Die ENISA hat soeben ihren Bericht SBOM State of Play 2026“ veröffentlicht, der auf einer Umfrage unter 334 Organisationen basiert (65 % mit Sitz in der EU, 80 % direkt vom Cyber Resilience Act CRA) betroffen). Er liefert die bislang klarste Momentaufnahme darüber, wo die Branche in Bezug auf die Transparenz der Software-Lieferkette steht, und das Bild ist differenzierter als die Aussage „alle sind mit an Bord“.
Das ist mir besonders aufgefallen.
Die CRA übernimmt die Hauptarbeit
Es überrascht nicht, dass die CRA der wichtigste Treiber für SBOM ist. 43 % der Unternehmen geben an, dass die CRA ihre SBOM erheblich beschleunigt hat, während weitere 29 % einen moderaten Einfluss melden. 78 % haben bereits mit SBOM begonnen, und 79 % gehen davon aus, dass sie den erforderlichen Reifegrad erreichen werden, bis die CRA im Dezember 2027 vollständig in Kraft tritt.
Das bedeutet, dass etwa jede fünfte Organisation davon ausgeht, die Frist nicht einhalten zu können, und 12 % können nicht einmal einen Zeitrahmen abschätzen.
Das Erstellen von SBOMs und deren Verwendung sind zwei verschiedene Dinge
Die meisten Unternehmen erstellen mittlerweile SBOMs. 39 % generieren sie zum Zeitpunkt der Erstellung, und 74 % haben die Generierung pro Release zumindest teilweise automatisiert. Die Nutzung hinkt jedoch hinterher:
- 44 % geben an, dass zwischen der Erstellung von SBOMs und deren tatsächlicher Nutzung eine moderate Lücke besteht , und 23 % berichten von einer erheblichen Lücke. Nur 7 % haben diese Lücke geschlossen.
- 20 % der Befragten wissen nicht, ob oder wie SBOMs in ihrem Unternehmen überhaupt genutzt werden.
- Die ENISA kommt zu dem Schluss, dass SBOMs „vor allem zu compliance “ und weniger zur aktiven Sicherheit eingesetzt werden.
Eine SBOM ungelesen in einem Artefakt-Register SBOM , ist nichts weiter als Papierkram. SBOMs bieten nur dann einen Mehrwert, wenn sie in das Schwachstellen- und Lizenzmanagement einfließen. Genau hier haben Teams Schwierigkeiten. 58 % bezeichnen den Abgleich von Schwachstellen (CPE/PURL-Zuordnung, Fehlalarme) als große Herausforderung, und 60 % nennen Probleme mit der Datenqualität wie unvollständige Komponenten und Identifikatoren.
Die Lieferanten senden keine SBOMs
Die meisten Unternehmen erhalten keine SBOMs von ihren Lieferanten, da die meisten Lieferanten diese nicht übermitteln.
- 39 % der Unternehmen erhalten niemals SBOMs für die von ihnen gekaufte kommerzielle Software. Weitere 39 % erhalten sie nur selten. Nur 2 % erhalten sie immer.
- Nur 10 % haben verbindliche SBOM in ihren Lieferantenverträgen (obwohl 55 % daran arbeiten).
- 45 % geben an, dass weniger als ein Viertel ihrer Lieferanten ihre SBOM erfüllt.
- Vollständigkeit (27 %), Genauigkeit der Identifikatoren (17 %) und Verweise auf Sicherheitslücken (12 %) sind die größten Qualitätslücken.
Die Detailtiefe verschärft das Qualitätsproblem. 36 % der Unternehmen benötigen SBOMs, die alle primären Komponenten und direkten Abhängigkeiten abdecken, doch nur 29 % erhalten solche. Bei SBOMs mit vollständiger Detailtiefe beträgt die Lücke 24 % Bedarf gegenüber 14 % tatsächlicher Bereitstellung. Und 45 % wissen nicht einmal, welche Detailtiefe sie erhalten.
Da sich die meisten Sicherheitslücken in der Praxis in transitiven Abhängigkeiten verbergen, schränkt dies den Sicherheitsnutzen jedes SBOM direkt ein.
