Die Cybersicherheitsbehörden der G7-Staaten und die EU-Kommission haben eine gemeinsame Richtlinie zu Software Bill of Materials für KI-Systeme veröffentlicht. Das Dokument entstand unter Federführung des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und der italienischen Cybersicherheitsbehörde ACN.

Es baut auf einer im Juni 2025 veröffentlichten gemeinsamen G7-Vision auf und konkretisiert diese nun mit praxistauglichen Mindestanforderungen, die zwischen August 2025 und Februar 2026 in einem mehrstufigen Abstimmungsprozess erarbeitet wurden.

Einblick in den Algorithmus

Das Ergebnis gliedert sich in sieben Informationskategorien, sogenannte Cluster: Metadaten, Systemeigenschaften, Modelle, Datensatzeigenschaften, Infrastruktur, Sicherheitseigenschaften und Key Performance Indicators. Jeder Cluster enthält mehrere Elemente mit Beschreibungen und konkreten Beispielen.

Der Cluster "Modelle" soll etwa Angaben zu Modellname, Version, Trainingseigenschaften, Lizenz und kryptografischen Hash-Werten umfassen. Der Datensatz-Cluster verlangt zusätzlich Informationen zur Herkunft der Trainingsdaten, zu möglichen Biases sowie zur Sensitivität der Daten – also etwa, ob personenbezogene, urheberrechtlich geschützte oder sicherheitsrelevante Informationen enthalten sind. Der Sicherheits-Cluster erfasst implementierte Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen oder Prompt-Injection-Abwehr bei Large Language Models.

Was das für Admins bedeutet

Für IT-Administratoren in Unternehmen und Behörden bedeutet die Richtlinie vor allem eines: mehr Arbeit bei der Beschaffung und Bewertung von KI-Systemen – aber auch mehr Handhabe gegenüber Herstellern und Dienstleistern. Wer künftig ein KI-System einkauft oder betreibt, sollte darauf bestehen können, dass der Anbieter eine SBOM for AI liefert, die mindestens die im Dokument genannten Elemente abdeckt.

Konkret heißt das: Admins können von Herstellern verlangen offenzulegen, welche Modelle im Einsatz sind, mit welchen Daten diese trainiert wurden, welche Softwarebibliotheken und Frameworks das System nutzt und welche bekannten Schwachstellen dokumentiert sind. Das Vulnerability-Referencing-Element im Sicherheits-Cluster etwa soll direkt auf Datenbanken verweisen, in denen bekannte Angriffsvektoren für das jeweilige KI-System gelistet sind - eine Information, die im klassischen Patch-Management bislang für KI-Komponenten oft fehlt.

Schwachstellenmanagement und Risikobewertung

BSI-Präsidentin Claudia Plattner betonte, dass Transparenz über die KI-Lieferkette "die Grundlage für robuste KI-Cybersicherheit" bilde und das effiziente Management identifizierter Schwachstellen sowie das Cyberrisikomanagement von Organisationen stärke. Praktisch bedeutet das: Liegt eine vollständige SBOM for AI vor, können Sicherheitsteams automatisierte Schwachstellen-Scanner ansetzen – ähnlich wie es heute mit klassischen SBOMs für reguläre Software bereits gängige Praxis ist.

Die SBOM for AI liefert dafür die nötige Datenbasis: Hash-Werte ermöglichen die Integritätsprüfung von Modell-Dateien, Lizenzangaben klären rechtliche Risiken, und Angaben zur Systemarchitektur helfen dabei, potenzielle Angriffspunkte zu identifizieren. Für Behörden mit erhöhten Compliance-Anforderungen gilt: In einigen G7-Ländern könnten bestimmte Elemente künftig bereits durch nationale Regulierung verpflichtend werden, darunter möglicherweise auch der EU AI Act.

SBOM braucht passende Tools

Die Autoren des Dokuments betonen ausdrücklich, dass eine SBOM for AI allein nicht ausreicht, um die KI-Lieferkette abzusichern. Sie muss zwingend mit geeigneten Cybersicherheits-Tools verknüpft werden – etwa Schwachstellen-Scannern, Sicherheitsadvisories und Patch-Management-Systemen. Für IT-Abteilungen, die KI-Systeme betreiben, ergibt sich daraus ein klarer Handlungsbedarf: Die bestehenden Security-Prozesse müssen um KI-spezifische Komponenten erweitert werden.

Gleichzeitig lässt die Richtlinie bewusst Raum für künftige Anpassungen - angesichts der rasanten Entwicklung generativer und agentischer KI eine bewusste Entscheidung der Behörden. Fragen wie der Autonomiegrad von KI-Systemen wurden zwar diskutiert, aber noch nicht als eigenständiger Cluster aufgenommen. Verbindlich ist das Dokument in keinem G7-Land; es formuliert einen Mindeststandard, den Organisationen freiwillig übernehmen können – und gegenüber Lieferanten einfordern sollten.