IRW-PRESS: Relay Medical Corp. : Relay veröffentlicht die wichtigsten Inhalte des
Cybersecurity-Webinars über SBoM und postet Aufzeichnung auf Youtube

TORONTO, 21. September 2021 - Relay Medical Corp. (Relay oder das Unternehmen) (CSE: RELA, OTCQB:
RYMDF, Frankfurt: EIY2) freut sich, eine Aufzeichnung des jüngsten Webinars mit dem Titel State
of Cybersecurity Industry - The Roots of SBoM mit den Hauptrednern Kate Stewart, Steve Springett und
Chris Blask, VP of Strategy bei Relay, zur Verfügung zu stellen. Für Relay ist es das
zweite einer ganzen Reihe von Webinaren. Die Diskussionsteilnehmer erörterten wichtige Fragen
zur Cybersicherheit und setzten sich auch mit der aktuellen Durchführungsverordnung (Executive
Order/EO) der Regierung Biden zur Verbesserung der bundesweiten Cybersicherheit auseinander. Die
National Telecommunications and Information Administration (NTIA) wurde dabei mit der Festlegung von
Sicherheitsstandards einschließlich der Definition von SBoMs beauftragt.

Zu den namhaften Teilnehmern zählten auch:

- Allan Friedman, ehemals Director of Cybersecurity Initiatives bei der NTIA im
US-Handelsministerium
- Tom Alrich, derzeit als Co-Leader des Energy Sector SBoM Proof of Concept in der NTIA
verantwortlich

Vergangene Woche veranstaltete Relay ein Live-Webinar mit drei führenden Experten im Bereich
Cybersicherheit: Kate Stewart, Steve Springett und Chris Blask. Kate Stewart ist Vice President of
Dependable Embedded Systems bei der Linux Foundation. Sie gilt als renommierte Innovatorin und
führende Entwicklerin von Systemsoftware und Anwendungstools und zählt zum
ursprünglichen Gründungsteam des Standardformats Software Package Data eXchange (SPDX). An
ihrer Seite: Steve Springett, Chair der Core Working Group zum SBoM-Standard CycloneDX, der sich
international als führender Experte für defensives Design, Programmierung und
Automatisierung einen Namen gemacht hat. Wieder mit dabei auch Chris Blask, Vice President of
Strategy bei Relay und ebenfalls ein angesehener Meinungsbildner, der als innovativer Erfinder an
der Entwicklung von Digital Bill of Materials (DBoM), eines der ersten kommerziellen
Firewall-Produkte, beteiligt war. Die Podiumsdiskussion wurde vom Branchenexperten Evgeniy Kharam,
Co-Moderator des Security Architecture Podcast, moderiert. 

Unter den einflussreichen Teilnehmern war auch Allan Friedman, den viele als Vater des
SBoM-Konzepts betrachten, weil er das Konzept in die NTIA einbrachte. Als die Diskussionsteilnehmer
während der Veranstaltung gefragt wurden, ob SBoMs von Angreifern für die Vorbereitung
eines Angriffs genutzt werden könnten, brachte er das Argument der Roadmap für den
Angreifer. Allan Friedman ist derzeit bei der Cybersecurity and Infrastructure Security Agency als
Senior Advisor und Stratege verantwortlich. Davor beriet er Präsident Joe Biden bei der
Erstellung der Durchführungsverordnung
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
 , bei der es auch um die Implementierung der SBoM ging. 

Richard Brooks, Senior Consultant und Mitbegründer der Firma Reliable Energy Analytics LLC,
meinte: Ich finde die Unterstützung der Community von SPDX und CycloneDX großartig; aus
diesem Grund bin ich auch optimistisch, dass SBoM ein Erfolg werden wird. 

Tom Alrich, seines Zeichens Co-Leader des Energy Sector SBoM Proof of Concept in der National
Technology and Information Administration des US-Handelsministeriums, bejahte mit dem Satz Der
Konzeptnachweis für das Gesundheitswesen ist nach wie vor im Gange als Chris Blask die Frage
aus dem Publikum in Bezug auf die Relevanz des Themas für Medizintechnik und Pharma
beantwortete. Chris Blask sagte: Im medizinischen Bereich gab es ein Proof of Concept-Verfahren, wo
das Handelsministerium, die National Telecommunications and Information Center Administration
(NTIA), vor eineinhalb Jahren mit der Community zusammengearbeitet hat, um SBoMs bereitzustellen.
Und wie bei jeder anderen kritischen Infrastruktur würden wir erwarten, dass das
Gesundheitswesen mit dem Markt Schritt hält oder ihm sogar voraus ist. Ich kann mir vorstellen,
dass das Gesundheitswesen zu den ersten Anwendern gehört. 

