Die SBOM — die Software-Stückliste — ist bekannt als Werkzeug für Open-Source-Lizenz-Compliance und ab 2027 als gesetzliche Pflicht unter dem Cyber Resilience Act. Beides ist richtig, aber es ist nicht der dringendste Grund, heute damit anzufangen. Der eigentlich aktuelle Grund ist ein anderer: Wer Software mit KI-Werkzeugen entwickelt und nicht dokumentiert, welche Teile von einer KI stammen und von welchem Menschen sie qualitativ geprüft wurden, weiß nicht mehr, welche Teile seiner Software noch urheberrechtlich schutzfähig sind — und haftet im Zweifel für Fehler im Code, den niemand wirklich verantwortet hat. Die SBOM, ergänzt um einen menschlichen Prüfvermerk, ist das Werkzeug, das diese drei Fragen beantwortbar macht.
Für wen dieser Beitrag ist:
Dieser Beitrag richtet sich an drei Gruppen.
Die erste Gruppe sind Unternehmen, die Software mit Open-Source-Komponenten entwickeln oder einsetzen. Für sie ist die SBOM das zentrale Werkzeug, um Lizenzverpflichtungen zu kennen und zu erfüllen — und um zu vermeiden, dass einzelne lizenzwidrige Komponenten die gesamte Software urheberrechtlich belasten.
Die zweite Gruppe sind Hersteller von Produkten mit digitalen Elementen, die unter den Cyber Resilience Act fallen. Für sie wird die SBOM ab Dezember 2027 zur gesetzlichen Pflicht — als Grundlage für Schwachstellenmanagement, CE-Kennzeichnung und technische Dokumentation.
Die dritte Gruppe — und hier liegt der aktuell dringendste Handlungsbedarf — sind Unternehmen, die Software mit KI-Werkzeugen entwickeln. Für sie stellen sich heute Fragen nach Urheberrecht und Haftung, die ohne systematische Dokumentation nicht mehr beantwortbar sind.
Allen drei Gruppen gemeinsam ist eine Frage, die vor wenigen Jahren noch keine Rolle spielte: Was steckt eigentlich in meiner Software — und von wem stammt es?
Was ist eine SBOM?
Eine Software Bill of Materials — kurz SBOM, auf Deutsch Software-Stückliste — ist ein strukturiertes Verzeichnis aller Bestandteile einer Software. Der Vergleich mit der Zutatenliste auf einer Lebensmittelverpackung ist griffig: Wer wissen will, was in einem Produkt steckt, schaut auf die Stückliste.
Konkret listet eine SBOM auf, welche Softwarekomponenten, Bibliotheken und externen Abhängigkeiten in einem Produkt enthalten sind — einschließlich Versionsnummern, Herkunft, Lizenzen und kryptografischer Prüfsummen. Das betrifft nicht nur direkt eingebundene Komponenten, sondern auch deren eigene Abhängigkeiten, also die Bestandteile der Bestandteile.
Moderne Software besteht zu großen Teilen aus wiederverwendeten Elementen: Open-Source-Bibliotheken, zugekaufte Module, Frameworks. Eine SBOM macht diese Lieferkette sichtbar.
Das eigentliche Problem heute: KI-Code und die Frage nach dem Schutz
Wer heute Software entwickelt, nutzt in der Regel KI-gestützte Werkzeuge. GitHub Copilot, ChatGPT, Claude und ähnliche Systeme schreiben Codeabschnitte, vervollständigen Funktionen, schlagen ganze Module vor. Das beschleunigt die Entwicklung — es erzeugt aber ein urheberrechtliches Problem, das in der Branche noch kaum diskutiert wird.
Das deutsche Urheberrecht schützt Computerprogramme nach §69a UrhG — aber nur, wenn sie „eigene geistige Schöpfungen“ ihres Autors sind. Schutzfähig ist, was ein Mensch in einem individuellen schöpferischen Akt hervorgebracht hat. KI-generierter Code erfüllt dieses Kriterium nicht: Eine KI hat keine schöpferische Persönlichkeit, ihr Output ist keine menschliche Geistesschöpfung.
Wer also seinen Entwicklern erlaubt, KI-Werkzeuge zu nutzen, und dabei nicht dokumentiert, welche Codeabschnitte von einer KI stammen, verliert schrittweise den Überblick darüber, welche Teile seiner Software überhaupt noch schutzfähig sind. Im Streitfall — etwa wenn ein Wettbewerber die Software kopiert(!!) — kann er nicht mehr belegen, an welchen Teilen ihm Rechte zustehen.
Die SBOM ist traditionell ein Werkzeug für externe Abhängigkeiten. Die Frage, welche Teile des eigenen Codes von einer KI stammen, ist die neue, intern entstehende Variante desselben Problems: Ich muss wissen, was in meiner Software steckt — woher es auch immer kommt.
