Unabhängiger Leitfaden zur Verordnung (EU) 2024/2847 · Status: in Kraft
Diese Seite ist eine automatische (KI-)Übersetzung und wurde nicht von einer Person geprüft.
Analyse · der CRA-Schwachstellenbehandlungszyklus

Schwachstellenanalyse und SBOM

Der CRA macht aus Ihrer Software-Stückliste eine fortlaufende Pflicht: Wissen Sie, was in Ihrem Produkt steckt, beobachten Sie diese Komponenten auf neue Schwachstellen und beheben und melden Sie sie innerhalb der Fristen von Artikel 14. Diese Seite erläutert den Kreislauf und das kostenlose Tool, das ihn umsetzt.

1

Erstellen Sie eine SBOM

Erstellen Sie eine maschinenlesbare Software-Stückliste, die mindestens Ihre direkten Abhängigkeiten abdeckt. Dies ist eine zwingende Anforderung und keine bloße Empfehlung.

So erstellen Sie es ↓
2

Auf Schwachstellen überwachen

Gleichen Sie jede Komponente fortlaufend mit aktuellen Schwachstellendaten ab (NVD, EUVD). Gebündelte Sammelbenachrichtigungen halten die 24-Stunden-Frist nicht ein.

Warum Zusammenfassungen nicht ausreichen ↓
3

Bewerten, beheben & melden

Dokumentieren Sie die Ausnutzbarkeit, liefern Sie eine Behebung aus und melden Sie aktiv ausgenutzte Schwachstellen ENISA und dem CSIRT innerhalb der Fristen von 24 Stunden / 72 Stunden / 14 Tagen.

Das Tool, das dies übernimmt ↓
Ein kontinuierlicher Kreislauf über den gesamten Unterstützungszeitraum des Produkts
Die Engine · führt die Schritte 2 und 3 aus · kostenlos, gehostet bei i46

CRA Vulnerability Analyzer

Laden Sie Ihre SBOM und Ihre Liste aktiver Schwachstellen hoch. Der Analyzer gleicht jede Komponente mit der National Vulnerability Database (NVD) und der EU Vulnerability Database (EUVD) ab, kennzeichnet End-of-Life-Komponenten und erstellt einen Konformitätsbericht, den Sie Ihrer technischen Dokumentation beifügen können.

Den Analyzer öffnen sbom.i46.cz · öffnet in einem neuen Tab
1Erstellen Sie eine SBOM mit syft (SPDX JSON) und eine Liste aktiver Schwachstellen mit debsecan.
2Laden Sie beide Dateien hoch; per Drag-and-drop oder durch Durchsuchen.
3Die Komponenten werden abgeglichen mit NVD und EUVD; der EOL-Status wird erfasst.
4Laden Sie eine Word-Bericht mit Risikobewertungen und EOL-Dokumentation.
Die Details hinter jedem Schritt

Anleitungen

Schritt 1 · Anleitung

Erstellen Sie eine konforme SBOM

Eine Software-Stückliste ist eine zwingende rechtliche Anforderung nach Anhang I, Teil II, Nummer (1). Dieser Leitfaden behandelt den vorgeschriebenen Umfang und das Format, wie man eine erstellt und wie sie in den Überwachungskreislauf einfließt.

1 · Rechtsgrundlage

Anhang I, Teil II („Anforderungen an die Schwachstellenbehandlung“), Nummer (1) verpflichtet Hersteller dazu, „Schwachstellen und Komponenten ermitteln und dokumentieren … unter anderem durch Erstellung einer Software-Stückliste (SBOM) in einem gängigen und maschinenlesbaren Format, die zumindest die Abhängigkeiten der obersten Ebene des Produkts abdeckt.“

Anders als manche Bestimmungen des CRA, die Auslegungsspielraum lassen, lässt die Pflicht, eine maschinenlesbare SBOM zu erstellen, die mindestens die Abhängigkeiten der obersten Ebene abdeckt, keine alternativen Ansätze zu.

2 · Verpflichtender Anwendungsbereich und Format

Abdeckung der Komponenten. Die SBOM muss alle Abhängigkeiten der obersten Ebene dokumentieren, die gesetzliche Untergrenze und nicht das empfohlene Ziel. Bilden Sie transitive (indirekte) Abhängigkeiten ab, wo immer dies möglich ist; eine oberflächliche SBOM erfüllt den Wortlaut des Gesetzes, ist aber für ein wirksames Schwachstellenmanagement oft unzureichend.