Steve Springett beantwortete die Frage von Duncan Sparell, einem Mitglied der Software Component
Transparency Working Group der NTIA, der Folgendes wissen wollte: Zugegebenermaßen haben viele
Softwareprojekte noch keine SBoMs, einige aber schon. Könnte uns jeder der Sprecher mitteilen,
wie viele SBoMs bereits existieren und einige Beispiele von SBoMs nennen, die ihnen bekannt sind?
Steve Springett erklärte: Die Frage, welche Projekte tatsächlich von SBoMs profitieren,
ist recht vielschichtig. Beispielsweise ist das offene Java Development Kit (JDK) gerade dabei,
SBoMs zu erstellen, und es gibt einige andere große bibliotheksähnliche Projekte, also
Software Development Kit-Projekte (SDKs), die sich ebenfalls mit einer Aufnahme befassen, was ich
toll finde. Betrachtet man jedoch einzelne Bibliotheken, dann stellt sich die Frage, ob es Sinn
macht, diese mit SBoMs auszustatten. In der Realität sieht es so aus, dass bei der
Wiederverwendung dieser Komponenten in der eigenen Anwendung der Abhängigkeitsgraph erst im
Lebenszyklus des eigenen Builds vollständig aufgelöst wird. Für diese Projekte lohnt
es sich deutlich weniger, SBoMs anzuschaffen, während bei anderen Projekten SBoMs einen weitaus
größeren Nutzen bringen.

Die Aufzeichnung ist im Youtube-Kanal des Unternehmens verfügbar: 
https://www.youtube.com/watch?v=jlWPPNuCZTQ&t=740s

Wichtigste Fragen und Antworten

Warum brauchen wir SBoM und wozu? (Zeitstempel 2:42) 

Antwort von Kate Stewart: Mit der Software Bill of Materials beschreibt man, was in der
betreffenden Software und in den Systemen enthalten ist. Sie erklärt uns, welche Softwareteile
verwendet werden, in welcher Beziehung sie zueinander stehen und welche Quelldateien eine Komponente
ausmachen. All das sind Informationen in einer Software Bill of Material, die wir benötigen, um
den Aufbau zu kennen. Sobald hier eine entsprechende Transparenz gegeben ist, können wir die
Automatisierung einrichten, um anstelle der manuellen Kontrolle eine richtige Überwachung zu
ermöglichen.

Welche Beispiele aus der Praxis gibt es für SBoM-Implementierungen? (Zeitstempel 5:31) 

Antwort von Steve Springett: Der wichtigste Anwendungsfall, der die SBoM zu einem so
brandheißen Thema macht, ist aus meiner Sicht in der Möglichkeit, Schwachstellen in der
von uns verwendeten Software zu erkennen. Dabei kann es sich um Software wie einen Microservice,
einen IoT-Toaster oder eine andere beliebige Software handeln, die jedenfalls Komponenten von
Drittanbietern enthält. Auf diesen Baublöcken errichten wir dann die Software, da der
Aufbau einer Software von Grund auf ziemlich teuer ist. Wenn wir also Komponenten wiederverwenden,
übernehmen wir die Verantwortung für einen Code, den wir nicht selbst geschrieben haben.
Aus diesem Grund ist es wichtig, genau sagen zu können, welches Inventar quasi vorhanden ist,
wie der Name und die Version dieser Komponenten lautet, woher diese Software stammt und wie sie
möglicherweise aufgebaut ist. Damit kann man verschiedene Arten von Analysen des Stammbaums und
der Herkunft durchführen und die unterschiedlichen Modifizierungsarten nachvollziehen, die
vorgenommen wurden. Wir sind nun endlich in der Lage, folgende Fragen zu beantworten: Wer hat was
geschrieben? Was ist in diesem Code enthalten? Wer hat ihn gemacht? Habe ich diesen Code aus einem
Land erhalten, mit dem mein Land nicht einverstanden ist? Neben den Schwachstellen, die den
eigentlichen Hauptgrund der Einführung der SBoM darstellen, sind all diese unterschiedlichen
Anwendungsfälle extrem interessant.

