{"id":5377358,"date":"2024-01-23T08:38:00","date_gmt":"2024-01-23T07:38:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=5377358"},"modified":"2025-01-26T10:25:09","modified_gmt":"2025-01-26T09:25:09","slug":"sbom-software-bills-of-materials","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","title":{"rendered":"SBOM: Software Bill of Materials"},"content":{"rendered":"\n<p>Gesetze und Normen verpflichten Medizinproduktehersteller zur Software Bill of Materials, der SBOM. Standardisierte SBOM-Formate reichen allerdings nicht immer aus, um diese Anforderungen zu erf\u00fcllen.<\/p>\n\n\n\n<p>Insbesondere Medizinproduktehersteller, die f\u00fcr ihre Software keine SBOM ausliefern und nutzen, sind im Markt nicht mehr akzeptiert. Hier sind die Gr\u00fcnde.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. SBOM: Die Grundlagen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Was ist eine \u201cSoftware Bill of Materials\u201d?<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Definition des Begriffs \u201eSBOM\u201c<\/h4>\n\n\n\n<p>Die &#8222;Software Bill of Materials&#8220; (SBOM) ist eine verschachtelte Liste von Software-Komponenten, aus denen ein Software-System besteht. Mit dieser Inventarliste machen die Hersteller transparent, aus welchen eindeutig identifizierbaren Komponenten in welchen Versionen ihre Software-Produkte bestehen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition der EU des Begriffs SBOM (deutsch: \u201eSoftware-St\u00fcckliste\u201c)<\/span><\/div>\n<p>Eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind;<\/p>\n\n\n\n<p class=\"has-text-align-right\"><a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/HTML\/?uri=CELEX:52022PC0454\">EU Cyber Resilience Act<\/a>, Artikel 3, Abschnitt 37<\/p>\n<\/div>\n\n\n\n<p>SBOMs bilden die Hierarchie der Komponenten ab, aus denen Software-Produkte bestehen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-1.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"454\" height=\"380\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-1.png\" alt=\"Eine SBOM in Tabellenform offenbart, welche Komponente in welcher Version und von welchem Hersteller in welchem Produkt verwendet wird\" class=\"wp-image-5377361\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-1.png 454w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-1-300x251.png 300w\" sizes=\"auto, (max-width: 454px) 100vw, 454px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Eine SBOM in Tabellenform offenbart, welche Komponente in welcher Version und von welchem Hersteller in welchem Produkt verwendet wird. (S. 16 in <a href=\"https:\/\/www.ntia.gov\/files\/ntia\/publications\/ntia_sbom_framing_2nd_edition_20211021.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Quelle<\/a>)<\/figcaption><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\">Abgrenzung der SBOM von der SOUP-Liste<\/h4>\n\n\n\n<p>Die SBOM und die Liste der verwendeten SOUPs sind nicht identisch:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>SOUP<\/strong><\/td><td><strong>SBOM<\/strong><\/td><\/tr><tr><td>Die SOUP-Liste listet \u201enur\u201c die Software-Komponenten, die im Medizinprodukt selbst enthalten sind.<\/td><td>Die SBOM kann auch Systemkomponenten um das Medizinprodukt herum enthalten, von denen das Produkt abh\u00e4ngig ist.<\/td><\/tr><tr><td>Eine SOUP ist eine Software-Komponente, die nicht konform der IEC 62304 entwickelt wurde.<\/td><td>Die SBOM unterscheidet dies nicht.<\/td><\/tr><tr><td>Auch selbst entwickelte Software-Komponenten, die Teil des Medizinprodukts sind, aber nicht IEC 62304-konform entwickelt wurden, z\u00e4hlen zur SOUP.<\/td><td>Die SBOM unterscheidet keine Typen selbst entwickelter Software.<\/td><\/tr><tr><td>Die SOUP-Liste ist i. d. R. eine \u201eflache Liste\u201c.<\/td><td>Die SBOM kann die Hierarchie von Komponenten enthalten.<\/td><\/tr><tr><td>Eine SOUP-Liste ist als Teil der Technischen Dokumentation meist ein eigenst\u00e4ndiges Dokument oder ein Teil dessen (z. B. Teil der Software-Architektur).<\/td><td>SBOMs sind maschinenlesbar.<\/td><\/tr><tr><td>Die SOUP-Liste ist als Teil der Technischen Dokumentation ein internes Dokument.<\/td><td>Die SBOM wird Betreibern zur Verf\u00fcgung gestellt (Gesundheitsdienstleistern wie Krankenh\u00e4usern).<\/td><\/tr><tr><td>Die SOUP-Liste enth\u00e4lt f\u00fcr jeden Eintrag die erforderlichen Attribute, um die jeweilige SOUP-Komponente zu identifizieren.<\/td><td>Die Eintr\u00e4ge einer SBOM verf\u00fcgen \u00fcber mehr Attribute als die Elemente einer SOUP-Liste. Beispiele sind HASH\/Signatur, Link zur Host-Komponente, weltweit eindeutige ID etc.)