Blackfort Technology
IT-Security · Fachbeitrag13. Mai 2026·Christian Gebhardt

G7 veröffentlichen SBOM-Mindeststandards für KI-Systeme

G7 definieren erstmals Mindestbestandteile für Software Bill of Materials (SBOM) bei KI-Systemen. Mehr Transparenz für sichere AI-Lieferketten.

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Jetzt folgen →
Abstrakte Darstellung einer transparenten KI-Lieferkette mit vernetzten Datenflüssen und Sicherheitsebenen

Erste G7-Leitlinie für AI-SBOMs liegt vor

Am 12. Mai 2026 hat das BSI im Rahmen der französischen G7-Präsidentschaft das Dokument „Software Bill of Materials for AI – Minimum Elements“ veröffentlicht. Es ist die erste konsensbasierte Leitlinie der G7 zu Mindestbestandteilen einer SBOM für KI-Systeme und ergänzt die im Juni 2025 publizierte „Shared G7 Vision on SBOM for AI“. Erarbeitet wurde das Papier zwischen August 2025 und Februar 2026 im G7 Cybersecurity Working Group, co-geleitet von Italien (ACN) und Deutschland (BSI).

Im Fokus steht ein praxisnaher, sektorübergreifender Mindestrahmen für mehr Transparenz entlang der KI-Lieferkette — von Modellen und Trainingsdaten über Infrastruktur bis hin zu sicherheitsrelevanten Eigenschaften. Laut BSI-Dokument sind die Mindestelemente explizit nicht verpflichtend und schaffen keine neuen Standards oder Gesetze, sondern sollen Hersteller und Betreiber bei der Umsetzung unterstützen.

Wer steht hinter dem Papier

Gemeinsam veröffentlicht von BSI (Deutschland), ACN (Italien), ANSSI (Frankreich), CSE (Kanada), CISA (USA), NCSC (UK) und NCO (Japan) – in Zusammenarbeit mit der EU-Kommission. Die G7-Präsidentschaften Kanada (2025) und Frankreich (2026) haben das Vorhaben getragen.

Die Leitlinie betont einen wichtigen Grundsatz: KI-Systeme sind auch Software-Systeme. Die hier definierten Mindestelemente kommen zusätzlich zu klassischen SBOM-Mindeststandards (z. B. nach NTIA bzw. CISA) hinzu, sie ersetzen sie nicht.

Sieben Cluster — das Skelett der AI-SBOM

Laut G7-Leitlinie wird eine AI-SBOM in sieben thematische Cluster gegliedert. Außer dem Metadata-Cluster, der die SBOM selbst beschreibt, sind die übrigen sechs Cluster gleichrangig. Diese Strukturierung ermöglicht es, die zusätzlichen Eigenschaften eines KI-Systems – insbesondere Modelle und Datensätze – sauber von klassischen Software-Bestandteilen abzubilden.

Abstrakte Darstellung von sieben Cluster-Elementen, die als verbundene Datenkristalle um ein zentrales Kernobjekt angeordnet sind
Die sieben Cluster bilden zusammen den Mindestumfang einer AI-SBOM (eigene Darstellung).
ClusterZweckAnzahl Elemente
MetadataInformationen über die SBOM selbst (Autor, Version, Signatur, Tool)10
System Level Properties (SLP)KI-System als Ganzes: Komponenten, Datenflüsse, Anwendungsfeld9
ModelsIdentität, Eigenschaften, Training und Lizenz jedes Modells13
Datasets Properties (DP)Provenienz, Sensitivität, Hashes und Lizenz von Trainings-/Testdaten10
InfrastructureSoftware- und Hardware-Abhängigkeiten (mit HBOM-Verweis)2
Security Properties (SP)Implementierte Sicherheitskontrollen, Compliance, Vulnerability-Referenzen4
Key Performance Indicators (KPI)Sicherheits- und Operations-Metriken2
Was neu ist gegenüber klassischen SBOMs

Klassische SBOMs (NTIA/CISA) erfassen primär Software-Komponenten und deren Abhängigkeiten. Die G7-Leitlinie ergänzt explizit Modelle (mit Architektur, Hyperparametern, Hashes der Gewichte), Datensätze (mit Provenienz, statistischen Eigenschaften, Sensitivitätsklasse) sowie KI-spezifische Sicherheitskontrollen wie Prompt-Injection-Filter oder Adversarial-Robustness-Training.

Modelle und Datensätze: Was konkret zu dokumentieren ist

Das Herzstück der AI-SBOM sind die Cluster Models und Datasets Properties. Sie verlangen eine eindeutige Identifizierbarkeit, kryptografische Integrität und nachvollziehbare Herkunft — sowohl von Modellgewichten als auch von Trainingsdaten.