Antwort von Kate Stewart: Darauf sind wir zum Beispiel bei Amnesia 33 gestoßen, wo wir uns
bis zur Ebene der Quelldateien vorarbeiten mussten, um herauszufinden, ob wir von bestimmten Dingen
betroffen sind. Was mich an der Automatisierung unter anderem begeistert hat, ist die
Möglichkeit, diese Informationen automatisch zu übermitteln. Mit dieser Thematik im
Hinblick auf Vex und die Mitteilung von Schlüsselschwachstellen ist derzeit die CSAF-Gruppe
(Common Security Advisory Framework) befasst.

Können SBoMs von Angreifern für die Vorbereitung eines Angriffs genutzt werden?
(Zeitstempel 13:36) 

Antwort von Chris Blask: Die kurze Antwort ist nein, aber hier müssen wir auf die allererste
Frage in puncto Sicherheit eingehen. Wenn wir damit beginnen, diese Informationen aufzuschreiben,
bedeutet das dann nicht auch, dass all unsere Feinde auf die gesamte Information zugreifen
können? Jeder, der im Bereich Sicherheit arbeitet, weiß, die Antwort darauf lautet es
kommt darauf an. Wenn man Software besitzt, die in hohem Maße urheberrechtlich geschützt
oder anfällig ist, und wenn man nicht will, dass sie in die Hände von Bösewichten
oder Konkurrenten fällt, dann sollte man in der Lage sein, sie mit Hilfe der bestehenden
operativen Abläufe und der verfügbaren Technologien zu schützen. Wenn man sich jedoch
die einzelnen Schritte ansieht, die mit Cyber-Mitteln verbessert bzw. repliziert werden sollen, dann
stellt man fest, dass die Unternehmen, die diese Informationen austauschen, in den meisten
Fällen Mechanismen zum Schutz dieser Informationen verwenden, die möglicherweise für
einen sicheren Austausch nicht ausreichen oder nicht geeignet sind, und dass die verwendeten
Prozesse im Einzelfall möglicherweise nicht so sicher sind, wie man eigentlich dachte. 

Einwurf von Evgeniy Kharam: Der Anbieter ist somit gezwungen, bessere Bibliotheken und bessere
Versionen anzuschaffen bzw. für bessere Programmierkenntnisse zu sorgen, um potenziell
anfällige Bibliotheken auszuklammern.

Hilft die SBoM dem Käufer oder dem Produktentwickler? (Zeitstempel 19:28) 

Antwort von Kate Stewart: Die kurze Antwort ist, sie hilft beiden. Für den Käufer wird
damit das Risiko bestimmter Komponenten transparent, er weiß also genau, was er kauft. Dazu
zählt natürlich auch, dass man weiß, wovon das angekaufte Softwareprodukt
möglicherweise abhängt. Damit ist eine Risikobewertung und Risikominderung möglich.
Wenn man als Hersteller innerhalb der Lieferkette Komponenten von Drittanbietern bündelt und
weiterverkauft, für die man standardmäßig die Verantwortung übernimmt, dann
sind SBoMs ein sehr nützliches Instrument zur Risikoanalyse und helfen bei der Einhaltung und
Erstellung von Richtlinien. Manchmal kommt von der Rechtsabteilung die Warnung, unter bestimmten
Lizenzen diverse Komponenten nicht einzubauen, weil sie bekanntlich mit großen Risiken
verbunden sind und es bessere Lösungen gibt. Sobald wir SBoMs auf eine Art und Weise
austauschen können, der jeder vertraut - ähnlich wie das bei DBoM der Fall ist -, ist eine
Automatisierung auch bei Unternehmen möglich, die Open-Source-Komponenten einbauen, und die
Richtlinien anderer Anbieter können standardisiert und abgeglichen werden. Aus Sicht des
Käufers können solche Dinge das Risiko verringern.

