Was ist eine Cryptographic ­Bill­ of­ Materials (CBOM)?

This is some text inside of a div block.

by josheph bell

November 17, 2025

Eine Cryptographic­ Bill­ of­ Materials (CBOM) ist ein strukturiertes Inventar aller kryptografischen Komponenten, die in einem System, einer Software oder einem industriellen Gerät verwendet werden. Dazu gehören eingesetzte Algorithmen, Schlüssel, Zertifikate, Hash-Verfahren, Protokolle und kryptografische Bibliotheken. Die CBOM macht sichtbar, wie ein System Verschlüsselung, Authentifizierung und Integrität umsetzt. Dies unterstützt Unternehmen dabei, die eingesetzte Kryptografie nachzuvollziehen und Risiken fundiert zu bewerten — insbesondere in industriellen Umgebungen, in denen Verfügbarkeit und sichere Kommunikation zentrale Anforderungen darstellen.

CBOM Definition

Eine CBOM beschreibt die kryptografischen Elemente eines Systems oder Produkts. Sie umfasst typischerweise:

Verschlüsselungs- und Signatur­algorithmen

  • digitale Zertifikate und Schlüsselmaterial
  • verwendete Kryptografie­Bibliotheken
  • Sicherheitsprotokolle
  • Hash-Verfahren
  • sicherheitsrelevante Konfigurationsparameter

Damit ermöglicht eine CBOM eine klare und nachvollziehbare Dokumentation, welche kryptografischen Mechanismen in welcher Form eingesetzt werden.

CBOM Bestandteile

Je nach System enthalten CBOMs:

1. Algorithmen und Verfahren

Dokumentation von Verschlüsselungs- und Signaturverfahren.

2. Zertifikate und PKI-Elemente

Informationen zu Gültigkeit, Aussteller und Einsatzorten von Zertifikaten.

3. Schlüsselmaterial

Schlüsseltypen, -stärken und Speicherorte.

4. Kryptografie­ Bibliotheken

Informationen zu verwendeten Bibliotheken wie OpenSSL oder proprietären Industrie-Stacks.

5. Protokolle und Konfigurationen

Unterstützte Protokollversionen, Cipher Suites und sicherheitsrelevante Einstellungen.

6. Kontext- und Lifecycle-Daten

Einsatzorte, Abhängigkeiten und Dokumentation der Zuständigkeiten.

7. Bezug zu etablierten Formaten wie CycloneDX

Das Open-Source-Projekt CycloneDX stellt ein standardisiertes Format bereit, das die Beschreibung kryptografischer Komponenten unterstützt. Die CBOM-Funktionalität von CycloneDX ermöglicht eine strukturierte Darstellung kryptografischer Materialien in Software oder Geräten. Unternehmen können diese Formate nutzen, um Kryptografie systematisch zu dokumentieren und strukturierte Informationen auszutauschen.

Die CycloneDX-Spezifikation beschreibt dabei ausschließlich das Datenmodell — ohne Vorgaben, wie eine CBOM organisatorisch eingesetzt oder gefordert wird.

Bedeutung für Unternehmen

Die Dokumentation kryptografischer Elemente bietet Unternehmen mehrere praktische Vorteile:

  • Transparenz:

Übersicht über die eingesetzten kryptografischen Komponenten.

  • Risikobewertung:

Möglichkeit, veraltete oder unsichere Elemente zu identifizieren.

  • Strukturierte Verwaltung:

Unterstützung bei der Organisation von Zertifikaten, Schlüsseln und Konfigurationen.

  • Unterstützung von Sicherheitsprüfungen:

Bereitstellung klarer Informationen für interne Bewertungen, Audits oder technische Reviews.

Eine CBOM dient damit als technische Grundlage für die Analyse kryptografischer Sicherheit und erleichtert die Bewertung von Abhängigkeiten.

Relevanz für Industrie & OT-Umgebungen

In industriellen OT-Umgebungen sind kryptografische Komponenten oft über mehrere Geräte und Systeme verteilt. Viele Anlagen haben lange Lebenszyklen und enthalten proprietäre oder fest integrierte Kryptografie.

Eine CBOM kann in folgenden Situationen unterstützen:

  • Übersicht über die Kryptografie in Steuerungen, Sensoren oder Kommunikations­komponenten
  • Vergleich unterschiedlicher Kryptografie-Versionen in heterogenen Maschinenparks
  • Dokumentation der eingesetzten Mechanismen für technische Sicherheitsevaluierungen
  • Nachvollziehbarkeit von Zertifikats- und Schlüsselstrukturen

Beispiel aus der Fertigung:

Ein Produktionssystem besteht aus Maschinen mehrerer Hersteller. Die eingesetzte Kryptografie unterscheidet sich zwischen den Komponenten. Eine CBOM ermöglicht eine geordnete Dokumentation dieser Unterschiede und erleichtert technische Bewertungen.

Typische Herausforderungen

Bei der Erstellung einer CBOM können folgende Punkte auftreten:

  • verteilte kryptografische Informationen in verschiedenen Systemen
  • eingeschränkte Sichtbarkeit in OT-Geräten
  • fehlende zentrale Dokumentation
  • unterschiedliche Herstellerformate und Bibliotheken
  • Aufwand bei manueller Datenerfassung

Die Nutzung strukturierter Datenformate wie CycloneDX kann helfen, Informationen konsistent abzubilden.

Ausblick auf zukünftige Entwicklungen

Die CBOM ist ein technisches Werkzeug zur Dokumentation kryptografischer Elemente. Mit zunehmender Komplexität digitaler Systeme und Lieferketten wächst der Bedarf an klarer, standardisierter Dokumentation. Formate wie CycloneDX bieten hierfür eine strukturierte Basis. Die konkrete Anwendung einer CBOM hängt jedoch von den Anforderungen eines Unternehmens, den eingesetzten Produkten und den internen Prozessen ab. Eine CBOM definiert keine Sicherheitsanforderungen, sondern beschreibt ausschließlich eingesetzte kryptografische Materialien.

Erfahren Sie mehr über unsere Leistungen unter

https://www.bxc-consulting.com/our-service

und kontaktieren Sie uns für eine individuelle Beratung zur Dokumentation und Bewertung Ihrer kryptografischen Strukturen.