<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tabelle 1: Unterschiede zwischen SOUP-Liste und SBOM<\/figcaption><\/figure>\n\n\n\n<p><strong>Fazit<\/strong>: Sowohl SOUPs in der IEC 62304 als auch SBOMs dienen der Identifizierung und Verwaltung von Softwarekomponenten. Sie stammen aber aus unterschiedlichen Kontexten und dienen unterschiedlichen Zwecken:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die SOUP ist ein Konzept, das spezifisch ist f\u00fcr Software f\u00fcr medizinische Ger\u00e4te, insbesondere im Zusammenhang mit der Gew\u00e4hrleistung der Sicherheit und Wirksamkeit dieser Software.<\/li>\n\n\n\n<li>Das Konzept der SBOM ist breiter und wird in verschiedenen Branchen zur Verwaltung von Software-Lieferketten und zur Verbesserung der Cybersicherheit verwendet, indem es Transparenz \u00fcber die in einem System verwendeten Software-Komponenten schafft.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Was sind die Ziele von SBOMs?<\/h3>\n\n\n\n<p>Die SBOMs sollen sowohl den Herstellern als auch deren Kunden (z. B. den Betreibern der Software) und den Aufsichtsbeh\u00f6rden bzw. Benannten Stellen dienen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Ziele der Hersteller<\/h4>\n\n\n\n<p>Die Hersteller verfolgen mit den SBOMs mehrere Ziele:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sie erf\u00fcllen ihre <strong>regulatorischen Anforderungen<\/strong> (mehr dazu weiter unten).<\/li>\n\n\n\n<li>Die <strong>Lizenzbedingungen<\/strong> von Open-Source-Software enthalten die Pflicht zu offenbaren, dass diese Open-Source-Software Teil des Produkts ist.<\/li>\n\n\n\n<li>Hersteller m\u00fcssen <strong>Schwachstellen<\/strong> in den verwendeten Komponenten schnell finden \u2013 z. B. durch einen Abgleich mit der NIST-Datenbank \u2013 und beheben. Das setzt voraus, dass sie genau wissen, welche Komponenten ihr Produkt enth\u00e4lt. Die SBOM erm\u00f6glicht es, diese Schwachstellenanalyse zu automatisieren.<\/li>\n\n\n\n<li>Diese Kenntnis hilft auch bei der <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/risikoanalyse\/\"><strong>Risikoanalyse<\/strong><\/a>, insbesondere bei der <a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/fmea-bei-medizinprodukten\/\">FMEA<\/a>. Denn diese Analysemethode startet mit der Annahme, dass die Komponenten eines Produkts fehlerbehaftet sind.<\/li>\n\n\n\n<li>Diese Analyse m\u00fcssen Hersteller auch in der Post-Market-Phase fortf\u00fchren, insbesondere als Teil der <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/post-market-surveillance\/\">Post-Market Surveillance<\/a><\/strong>.<\/li>\n\n\n\n<li>Bei der <strong>Entwicklung<\/strong> ist es wichtig zu wissen (und festzulegen), welche Komponenten in welchen Versionen zum Einsatz kommen. Versionskonflikte und redundante Komponenten verursachen regelm\u00e4\u00dfig ein Fehlverhalten der Software und erschweren die Fehlersuche und -behebung. Die SBOM wird damit zum Teil des <strong>Konfigurationsmanagements<\/strong>.<\/li>\n\n\n\n<li>Schlie\u00dflich kann die SBOM Teil der <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/lieferantenbewertung-lieferantenauswahl-lieferantenaudit\/\">Lieferantenlenkung<\/a><\/strong> sein. Sie verkn\u00fcpft die Komponenten mit den Lieferanten und den Anforderungen an deren Prozesse und Produkte (die Komponenten). Sie erleichtert die Kommunikation zwischen Hersteller und Lieferant, indem sie die Komponenten eindeutig identifiziert und dem jeweiligen Lieferanten zuordnet.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Ziele der Betreiber<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Betreiber k\u00f6nnen anhand der SBOM feststellen, ob sie von einer Sicherheitsl\u00fccke betroffen sind, welche sie dem Hersteller oder einer \u201eVulnerability-Datenbank\u201c melden und ggf. selbst beseitigen m\u00fcssen.<\/li>\n\n\n\n<li>Bei der Installation sind SBOMs n\u00fctzlich, um Versionskonflikte von Komponenten zu erkennen und zu vermeiden. Solche Konflikte treten beispielsweise auf, wenn ein Betreiber mehrere Produkte (von mehreren Herstellern) auf einer Plattform installiert.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Ziele der Beh\u00f6rden und Benannten Stellen<\/h4>\n\n\n\n<p>Beh\u00f6rden und Benannten Stellen m\u00fcssen sicherstellen, dass Hersteller die regulatorischen Anforderungen erf\u00fcllen. <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn ein Hersteller eine SBOM vorlegen kann, so ist das ein Indiz f\u00fcr eine Konformit\u00e4t. <\/li>\n\n\n\n<li>Falls der Hersteller zudem plausibel darlegt, wie er die SBOM (automatisiert) erstellt, spricht das auch daf\u00fcr, dass er sein System kennt und das Konfigurationsmanagement im Griff hat.