Könnte man mit SBoM Risiken in der Software-Lieferkette eliminieren oder reduzieren?
(Zeitstempel 32:50)

Antwort von Chris Blask: Im Zuge der fortschreitenden Akzeptanz von SBoM werden Firmen in der
Lage sein, Vertragsklauseln einzuführen, die es ihnen ermöglichen, Bedingungen
festzulegen, unter denen Informationen zur Verfügung gestellt werden. Das klassische Beispiel
ist eine Vertragsklausel, die besagt, dass ein Verkäufer eine SBoM ganz oder teilweise zur
Verfügung stellt, wenn eine Schwachstelle von einer seriösen Quelle entdeckt und
später veröffentlicht wird, die sich auf ein erworbenes Produkt auswirken kann. Das hat
mehrere Vorteile. Die Reparatur einer neuen Schwachstelle kann von den Kosten her erheblich
günstiger ausfallen, und man benötigt deutlich weniger Zeit für die Problembehebung.
Wichtig ist vor allem, dass die Anbieter die Kontrolle über ihr geistiges Eigentum deutlicher
zum Ausdruck bringen können und besser in der Lage sind festzustellen, ob diese Kontrolle
beeinträchtigt wurde. Solche Informationen werden heute größtenteils ad hoc zwischen
Einzelpersonen in Partnerunternehmen ausgetauscht, über verschiedenste Kanäle, wie z. B.
E-Mails, was mitunter teuer ist oder wo eine Rückverfolgung unmöglich ist. Diese Aspekte
von SBoM und Systemen wie Cybeats sind notwendig, um SBoM zu unterstützen, was tendenziell zu
Kostensenkungen und Effizienzsteigerungen an verschiedenen Punkten bzw. in den Lieferketten
führen wird. Daraus ergeben sich Wettbewerbsvorteile für jene Unternehmen, die diese Tools
frühzeitig und effektiv einsetzen.

Antwort von Kate Stewart: Man muss in der Lage sein, die Software, die man hat, klar zu
beschreiben. Man muss sich auch darüber im Klaren sein, welche Auswirkungen eine Lizenzierung
hat, was passiert, wenn Probleme entdeckt werden. Man muss Fragen wie Brauchen wir Updates?
beantworten können. Das sind reale Dinge und die Leute müssen hier in der Lage sein zu
agieren. Es ist also ein großer Pluspunkt, wenn es hier Vereinfachungen gibt.

Wo sehen Sie die SBoM in 5 Jahren? (Zeitstempel 44:45) 

Antwort von Chris Blask: In fünf Jahren wird die SBoM aus meiner Sicht überall
eingebaut werden. Wenn man Software herstellt, bei der keine SBoM erstellt wird, dann geht es dabei
vermutlich um keine interessanten Sachen und man wird mit Sicherheit kaum RFP-Anfragen im Rahmen von
Regierungsausschreibungen erhalten. Wenn man als Konsument in einem Unternehmen tätig ist, das
für die Wirtschaft oder den Nationalstaat von hoher Relevanz ist, dann muss man sich
wahrscheinlich nicht erst mit der Nutzung der SBoM vertraut machen, sondern man nutzt sie bereits.
Sie sollte ein Teil des Beschaffungswesens, der Sicherheitsmaßnahmen und auch aller anderen
Abläufe sein.

Wenn Sie über weitere virtuelle Veranstaltungen von Cybeats informiert werden möchten,
dann abonnieren Sie bitte den Youtube-Kanal 
https://www.youtube.com/channel/UCqtoSrovJvXcIJZz9uRxXbg

Aktuelle News:  Relay unterzeichnet Vereinbarung mit dem globalen IT-Lösungsentwickler
Unisys (NYSE: UIS)  https://www.nyse.com/quote/XNYS:UIS
 zur Vermarktung einer kombinierten Lösung für die Bereiche COVID-19 und Biosicherheit:

https://bit.ly/3AqDI0h 

REGISTRIERUNG: Für weitere Informationen über Relay oder um sich auf der Mailingliste
des Unternehmens registrieren zu lassen, besuchen Sie bitte https://www.relaymedical.com/news

Über Relay Medical Corp.

Relay Medical ist ein Technologie-Innovator mit Sitz in Toronto (Kanada), dessen Hauptaugenmerk
auf die Entwicklung neuer Lösungen in den Bereichen Diagnostik, KI-Datenanalyse und
IoT-Sicherheit gerichtet ist. 