Was die Daten außerdem zeigen
Der Bericht bringt einige weitere Erkenntnisse ans Licht, die zeigen, dass die Branche das Problem zwar erkennt, aber Schwierigkeiten hat, entsprechende Maßnahmen umzusetzen.
Was steht dem im Weg?
- Die Besorgnis übertrifft die Investitionen. Über 90 % der Unternehmen machen sich Sorgen um die Sicherheit ihrer Lieferkette, doch nur 34 % stellen dafür nennenswerte Ressourcen bereit. Ein Qualifikationsdefizit verschärft das Problem zusätzlich: 57 % nennen einen Mangel an Fachkräften oder Personal als Hindernis.
- Die Vollständigkeit ist das größte Hindernis. 62 % geben an, dass es ziemlich schwierig oder extrem schwierig ist, ein hohes Maß an SBOM zu erreichen.
- Der Formatkrieg ist noch nicht vorbei. CycloneDX liegt mit 44 % vor SPDX (29 %), doch 28 % nutzen nach wie vor proprietäre oder nicht standardisierte Formate. Dies stellt ein direktes compliance dar, da die CRA ein gängiges, maschinenlesbares Format vorschreibt und die BSI-Richtlinie in Deutschland ausdrücklich CycloneDX 1.6+ oder SPDX 3.0.1+ erwartet.
Wer liegt vorne und wie geht es weiter?
- Kleine Unternehmen liegen still und leise vorn. 23–25 % der Kleinst- und Kleinunternehmen geben an, über SBOM ausgereifte, automatisierte SBOM zu verfügen, gegenüber nur 4–6 % der mittleren und großen Unternehmen. Unterdessen betrachten 36 % der Großunternehmen SBOMs als „zwingende Belastung“.
- Der Markt wünscht sich eine Referenzimplementierung mit vorgefertigten Pipelines (26 %), Tool-Benchmarks und einen Einkaufsführer (22 %), Konformitätstests (18 %) sowie ein Profil, das definiert, wie eine „ausreichend gute“ SBOM (31 %).
Was das in der Praxis bedeutet
Die Daten der ENISA deuten darauf hin, dass die Nutzung die entscheidende Herausforderung des Jahres 2026 sein wird. Das bedeutet automatisierte Generierung bei jedem Build, kontinuierliche Aktualisierungen während der gesamten Produktlebensdauer, Schwachstellen-Workflows, die tatsächlich mit SBOM verknüpft sind, sowie Transparenz darüber, was Ihre Lieferanten an Sie liefern. Genau hier zeigt die Umfrage die größten Lücken auf, und genau hier wird die CRA den größten Druck ausüben.
Wie Aikido dir dabei Aikido
Hier kommt Aikido ins Spiel: Wir sorgen dafür, dass die Transparenz in der Lieferkette über die compliance hinausgeht und in Ihre Schwachstellen- und Lizenzierungs-Workflows integriert wird.
SBOM mit einem Klick im richtigen Format
Mit nur einem Klick Aikido SBOMs für Ihre Repositorys in den Formaten CycloneDX und SPDX – den beiden Formaten, auf die die Leitlinien der CRA und des BSI verweisen. Damit werden die 28 % der Unternehmen abgedeckt, die nach wie vor proprietäre Formate verwenden, sowie die Verpflichtung zur Bereitstellung „mindestens der wesentlichen Inhalte in maschinenlesbarem Format“. Die Exportdateien können Sie bei Anfragen von Marktüberwachungsbehörden direkt in Ihre technische Dokumentation einfügen.
SBOM , einschließlich selbst gemeldeter SBOMs
Wenn Sie Ihre eigene SBOM erstellen, deckt diese SBOM den von Ihnen geschriebenen Code ab. Aikido können Sie Aikido SBOMs importieren, die Sie von Anbietern und Lieferanten erhalten (selbst gemeldete SBOMs), sodass Komponenten von Drittanbietern in dieselbe Schwachstellenüberwachung einbezogen werden wie Ihre eigenen Abhängigkeiten. Angesichts der Tatsache, dass 39 % der Unternehmen niemals SBOMs von Lieferanten erhalten und die meisten, die dies tun, nicht darauf reagieren können, schließt ein Ort, an dem Lieferanten-SBOMs zu überwachten Beständen werden und kontinuierlich mit bekannten Schwachstellen abgeglichen werden, die von der ENISA beschriebene Verwendungslücke.