<\/li>\n<\/ul>\n\n\n\n<p>Beides hilft Beh\u00f6rden und Benannten Stellen, ihren eigenen regulatorischen Anforderungen gerecht zu werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Regulatorische Anforderungen<\/h2>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Zusammenfassung f\u00fcr eilige Leser<\/span><\/div>\n<p>Die FDA fordert explizit SBOMs. In anderen Rechtsbereichen sind die SBOMs unverzichtbar, weil sie Stand der Technik sind und ohne sie andere gesetzliche Pflichten nicht erf\u00fcllt werden k\u00f6nnen.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">a) EU-Anforderungen<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Anforderungen spezifisch f\u00fcr Medizinprodukte<\/h4>\n\n\n\n<p>Die <strong>MDR <\/strong>und analog die IVDR fordern im <a href=\"https:\/\/mdr-konsolidiert.johner-institut.de\/mdr_de.html#annex-I\">Anhang I<\/a>, Abschnitt 17.2 keine SBOM, sondern \u201enur\u201c IT-Sicherheit nach Stand der Technik. Aber SBOMs sind Stand der Technik.<\/p>\n\n\n\n<p>Die <strong>MDCG 2019-16<\/strong> rev. 1 verpflichtet ebenfalls nicht explizit dazu, SBOMs zu verwenden. Sie fordert aber das Vulnerability-Monitoring.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201cThis may include the infield monitoring of the software\u2019s vulnerabilities and the possibility to perform a device update (outside the context of a field safety corrective action) through, for example delivering patches to ensure the continued security of the device.\u201d<\/p>\n<cite>MDCG 2019-16 rev. 1<\/cite><\/blockquote>\n\n\n\n<p>Ohne SBOM ist es schwierig, diesen Prozess zu automatisieren und sinnvoll umzusetzen.<\/p>\n\n\n\n<p>Auch die <strong>IEC 81001-5-1<\/strong> als zuk\u00fcnftige harmonisierte Norm fordert nicht explizit die SBOM. Aber sie schreibt:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>\u201cThe software bill of material (SBOM) is a documentation that tracks all incorporated software.\u201d<\/em><\/p>\n<cite>IEC 81001-5-1, Anmerkung in E.2.4<\/cite><\/blockquote>\n\n\n\n<p>Die <strong>IEC TR 60601-4-5<\/strong> wendet sich mit ihren Anforderungen an medizinische elektrische Systeme und ist ausdr\u00fccklich auch auf Software als Medizinprodukt anwendbar. Diese Norm beschreibt die \u201cSecurity Bill of Material\u201d:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201cA SECURITY concept related cyber SECURITY Bill of Material including but not limited to a list of commercial, open source, and off-the-shelf software and hardware components. The list should enable the target groups to effectively manage their ASSETS, to understand the potential impact of identified vulnerabilities to the MEDICAL DEVICE (and the connected&nbsp; IT-NETWORK), and to deploy COUNTERMEASURES to maintain the ESSENTIAL FUNCTION of the MEDICAL DEVICE.\u201d<\/p>\n<cite>IEC TR 60601-4-5<\/cite><\/blockquote>\n\n\n\n<p>Die Auslegung der <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/benannte-stellen\/\">Benannten Stellen<\/a><\/strong> ist noch zur\u00fcckhaltend. Weder das <a href=\"https:\/\/www.ig-nb.de\/fileadmin\/user_upload\/ig-nb\/Questionnaire_Cybersecurity_for_Medical_Devices_-_Technical_Documentation_-_Version_1.pdf\">Positionspapier der IG-NB<\/a> noch das <a href=\"https:\/\/www.team-nb.org\/wp-content\/uploads\/2022\/10\/Team-NB-PositionPaper-CyberSecurity-V1-20221005.pdf\">Positionspapier des TEAM-NB<\/a> erw\u00e4hnen die SBOM.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Anforderungen an alle Produkte<\/h4>\n\n\n\n<p>Der <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=celex%3A52022PC0454\">Cyber Resiliance Act<\/a> schlie\u00dft Medizinprodukte zwar aus, weil sie bereits einer vertikalen Gesetzgebung folgen. Es ist dennoch interessant, dass dieses Gesetz an 13 Stellen von der \u201cSoftware-St\u00fcckliste\u201d (SBOM) spricht.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>Die Hersteller der Produkte mit digitalen Elementen m\u00fcssen (1) Schwachstellen und Komponenten des Produkts ermitteln und dokumentieren, u.&nbsp;a. durch Erstellung einer Software-St\u00fcckliste in einem g\u00e4ngigen maschinenlesbaren Format, aus der zumindest die obersten Abh\u00e4ngigkeiten des Produkts hervorgehen;<\/em><\/p>\n<cite>Cyber Resilience Act, Anhang I, Abschnitt 2<\/cite><\/blockquote>\n\n\n\n<p>Um die Umsetzung des bisher nicht ver\u00f6ffentlichten Gesetzes praktikabler zu machen, hat das BSI die <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr03183\/TR-03183_node.html\">Technische Richtlinie TR03183<\/a> erlassen. Der Teil <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03183\/BSI-TR-03183-2.pdf?__blob=publicationFile&amp;v=3\">TR03183-2<\/a> hat den Titel \u201eSoftware Bill of Materials (SBOM)\u201c und formuliert die entsprechenden Anforderungen. Diese k\u00f6nnen als allgemeing\u00fcltiger Stand der Technik verstanden werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Anforderungen der FDA<\/h3>\n\n\n\n<p>W\u00e4hrend in Europa die Forderungen nach einer SBOM meist nicht explizit formuliert werden, besteht die FDA schon l\u00e4nger auf einer \u201cCybersecurity Bill of Materials\u201d, die auch Hardware einschloss.