01

Model identifier

Mindestens ein maschinenlesbarer Identifier (CPE, PURL, OmniBOR, SWHID / ISO/IEC 18670:2025). Mehrere Identifier sind erlaubt und sollten gemeinsam gepflegt werden.

02

Model hash

Kryptografischer Hash der Gewichte oder Modelldatei in ASCII, Algorithmus nach IANA Hash Function Textual Names und mit NIST-/ENISA-konformen Verfahren.

03

Model properties

Architektur (Transformer, CNN, RNN, LSTM …), Parametrik (parametric vs. non-parametric), Modellgröße, Hyperparameter.

04

Model training properties

Trainingsverfahren: pre-training, fine-tuning, RLHF, DPO, PPO, GRPO — inklusive Link zur Model Card.

05

Dataset provenance

Herkunft, Sammelmethode (Web-Crawling, kommerzielle Vereinbarungen), Pre-/Post-Processing, Labeling-Schritte; bei synthetischen Daten die Erzeugungsmethode.

06

Dataset sensitivity

Sensitivitätsklasse: PII, frei zugängliche Daten, urheberrechtlich geschützt, finanziell/medizinisch sensitiv, nationale Sicherheit.

Besonders bemerkenswert: Für Hash-Algorithmen verweist die Leitlinie auf die IANA Hash Function Textual Names, für UUIDs auf RFC 9562, für Zeitstempel auf RFC 9557und für digitale Signaturen auf ISO/IEC 14888-4:2024 bzw. die ENISA Agreed Cryptographic Mechanisms. Damit erhalten AI-SBOMs eine sehr klare technische Grundlage.

ai-sbom.json (illustrativ, nicht normativ)
{
  "metadata": {
    "sbom_author": "Example AG",
    "sbom_version": "1.0.0",
    "sbom_data_format_name": "SPDX",
    "sbom_data_format_version": "3.0",
    "sbom_tool_name": "ExampleScanner",
    "sbom_generation_context": "after-build",
    "sbom_timestamp": "2026-05-13T09:00:00Z"
  },
  "models": [{
    "model_name": "vision-classifier",
    "model_identifier": "pkg:huggingface/example/vision-classifier@1.4.2",
    "model_hash_algorithm": "sha-256",
    "model_hash_value": "9f86d081884c7d659a2feaa0c55ad015...",
    "model_properties": { "architecture": "transformer-encoder", "parameters": 1300000000 },
    "model_training_properties": { "type": "supervised + RLHF" },
    "model_license": "Apache-2.0"
  }],
  "datasets": [{
    "dataset_name": "internal-images-2026",
    "dataset_provenance": "internal capture + licensed partner data",
    "dataset_sensitivity": "PII redacted",
    "dataset_license": "proprietary"
  }]
}

Sicherheit, Infrastruktur und KPIs — oft übersehen

Drei oft unterschätzte Cluster runden die AI-SBOM ab. Sie verknüpfen die reine Inventarsicht mit der Cybersecurity-Realität im Betrieb:

Security Properties: KI-spezifische Kontrollen erforderlich

Neben allgemeinen Sicherheitskontrollen (Verschlüsselung, Zugriffskontrollen, API-Authentifizierung) nennt die Leitlinie explizit KI-spezifische Maßnahmen: Adversarial-Robustness-Training, Prompt-Injection-Kontrollen für LLMs/LLM-Agenten, Input-/Output-Filter sowie Daten-Level-Kontrollen zur Kuration der Trainingsdaten. Außerdem werden ein security.txtdes Herstellers sowie Verlinkungen zu Vulnerability-Datenbanken empfohlen.

Ablauf einer praxisreifen AI-SBOM-Erstellung

  1. 1Metadata festlegen: Autor, Format (SPDX/CycloneDX), Tool, Signatur.
  2. 2System Level Properties erfassen: Komponenten, Datenflüsse, intendierter Anwendungsbereich.
  3. 3Modelle dokumentieren: Identifier (CPE/PURL/OmniBOR/SWHID), Hash, Architektur, Trainingsverfahren, Lizenz.
  4. 4Datensätze beschreiben: Provenienz, Sensitivität, statistische Eigenschaften, Lizenz.
  5. 5Infrastruktur erfassen: Frameworks, Runtimes, ggf. HBOM-Verknüpfung für Hardware.
  6. 6Security Properties und KPIs hinterlegen: Kontrollen, Compliance, Robustness-Metriken, Uptime.
  7. 7SBOM signieren und an Vulnerability-Management koppeln (Advisories, Scanner, Bulletins).

