet oder optimiert werden muss.
Unternehmen, die bereits eine Low-Code-Plattform nutzen, haben den Vorteil, dass sie viel schneller auf neue Regularien reagieren können. Denn Prozesse lassen sich mit Low-Code zügig umgestalten oder neu aufsetzen. Auch ein kompletter Software-Entwicklungszyklus ist von vielen Monaten auf nur wenige Wochen reduzierbar. Low-Code-Plattformen stehen aber nicht nur für Geschwindigkeit und Flexibilität, sondern auch für kollaborative Entwicklung. Dank ihres visuellen Ansatzes und der Drag-and-Drop-Funktionen ermöglichen sie auch technisch weniger versierten Personen, aktiv an der Entwicklung von Anwendungen teilzunehmen. In sogenannten BizDevOps (Business, Development, Operations) bzw. Fusion-Teams, die aus professionellen Entwicklern und Mitarbeitenden der involvierten Fachabteilung bestehen, lassen sich mehr Applikationen in besserer Qualität realisieren. Fusion-Teams beschleunigen alle Entwicklungsphasen im Projekt, indem sie Wissenssilos aufbrechen und den Austausch von Feedback und Know-how fördern. Dieser kollaborative Ansatz minimiert Engpässe seitens der IT und optimiert den gesamten Entwicklungsprozess.
Darüber hinaus leisten Low-Code-Plattformen auch gute Dienste, wenn es um Transparenz und Compliance geht. Denn Low-Code-Plattformen setzen auf zentralisierte Bibliotheken und eine automatisierte Dokumentation. Das bedeutet: Die Plattform selbst führt bereits Buch darüber, welche Module, APIs oder Drittanbieter-Komponenten genutzt werden. Alle Beteiligten arbeiten damit in einem stark standardisierten Umfeld, das automatisch die Basis für eine SBOM-Dokumentation liefert.
Ein Blick auf die traditionelle Software-Entwicklung zeigt, wie mühselig eine SBOM-Generierung sein kann, also die Erstellung der vom CRA geforderten Software-Stückliste, die eine umfassende Übersicht aller in einem Produkt eingesetzten Softwarekomponenten bietet. Abhängigkeiten aus diversen Inhouse-Entwicklungen sowie externen Programmen und Services müssen oft erst aufwendig identifiziert, geprüft und dokumentiert werden. Der Aufwand steigt exponentiell mit der Komplexität der Anwendungen. Low-Code-Plattformen dagegen ermöglichen eine Echtzeitübersicht auf Knopfdruck. Diese automatisierte Transparenz spart nicht nur Zeit und Geld, sondern reduziert auch das Risiko von Compliance-Verstößen, die durch unvollständige SBOMs entstehen können.
Low-Code als Faktor für Agilität und Resilienz
Der CRA ist ein Vorgeschmack auf zukünftige Regulierungen im IT-Sektor, besonders im Hinblick auf das, was rund um KI zu erwarten ist, auch im Rahmen des EU AI Act. Unternehmen, die auf Low-Code setzen, investieren nicht nur in Agilität, sondern auch in langfristige Resilienz. Sie machen sich unabhängig von den Hürden der traditionellen Software-Entwicklung und sind gut gerüstet, um neuen Anforderungen gelassen entgegenzusehen. Denn Low-Code-Plattformen wie die von Mendix stellen Nutzern teils mehrere hundert Updates und neue Funktionalitäten pro Quartal zur Verfügung. Damit lässt sich auf neue regulatorische Anforderungen zeitnah reagieren.
Viele Entscheider betrachten schon heute die Einführung oder den Ausbau von Low-Code-Initiativen als strategischen Hebel – nicht nur für die Einhaltung von SBOM-Vorgaben, sondern auch als Grundlage für zukünftige Innovation. Eine weltweite Mendix-Studie unter 2000 Führungskräften bestätigt dies: 98 Prozent der Unternehmen setzen Low-Code als Teil ihres Entwicklungsprozesses ein, und für 75 Prozent der Befragten verbessert Low-Code die Innovationsfähigkeit ihres Unternehmens in hohem Maße. 75 Prozent der IT-Führungskräfte geben an, dass ihr C-Level in Low-Code die einzige Programmieroption für die Zukunft sieht.
Sicherheit gleich ab der Ideenfindung mitdenken
Unabhängig von gesetzlichen Vorgaben muss das C-Level künftig noch mehr in Security und entsprechende Konzepte investieren. Außerdem sollte das Management in der gesamten Organisation ein hohes Security-Bewusstsein schaffen, damit nicht allein CISOs und ihre Teams für ein abgesichertes Unternehmen sorgen. Wichtig wäre daher, dass sich das Secure-by-Design-Konzept weiter durchsetzt und Security von Anfang an mitgedacht wird. Es sollten also keine Applikationen oder Produkte mehr entwickelt werden, die man erst nach der Fertigstellung irgendwie sicher machen muss, so als würde man ein Klebeband darum wickeln und hoffen, dass schon nichts passieren wird.
Die Zeit, sich mit den SBOM-Anforderungen im Rahmen des CRA und den Vorteilen von Low-Code-Plattformen auseinanderzusetzen, ist jetzt. Entscheider, die noch kein Risiko-Assessment durchgeführt haben, sollten dies schnellstmöglich in die Wege leiten und so herausfinden, ob und in welchem Umfang sie vom CRA betroffen sind, was die Auswirkungen sind und welche Schritte vonnöten sind, um bis Ende 2027 allen gesetzlichen Anforderungen gerecht zu werden und überhaupt noch Produkte im europäischen Markt absetzen zu können. Ist das nicht gegeben, geht es für viele Unternehmen um den Verlust eines riesigen Absatzmarkts. Das sollte Ansporn genug sein, um gemeinsam mit seinen Partnern an einer CRA-Strategie zu arbeiten und mit Hilfe einer Low-Code-Plattform auch künftig resilienter für weitere Regulierungen zu werden.
Nähere Infos zum Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die verbindliche Anforderungen zur Cybersicherheit für Produkte mit digitalen Elementen (PDE) vorsieht. Der CRA gilt für PDEs, die auf dem EU-Markt kommerziell angeboten werden. PDEs umfassen sowohl Software als auch Produkte, die aus Software und Hardware bestehen. Dies inkludiert sowohl eigenständige Software als auch das Internet of Things (IoT), Betriebstechnologie oder andere reale Geräte sowohl für B2B- als auch B2C-Kunden. Eine wesentliche Vorgabe des CRA ist die Bereitstellung einer Software Bill of Materials (SBOM), die eine umfassende Übersicht aller in einem Produkt eingesetzten Softwarekomponenten bietet. Der CRA schreibt das Erstellen einer SBOM vor, sie muss jedoch nicht veröffentlicht werden.
Der Autor:
Frank Baalbergen ist Chief Information Security Officer (CISO) von Mendix, ein Siemens-Unternehmen
Lesen Sie mehr zum Thema