<\/p>\n\n\n\n<p>Mit dem Omnibus Act auf nationaler Ebene wurde die SBOM schlie\u00dflich gesetzlich verpflichtend und wird jetzt auch im aktuellen <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions\">finalen Cybersecurity-Dokument<\/a> gefordert.<\/p>\n\n\n\n<p>Es verweist auf die <a href=\"https:\/\/www.ntia.gov\/files\/ntia\/publications\/ntia_sbom_framing_2nd_edition_20211021.pdf\">Spezifikationen der National Telecomunications and Information Administration (NTIA)<\/a>. Diese spezifizieren auch die Inhalte der SBOMs (Baseline und Options). Die FDA fordert grundlegende Attribute ein (\u201cbaseline attributes&#8220;, Quelle: Seite 17 <a href=\"https:\/\/www.fda.gov\/media\/119933\/download\">dieses Dokuments<\/a>).<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Die <a href=\"https:\/\/www.nist.gov\/itl\/executive-order-14028-improving-nations-cybersecurity\">Executive Order 14028 der US-amerikanischen Regierung<\/a> verpflichtet Zulieferer von US-Beh\u00f6rden, eine Software Bill of Materials beizulegen.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">c) Anforderungen in anderen M\u00e4rkten<\/h3>\n\n\n\n<p>Auch in anderen M\u00e4rkten gibt es eine explizite Anforderung nach SBOMs.<\/p>\n\n\n\n<p>Dazu z\u00e4hlen die <a href=\"https:\/\/www.imdrf.org\/documents\/principles-and-practices-medical-device-cybersecurity\">\u201ePrinciples and Practices\u201c der IMDRF zur Cybersecurity<\/a> sowie ein <a href=\"https:\/\/www.imdrf.org\/documents\/principles-and-practices-software-bill-materials-medical-device-cybersecurity\">Guidance Document<\/a> dazu.<\/p>\n\n\n\n<p>China hat dezidierte Cybersecurity-Leitlinien f\u00fcr Medizinprodukte publiziert. Dazu z\u00e4hlen die <a href=\"https:\/\/www.cmde.org.cn\/xwdt\/zxyw\/20220309085600367.html\">Guidelines for the Review of Medical Device Cybersecurity Registration<\/a> (\u00fcberarbeitet 2022). Sie nennen die SBOM:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201c16. Off-the-shelf software list (SBOM): The ability of the product to provide the user with a full list of off-the-shelf software.\u201d<\/p>\n<cite><a href=\"https:\/\/www.cmde.org.cn\/xwdt\/zxyw\/20220309085600367.html\">Guidelines for the Review of Medical Device Cybersecurity Registration<\/a> (Nr. 7, 2022)<\/cite><\/blockquote>\n\n\n\n<p>Die SBOM wird also nicht nur als Dokument erwartet, sondern gleich mit einem Zweck (Ver\u00f6ffentlichung gegen\u00fcber Betreiber) verkn\u00fcpft.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. SBOM: Standardisierte Formate<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) \u00dcberblick \u00fcber die Formate<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">SPDX und CyclonDX<\/h4>\n\n\n\n<p><a href=\"https:\/\/spdx.dev\/\">SPDX<\/a> und <a href=\"https:\/\/cyclonedx.org\/\">CyclonDX<\/a> sind etablierte SBOM-Formate. Diese Formate legen das Dokumentenformat (JSON, XML) fest, identifizieren aber die Software-Komponenten nicht eindeutig. Daf\u00fcr nutzen sie weitere Formate wie CPE, PURE oder SWID (s. Abb. 2) sowie Check-Summen bzw. Hashes.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CyclonDX-Format-1.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"454\" height=\"219\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CyclonDX-Format-1.png\" alt=\"Eine SBOM im CyclonDX-Format listet einmal eine mit SWID und einmal eine mit PURL identifizierte Komponente.\" class=\"wp-image-5377363\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CyclonDX-Format-1.png 454w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CyclonDX-Format-1-300x145.png 300w\" sizes=\"auto, (max-width: 454px) 100vw, 454px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Eine SBOM im CyclonDX-Format listet einmal eine mit SWID und einmal eine mit PURL identifizierte Komponente.<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Sie finden <a href=\"https:\/\/github.com\/spdx\/spdx-spec\/tree\/development\/v2.2.2\/examples\">hier Beispiele f\u00fcr SBOMs im SPDX-Format<\/a> (als JSON, XML-, Excel-, YAML- und RDF-Datei).<\/p>\n<\/div>\n\n\n\n<p>Die Attribute all dieser Formate \u00fcberlappen sich teilweise.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/Vergleich-SBOM-Formate.png\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"454\" height=\"402\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/Vergleich-SBOM-Formate.png\" alt=\"Viele Attribute, mit denen Komponenten identifiziert werden, finden sich in den verschiedenen Formaten (Abschnitt 2.4 in Quelle)\" class=\"wp-image-5377364\" style=\"width:840px;height:auto\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/Vergleich-SBOM-Formate.png 454w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/Vergleich-SBOM-Formate-300x266.png 300w\" sizes=\"auto, (max-width: 454px) 100vw, 454px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 3: Viele Formate enthalten die relevanten Attribute, um die Komponenten zu identifizieren (Abschnitt 2.4 in <a href=\"https:\/\/www.ntia.gov\/files\/ntia\/publications\/ntia_sbom_framing_2nd_edition_20211021.pdf\">Quelle<\/a>).