Das KPI-Cluster bleibt bewusst schlank: Security Metrics (z. B. Robustheit gegenüber Drittparteien-Manipulation) sowie Operational Performance KPIs (Uptime, Incident-Resolution-Time, Latenz, Throughput). Diese Daten sind die Brücke zwischen SBOM-Inventar und SOC-/Monitoring-Realität.

Was die Leitlinie für Hersteller und Betreiber bedeutet

Abstraktes Netzwerk aus global verbundenen Knoten in einer Kooperation zwischen Cybersecurity-Behörden mehrerer Länder
Sieben Staaten plus EU-Kommission haben sich auf den Mindestrahmen verständigt.

Die G7-Leitlinie schafft keine direkten gesetzlichen Pflichten. In einigen Jurisdiktionen werden einzelne Elemente jedoch bereits über bestehende oder kommende Standards adressiert — etwa über den EU AI Act, den Cyber Resilience Act (CRA) oder sektorale Vorgaben. Wer KI-Komponenten in Produkten ausliefert oder einsetzt, sollte die sieben Cluster als Soll-Architektur behandeln.

Worauf jetzt zu achten ist

Hersteller mit KI-Bestandteilen in regulierten Produkten geraten doppelt unter Druck: klassische SBOM-Anforderungen (z. B. nach CRA Annex I) und die zusätzlichen AI-SBOM-Mindestelemente. Ohne sauberen Provenienz-Track der Trainingsdaten, ohne Hashes der Gewichte und ohne Dokumentation der KI-spezifischen Kontrollen wird sich Compliance ab 2027 nicht mehr nachweisen lassen.

A

Inventur jetzt starten

Welche Modelle und Datensätze sind im Einsatz, welche Identifier existieren, wer ist Producer? Lücken früh schließen.

B

Format wählen

SPDX 3.0 oder CycloneDX 1.6 mit AI/ML-Extension — beide Formate können die Cluster bereits abbilden.

C

Provenienz erzwingen

Dataset-Provenienz und Modell-Lineage in CI/CD-Pipelines automatisieren, statt im Nachgang zu rekonstruieren.

D

SBOM mit VEX koppeln

AI-SBOM ohne Vulnerability-Management bleibt Theorie. Advisories, Scanner und VEX-Statements einbinden.

Blackfort-Einordnung

Mit der Leitlinie haben die G7-Staaten erstmals einen konsensbasierten Mindestrahmen für AI-SBOMs vorgelegt. Die Stärke liegt in der nüchternen Anlehnung an etablierte SBOM-Konzepte: keine neue Normenwelt, sondern eine fokussierte Erweiterung um KI-Spezifika. In ihrer Mitteilung erklärt das BSI gemeinsam mit den Partneragenturen, dass die Mindestelemente offen für Weiterentwicklung bleiben — insbesondere mit Blick auf agentic AI und Autonomiegrade von KI-Systemen, die als zukünftiges Element ausdrücklich benannt sind.

Für die deutsche Industrie ist das relevant, weil Hersteller über CRA und AI Act ohnehin zur Komponententransparenz verpflichtet werden. Wer jetzt eine saubere AI-SBOM-Praxis aufbaut, vermeidet doppelte Arbeit und kann gleichzeitig Vulnerability-Management und Lieferantensteuerung professionalisieren. Blackfort empfiehlt, die sieben Cluster heute als Designvorgabe zu behandeln — und nicht erst dann, wenn Regulator oder Kunde nachfragen.

Quellen

Laut BSI-Veröffentlichung „Software Bill of Materials for AI – Minimum Elements“ (G7 Cybersecurity Working Group, 12. Mai 2026) sowie der vorausgegangenen „Shared G7 Vision on SBOM for AI“ (Juni 2025, ACN). Referenziert werden u. a. CPE, PURL (ECMA-427), OmniBOR, SWHID (ISO/IEC 18670:2025), RFC 9562, RFC 9557, ISO/IEC 14888-4:2024 sowie die NCSC Guidelines for Secure AI System Development.

Hinweis

Inhalte basieren auf dem am 12. Mai 2026 veröffentlichten BSI-/G7-Dokument „Software Bill of Materials for AI – Minimum Elements“. Die Leitlinie schafft keine direkten Rechtspflichten. Sektorspezifische Anforderungen können davon abweichen.

Kontakt aufnehmen

IT-Security für Ihr Unternehmen

Blackfort Technology begleitet Unternehmen bei NIS2-Compliance, OT-Security und der Absicherung kritischer Infrastrukturen – von der Analyse bis zur Umsetzung.

Beratungsgespräch anfragenUnsere Leistungen