Internet: www.relaymedical.com

Kontakt:
Destine Lee
Media & Communications
Relay Medical Corp. 
Büro: 647-872-9982
Gebührenfreie Rufnummer: 1-844-247-6633
Medienanfragen: media@relaymedical.com 
Investor Relations: investor.relations@relaymedical.com

Bernhard Langer
EU Investor Relations
Büro: +49 (0) 177 774 2314
E-Mail: blanger@relaymedical.com

Vorsorglicher Hinweis bezüglich zukunftsgerichteter Informationen

Abgesehen von Aussagen zu historischen Tatsachen enthält diese Pressemitteilung bestimmte
zukunftsgerichtete Informationen im Sinne der einschlägigen Wertpapiergesetze.
Zukunftsgerichtete Informationen erkennt man häufig anhand von Begriffen wie planen",
erwarten", prognostizieren, beabsichtigen, glauben, vorhersehen, schätzen und an anderen
ähnlichen Wörtern oder Aussagen darüber, dass bestimmte Ereignisse oder Bedingungen
eintreten können oder werden. Zukunftsgerichtete Aussagen basieren auf den Meinungen und
Schätzungen zum Zeitpunkt der Äußerung dieser Aussagen und unterliegen einer Reihe
von Risiken und Ungewissheiten sowie anderen Faktoren, die dazu führen könnten, dass sich
die tatsächlichen Ereignisse oder Ergebnisse erheblich von jenen in den zukunftsgerichteten
Informationen unterscheiden. Dazu zählen unter anderem auch Verzögerungen oder
Unsicherheiten bei den behördlichen Genehmigungen, wie z.B. durch die CSE. Zukunftsgerichtete
Informationen enthalten typischerweise Unsicherheiten, wie etwa auch Faktoren, auf die das
Unternehmen keinen Einfluss hat. Es gibt keine Gewähr dafür, dass die in dieser
Pressemeldung beschriebenen Vermarktungspläne für die Technologie tatsächlich zu den
hier dargelegten Bedingungen und in dem hier dargelegten zeitlichen Rahmen in Kraft treten werden.
Das Unternehmen ist nicht verpflichtet, zukunftsgerichtete Informationen zu aktualisieren, falls
sich die Umstände oder die Schätzungen oder Meinungen des Managements ändern sollten,
es sei denn, dies wird in den entsprechenden Gesetzen gefordert. Den Lesern wird empfohlen, sich
nicht vorbehaltslos auf zukunftsgerichtete Aussagen zu verlassen. Weitere Informationen über
Risiken und Unsicherheiten, welche die Finanzergebnisse beeinflussen könnten, sind in den
Unterlagen enthalten, die das Unternehmen bei den kanadischen Wertpapierbehörden einreicht und
die unter www.sedar.com veröffentlicht werden.

Die Ausgangssprache (in der Regel Englisch), in der der Originaltext veröffentlicht wird,
ist die offizielle, autorisierte und rechtsgültige Version. Diese Übersetzung wird zur
besseren Verständigung mitgeliefert. Die deutschsprachige Fassung kann gekürzt oder
zusammengefasst sein. Es wird keine Verantwortung oder Haftung für den Inhalt, die Richtigkeit,
die Angemessenheit oder die Genauigkeit dieser Übersetzung übernommen. Aus Sicht des
Übersetzers stellt die Meldung keine Kauf- oder Verkaufsempfehlung dar! Bitte beachten Sie die
englische Originalmeldung auf www.sedar.com, www.sec.gov, www.asx.com.au/ oder auf der
Firmenwebsite!


Die englische Originalmeldung finden Sie unter folgendem Link: 
https://www.irw-press.at/press_html.aspx?messageID=61582
Die übersetzte Meldung finden Sie unter folgendem Link: 
https://www.irw-press.at/press_html.aspx?messageID=61582&tr=1
NEWSLETTER REGISTRIERUNG: 


Aktuelle Pressemeldungen dieses Unternehmens direkt in Ihr Postfach: 
http://www.irw-press.com/alert_subscription.php?lang=de&isin=CA75943L1058

Mitteilung übermittelt durch IRW-Press.com. Für den Inhalt ist der Aussender
verantwortlich.

Kostenloser Abdruck mit Quellenangabe erlaubt.