<\/figcaption><\/figure>\n\n\n\n<p>Konverter erlauben die Umwandlung von SPDX-Dateien in CycloneDX-Dateien und umgekehrt.<\/p>\n\n\n\n<p>Wie oben gezeigt, gelingt die eindeutige Identifikation der Software-Komponenten mit weiteren Standards wie CPE, PURL und SWID. Besonders relevant sind die beiden erstgenannten.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">CPE<\/h4>\n\n\n\n<p>Das <a href=\"https:\/\/nvd.nist.gov\/products\/cpe\">NIST pflegt eine Liste an Komponenten<\/a> im <a href=\"https:\/\/de.wikipedia.org\/wiki\/Common_Platform_Enumeration\">Common Platform Enumeration<\/a> (CPE).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CPE-Format.png\" data-rel=\"lightbox-image-3\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"454\" height=\"177\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CPE-Format.png\" alt=\"Ausschnitt aus dem CP Dictionary der NIST\" class=\"wp-image-5377365\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CPE-Format.png 454w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/CBOM-CPE-Format-300x117.png 300w\" sizes=\"auto, (max-width: 454px) 100vw, 454px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 4: Ausschnitt aus dem <a href=\"https:\/\/nvd.nist.gov\/products\/cpe\">CP Dictionary der NIST<\/a><\/figcaption><\/figure>\n\n\n\n<p>Das NIST erstellt auch die Liste der \u201eCommon Vulnerabilities\u201c. Die Formate CPE und CVE (Common Vulnerability Enumeration) sowie CVSS sind Teil des Security Content Automation Protocols (SCAP).<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">PURL<\/h4>\n\n\n\n<p>PURL verfolgt einen dezentralen Ansatz. Hier vergibt der Hersteller selbst die Attribute. Das \u00e4hnelt dem Ansatz bei Maven mit den GAV-Parametern. GAV steht f\u00fcr<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Group-ID (z. B. org.apache.commons)<\/li>\n\n\n\n<li>Artifact-ID (z. B. commons-math) und<\/li>\n\n\n\n<li>Version (z. B. 2.0).<\/li>\n<\/ul>\n\n\n\n<p>Im Gegensatz zu CPE lassen sich die Artefakte bzw. Komponenten granularer darstellen. Beispielsweise unterscheidet PURL bei Log4j zwischen log4j-core und log4-api; CPE hingegen nicht (s. Tabelle 2).<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Attribut<\/strong><\/td><td><strong>CPE<\/strong><\/td><td><strong>Paketmanager (Maven)<\/strong><\/td><\/tr><tr><td>Hersteller bzw. Namespace<\/td><td>apache<\/td><td>org.apache.logging.log4j<\/td><\/tr><tr><td>Name der Komponente<\/td><td>log4j<\/td><td>log4j-core<\/td><\/tr><tr><td>Version der Komponente<\/td><td>2.0<\/td><td>2.0<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tabelle 2: Vergleich der Attribute im CPE-Format und bei Maven<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">b) Erf\u00fcllung regulatorischer Anforderungen durch die Formate<\/h3>\n\n\n\n<p>Bedauerlicherweise sind die Attribute in den Standardformaten nicht so vollst\u00e4ndig definiert, dass damit alle gesetzlichen Anforderungen erf\u00fcllt sind. So unterscheidet die IEC 81001-5-1 bei Komponenten den Status \u201cmaintained\u201d, \u201csupported\u201d oder \u201crequired\u201d. Dieser Status ist kein Attribut der Standardformate.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Hinweis<\/span><\/div>\n<p>Es liegt in der Entscheidung der Hersteller, ob sie diese Informationen manuell erg\u00e4nzen oder sich auf die etablierten Formate als Stand der Technik beschr\u00e4nken.<\/p>\n<\/div>\n\n\n\n<p>Die strengsten Anforderungen stellt die FDA (\u201cbaseline attributes&#8220;, Seite 17 <a href=\"https:\/\/www.fda.gov\/media\/119933\/download\">dieses Dokuments<\/a>). Diese entsprechen den Anforderungen der US National Telecommunications and Information Administration (NTIA) und sind durch die o. g. Formate abgedeckt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Arbeiten mit SBOMs<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Automatisches Erzeugen von SBOMs<\/h3>\n\n\n\n<p>Hersteller sollten eine SBOM automatisiert und als Teil ihrer <a href=\"https:\/\/de.wikipedia.org\/wiki\/CI\/CD\">CI\/CD-Pipeline<\/a> erzeugen. Dazu bieten sich Plugins an wie das <a href=\"https:\/\/github.com\/CycloneDX\/cyclonedx-maven-plugin\">CycloneDX-Maven-Plugin<\/a> oder das <a href=\"https:\/\/www.npmjs.com\/package\/@cyclonedx\/bom\">npm-Meta-Package \u201eCycloneDX BOM\u201c<\/a>. Microsoft hat ein <a href=\"https:\/\/github.com\/microsoft\/sbom-tool\">\u201esbom-tool\u201c bei Github<\/a> ver\u00f6ffentlicht. <\/p>\n\n\n\n<p>Hilfreich ist auch die <a href=\"https:\/\/owasp.org\/www-community\/Component_Analysis#tools-listing\">Tool-Liste der OWASP<\/a>.