Format. Der CRA schreibt ein „allgemein verwendetes, maschinenlesbares Format“ vor. Zu den akzeptierten Formaten gehören:

  • SPDX (ISO/IEC 5962:2021): weit verbreitet, lizenzorientiert, geeignet für die Konformitätsdokumentation.
  • CycloneDX: sicherheitsorientiert, gut geeignet für Arbeitsabläufe der Schwachstellenverwaltung.
  • Andere strukturierte Formate (JSON, XML) aus anerkannten Werkzeugen sind im Rahmen der Mindestanforderung in der Regel zulässig.
Wichtig

Speichern Sie SBOMs nicht als PDF. Marktüberwachungsbehörden könnten ein PDF als nicht maschinenlesbar beanstanden. Speichern Sie die native JSON-, XML- oder Tag-Value-Ausgabe Ihrer Toolchain.

Erforderliche Metadatenfelder

FeldBeschreibung
KomponentennameEindeutige Kennung für die Bibliothek, das Paket oder das Modul
VersionGenaue Versionsangabe; Versionsbereiche sind nicht ausreichend
Lieferant / HerkunftName des Herausgebers, Anbieters oder Open-Source-Projekts
AbhängigkeitsbeziehungenDirekt vs. transitiv; Abhängigkeitsgraph, sofern möglich
Kryptografischer HashSHA-256 oder stärkere Integritätsprüfung pro Komponente
LizenzkennungSPDX-Lizenzausdruck (z. B. Apache-2.0, MIT)

3 · Erstellung Ihrer SBOM

Die meisten modernen Plattformen können SBOMs ohne zusätzliche Kosten automatisch beim Build erzeugen:

  • GitHub / Actions: Dependency Graph → SBOM exportieren (Settings → Code security). Erzeugt SPDX JSON.
  • GitLab: CycloneDX-Berichte werden vom CI/CD-Job zur Abhängigkeitsprüfung nativ erzeugt.
  • Syft (Anchore): Open-Source-CLI, das SPDX und CycloneDX für Container-Images, Dateisysteme und Paket-Manifeste erzeugt.
  • cdxgen: CycloneDX-SBOMs für npm, Maven, pip, Go, Rust und mehr.

Schwachstellenprüfung. Bevor Sie ein SBOM fertigstellen, prüfen Sie jede Komponente gegen Datenbanken bekannter Schwachstellen. Sowohl der Scanner von GitHub als auch Syft lassen sich integrieren mit Grype hierfür. Die Aufnahme einer Komponente mit einer bekannten, bereits behobenen Schwachstelle stellt einen unmittelbaren Verstoß gegen Anhang I dar und lässt keinen Auslegungsspielraum zu.

Warnung · bekannte Schwachstelle = Verstoß

Wenn eine gepatchte Version einer Komponente vorhanden ist, müssen Sie diese verwenden. Für behobene Schwachstellen gibt es im Rahmen der CRA keine Kategorie „Risiko akzeptiert“. Reagieren Sie auf jeden Befund, bevor Sie das Produkt in Verkehr bringen.

4 · Wartung und Aufbewahrung über den Lebenszyklus

Ein SBOM ist ein lebendiges Artefakt, das über den unterstützten Lebenszyklus des Produkts hinweg kontinuierlich aktualisiert wird, um gepatchte Komponenten, neue Abhängigkeiten, entfernte End-of-Life-Komponenten und Änderungen in der Lieferkette abzubilden. Alle Versionen der technischen Dokumentation, einschließlich der SBOMs, müssen mindestens 10 Jahre ab dem ersten Inverkehrbringen aufbewahrt werden…

Vollständigen Leitfaden lesen

Abschnitte 4–9: Lebenszyklus, Sanktionen, BSI TR-03183-2 und die Bereitschafts-Checkliste

Der Rest des Leitfadens behandelt die zehnjährige Aufbewahrungspflicht, Vertraulichkeit und Offenlegung in der Lieferkette, die Verzahnung mit der Schwachstellenmeldung nach Artikel 14, die Überwachungshäufigkeit, die strengeren BSI-Regeln in Deutschland, die Bußgelder (bis zu €15 Mio. oder 2,5 % des Umsatzes) und eine einsatzbereite Bereitschafts-Checkliste.

Wir nehmen Sie in den CRA-Newsletter auf. Jederzeit abbestellbar. Kein Spam. Siehe unsere Datenschutzerklärung.
Weitermachen

Zugehörige Tools und Analysen

Konformitätsmatrix

Jede Pflicht im Lebenszyklus mit ihrem Artikelverweis; verfolgen Sie Ihren Fortschritt und laden Sie die vollständige Checkliste herunter.

Die Matrix öffnen →

Aktueller Stand

Wo der CRA heute steht: Durchführungsrechtsakte, harmonisierte Normen und der Weg bis Dezember 2027.

Aktuellen Stand lesen →

Kostenrechner

Eine Richtschätzung der voraussichtlichen Kosten für das Erreichen und Aufrechterhalten der Konformität.

Den Rechner öffnen →