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Empfehlenswert sind au\u00dferdem Plugins, die die Abh\u00e4ngigkeiten von Bibliotheken und Packages automatisiert analysieren und visuell darstellen. Ein Beispiel ist <a href=\"https:\/\/docs.oracle.com\/javase\/8\/docs\/technotes\/tools\/unix\/jdeps.html\">Oracles JDeps<\/a> f\u00fcr Java.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) SBOMs bei der automatischen Erkennung von Schwachstellen<\/h3>\n\n\n\n<p>Ein wesentlicher Nutzen der SBOMs ist die automatisierte Identifizierung von Schwachstellen in Software-Produkten, die man verwendet oder selbst hergestellt hat.<\/p>\n\n\n\n<p>Dazu gleichen Tools die in der SBOM gelisteten Software-Komponenten mit den z. B. in der <a href=\"https:\/\/nvd.nist.gov\/vuln\">NIST-Datenbank<\/a> ver\u00f6ffentlichten Schwachstellen automatisch und regelm\u00e4\u00dfig ab.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipps<\/span><\/div>\n<p>Es sind unz\u00e4hlige kommerzielle und freie Tools verf\u00fcgbar. Eine Suche beispielsweise nach \u201esbom vulnerability check\u201c, ggf. erg\u00e4nzt durch \u201eopen source\u201c, f\u00f6rdert relevante Treffer zu Tage.<\/p>\n\n\n\n<p>Hersteller sollten mindestens w\u00f6chentlich einen Durchlauf durchf\u00fchren oder sich in Echtzeit mit Push-Benachrichtigung bei gefundenen Schwachstellen \u00fcber einem festgelegten CVSS-Wert informieren lassen.<\/p>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">5. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>Eine Software ohne SBOM auszuliefern, entspricht nicht dem Stand der Technik. In den USA ist es eine gesetzliche Anforderungen.<\/p>\n\n\n\n<p>Es gibt zahlreiche Tools, um die Software Bill of Materials zu erstellen und automatisiert mit den Schwachstellen-Datenbanken abzugleichen.<\/p>\n\n\n\n<p>Insbesondere Medizinproduktehersteller m\u00fcssen der Verantwortung f\u00fcr die (IT-)Sicherheit ihrer Produkte gerecht werden.<\/p>\n\n\n\n<p>Aus diesen Gr\u00fcnden gibt es keine Rechtfertigung mehr, auf das Arbeiten mit SBOMs zu verzichten.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p>Das Johner Institut unterst\u00fctzt Medizinproduktehersteller dabei, die gesetzlichen Anforderungen an die IT-Sicherheit ihrer Produkte schnell und ohne unn\u00f6tige Aufw\u00e4nde zu erf\u00fcllen und damit sichere Medizinprodukte in die M\u00e4rkte zu bringen.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security-pentesting\/\">Penetrationstests<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">Gestaltung des IT-Security-Entwicklungsprozesses<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/seminare\/weitere-seminare\/it-security\/\">Seminar zur IT-Sicherheit bei Medizinprodukten<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Gesetze und Normen verpflichten Medizinproduktehersteller zur Software Bill of Materials, der SBOM. Standardisierte SBOM-Formate reichen allerdings nicht immer aus, um diese Anforderungen zu erf\u00fcllen. Insbesondere Medizinproduktehersteller, die f\u00fcr ihre Software keine SBOM ausliefern und nutzen, sind im Markt nicht mehr akzeptiert. Hier sind die Gr\u00fcnde.<\/p>\n","protected":false},"author":74,"featured_media":5377366,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[184],"tags":[1187,1180,1188,1065,269,368,680],"ppma_author":[1213],"class_list":["post-5377358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iec-62304-medizinische-software","tag-diga","tag-mdr","tag-fda","tag-grundlegende-anforderungen","tag-medizinische-software","tag-soup","tag-standalone-software","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>SBOM: Software Bill of Materials<\/title>\n<meta name=\"description\" content=\"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"SBOM: Software Bill of Materials\" \/>\n<meta property=\"og:description\" content=\"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-23T07:38:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-01-26T09:25:09+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"806\" \/>\n\t<meta property=\"og:image:height\" content=\"617\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"12\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"SBOM: Software Bill of Materials\",\"datePublished\":\"2024-01-23T07:38:00+00:00\",\"dateModified\":\"2025-01-26T09:25:09+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/\"},\"wordCount\":2204,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/01\\\/SBOM-Komponenten-Hierarchie-Kopie.jpg\",\"keywords\":[\"Digitale Gesundheitsanwendungen (DiGA)\",\"EU Medical Device Regulation MDR (2017\\\/745)\",\"FDA - Medizinprodukte in den USA\",\"Grundlegende Sicherheits- und Leistungsanforderungen\",\"Medizinische Software \\\/ Medical Device Software\",\"SOUP - Software of Unknown Provenance\",\"Standalone-Software\"],\"articleSection\":[\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/\",\"name\":\"SBOM: Software Bill of Materials\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/01\\\/SBOM-Komponenten-Hierarchie-Kopie.jpg\",\"datePublished\":\"2024-01-23T07:38:00+00:00\",\"dateModified\":\"2025-01-26T09:25:09+00:00\",\"description\":\"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/01\\\/SBOM-Komponenten-Hierarchie-Kopie.jpg\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/01\\\/SBOM-Komponenten-Hierarchie-Kopie.jpg\",\"width\":806,\"height\":617,\"caption\":\"SBOM Hierarchie der Komponenten\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/sbom-software-bills-of-materials\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/iec-62304-medizinische-software\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"SBOM: Software Bill of Materials\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"SBOM: Software Bill of Materials","description":"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","og_locale":"de_DE","og_type":"article","og_title":"SBOM: Software Bill of Materials","og_description":"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2024-01-23T07:38:00+00:00","article_modified_time":"2025-01-26T09:25:09+00:00","og_image":[{"width":806,"height":617,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","type":"image\/jpeg"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"12\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"SBOM: Software Bill of Materials","datePublished":"2024-01-23T07:38:00+00:00","dateModified":"2025-01-26T09:25:09+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/"},"wordCount":2204,"commentCount":0,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","keywords":["Digitale Gesundheitsanwendungen (DiGA)","EU Medical Device Regulation MDR (2017\/745)","FDA - Medizinprodukte in den USA","Grundlegende Sicherheits- und Leistungsanforderungen","Medizinische Software \/ Medical Device Software","SOUP - Software of Unknown Provenance","Standalone-Software"],"articleSection":["Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","name":"SBOM: Software Bill of Materials","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","datePublished":"2024-01-23T07:38:00+00:00","dateModified":"2025-01-26T09:25:09+00:00","description":"Die SBOM (Software Bill of Materials) ist f\u00fcr Medizinprodukte-Hersteller unverzichtbar. Tools helfen beim Erstellen und Nutzen von SBOMs.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","width":806,"height":617,"caption":"SBOM Hierarchie der Komponenten"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"SBOM: Software Bill of Materials"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg","jetpack-related-posts":[{"id":8604,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","url_meta":{"origin":5377358,"position":0},"title":"Die FDA Cybersecurity Guidance Documents","author":"Christian Rosenzweig","date":"3. September 2025","format":false,"excerpt":"Die Cybersecurity von Medizinprodukten ist nicht nur ein Schwerpunkt der FDA, sondern auch anderer Gesetzgeber und Beh\u00f6rden, sowohl in den US als auch anderen M\u00e4rkten. Das ist nachvollziehbar, weil einerseits die Cybersecurity-Bedrohungen st\u00e4ndig zunehmen und andererseits die Medizinprodukte immer vernetzter und damit angreifbarer sind. Zudem ist die Patientenversorgung wie die\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"FDA Postmarket Cybersecurity Guidance Cocument","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":8913,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/imdrf\/","url_meta":{"origin":5377358,"position":1},"title":"IMDRF: International Medical Device Regulators Forum","author":"Christian Rosenzweig","date":"24. April 2023","format":false,"excerpt":"Das IMDRF (International Medical Device Regulators Forum)\u00a0m\u00f6chte zur Harmonisierung der\u00a0international unterschiedlichen\u00a0Vorschriften\u00a0beitragen und dadurch die Zulassung von Medizinprodukten vereinheitlichen und vereinfachen. Dazu ver\u00f6ffentlichen die Freiwilligen des IMDRF Leitf\u00e4den, die zwar nicht verbindlich sind, aber Hilfestellungen geben. Dieser Artikel stellt Ihnen ausgew\u00e4hlte Leitf\u00e4den vor. Weiterf\u00fchrende Informationen Sie finden hier die Liste aller\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/05\/IMDRF-Personlized-Medical-Devices.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/05\/IMDRF-Personlized-Medical-Devices.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/05\/IMDRF-Personlized-Medical-Devices.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/05\/IMDRF-Personlized-Medical-Devices.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":3981,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/betriebssystem-iec-62304-konform\/","url_meta":{"origin":5377358,"position":2},"title":"Betriebssystem konform mit IEC 62304 und FDA?","author":"Prof. Dr. Christian Johner","date":"23. Oktober 2024","format":false,"excerpt":"M\u00fcssen Medizinproduktehersteller bei der Auswahl des Betriebssystems darauf achten, dass das Betriebssystem IEC- 62304-konform ist? Was sagt die FDA? Dieser Artikel \u2026 nennt die regulatorischen Anforderungen (z. B. IEC 62304, FDA) an\u00a0Betriebssysteme. gibt Tipps zur Auswahl von Betriebssystemen. untersucht, ob es eine IEC 62304-Zertifizierung f\u00fcr Betriebssysteme geben kann bzw. muss.\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Betriebssystem und IEC-62304","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/03\/Betriebssystem-IEC-62304.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":2972888,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/medical-grade-software\/","url_meta":{"origin":5377358,"position":3},"title":"Medical Grade Software","author":"Prof. Dr. Christian Johner","date":"10. Dezember 2019","format":false,"excerpt":"\u201eWir entwickeln Medical Grade Software\u201c, behaupten Hersteller und Entwicklungsdienstleister, ohne zu spezifizieren, was sie unter \u201eMedical Grade\u201c verstehen. Diese Definition ist wichtig. Nur so l\u00e4sst sich einsch\u00e4tzen, wie sehr diese Software beitragen kann, um regulatorische Anforderungen zu erf\u00fcllen. Hersteller werben mit dem Attribut \u201eMedical Grade Software\u201c. Zudem schie\u00dfen neue Pr\u00fcfsiegel\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/12\/Medical-Grade-Software-2.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/12\/Medical-Grade-Software-2.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/12\/Medical-Grade-Software-2.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/12\/Medical-Grade-Software-2.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":6968,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/software-als-medizinprodukt-definition\/","url_meta":{"origin":5377358,"position":4},"title":"Software als Medizinprodukt \u2013 Software as Medical Device (SaMD)","author":"Alexander Wassel","date":"13. Januar 2026","format":false,"excerpt":"Unter Software als Medizinprodukt (Software as Medical Device, SaMD) versteht man (eigenst\u00e4ndige) Standalone-Software, die ein Medizinprodukt ist, aber nicht Teil eines solchen. Sie ist nicht zu verwechseln mit\u00a0Medical Device Software\u00a0im Sinne der EU. Wann m\u00fcssen Sie als Hersteller Software als Medizinprodukt und wann als Medical Device Software qualifizieren? Das erfahren\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Software-Module versus Medizinprodukt","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/07\/Software-Module-Medizinprodukt.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/07\/Software-Module-Medizinprodukt.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/07\/Software-Module-Medizinprodukt.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":4658,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","url_meta":{"origin":5377358,"position":5},"title":"Off-the-Shelf Software (OTS) versus SOUP","author":"Alexander Wassel","date":"30. Oktober 2023","format":false,"excerpt":"Sowohl die FDA als auch die IEC 62304 kennen durch Dritte entwickelte Software. Sie sprechen von Off-the-Shelf Software\u00a0(OTS) bzw. von Software of Unknown Provenance (SOUP). Worin unterscheiden sich OTS und SOUP? Welche Gemeinsamkeiten haben beide? Welche gesetzlichen Anforderungen m\u00fcssen sie erf\u00fcllen? Dieser Artikel gibt Antworten. Abb. 1: SOUP und OTS-Software\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"OTS Software: Level of Concern","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-myTA","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5377358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=5377358"}],"version-history":[{"count":16,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5377358\/revisions"}],"predecessor-version":[{"id":5380540,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5377358\/revisions\/5380540"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media\/5377366"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=5377358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=5377358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=5377358"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=5377358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}