Aikido Protection: Transparenz dort, wo SBOMs nicht ausreichen
SBOMs beschreiben, was in Ihren Produkten enthalten ist. Zu Ihrer Angriffsfläche gehören jedoch auch die Rechner, auf denen diese Software erstellt und geschrieben wird. Durch den Einsatz von Aikido Protection auf Build-Servern und Entwicklerrechnern wird dieser Ansatz der Bestandserfassung und Schwachstellenerkennung auf Ihre Entwicklungsumgebung ausgeweitet. Dabei wird erfasst, welche Tools, Laufzeitumgebungen und Pakete installiert sind, welche veraltet oder anfällig sind und ob die Umgebung, in der Ihre „vertrauenswürdigen“ Builds erstellt werden, selbst vertrauenswürdig ist. Da Lieferkettenangriffe eher Lieferkettenangriffe CI-Pipelines und Entwickler-Workstations als Lieferkettenangriffe den Code selbst Lieferkettenangriffe , schließt dies eine Lücke, die Ihnen keine SBOM jemals aufzeigen SBOM .
Zusammen geben Ihnen diese drei Funktionen Aufschluss darüber, was Sie ausliefern, was Sie verbrauchen und in welchem Umfeld all dies hergestellt wird. Sie laufen kontinuierlich, ohne dass ein weiteres Dashboard hinzukommt, das Ihr Team ignoriert. Das ist Lieferkettensicherheit, die über die compliance hinausgeht.
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"inLanguage": "en",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "TechArticle",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"item": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
},
"headline": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"datePublished": "2026-06-10T00:00:00Z",
"dateModified": "2026-06-10T00:00:00Z",
"timeRequired": "PT7M",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"canonicalUrl": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/images/blog/sboms-in-2026-cover.png",
"width": 1200,
"height": 630,
"alt": "SBOMs in 2026: Everyone's generating them, no one's using them — Aikido Security"
},
"keywords": [
"SBOM",
"Software Bill of Materials",
"Cyber Resilience Act",
"CRA compliance",
"software supply chain security",
"ENISA",
"CycloneDX",
"SPDX",
"SBOM adoption",
"vulnerability management",
"supply chain transparency",
"open source security",
"SCA",
"dependency scanning",
"Aikido Security",
"SBOM generation",
"SBOM consumption",
"transitive dependencies",
"BSI guidelines",
"EU cybersecurity"
],
"about": [
{
"@type": "DefinedTerm",
"name": "Software Bill of Materials (SBOM)",
"description": "A structured list of all components, libraries, and dependencies included in a software product, used for supply chain transparency and vulnerability management."
},
{
"@type": "DefinedTerm",
"name": "Cyber Resilience Act (CRA)",
"description": "EU regulation requiring manufacturers of products with digital elements to ensure cybersecurity throughout the product lifecycle, including SBOM requirements, fully applicable December 2027."
},
{
"@type": "DefinedTerm",
"name": "CycloneDX",
"description": "An OWASP-maintained SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 1.6 or higher."
},
{
"@type": "DefinedTerm",
"name": "SPDX",
"description": "A Linux Foundation SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 3.0.1 or higher."
}
],
"mentions": [
{
"@type": "Organization",
"name": "ENISA",
"url": "https://www.enisa.europa.eu",
"description": "European Union Agency for Cybersecurity, publisher of the SBOM Adoption State of Play 2026 report."
},
{
"@type": "Organization",
"name": "BSI",
"url": "https://www.bsi.bund.de",
"description": "Germany's Federal Office for Information Security, which has published SBOM format guidance explicitly requiring CycloneDX 1.6+ or SPDX 3.0.1+."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev/protect/device-protection",
"applicationCategory": "SecurityApplication",
"operatingSystem": "Cross-platform",
"description": "Aikido Security's endpoint protection for developer devices and build servers, extending inventory and vulnerability monitoring beyond what SBOMs cover."
},
{
"@type": "SoftwareApplication",
"name": "Aikido SBOM Generator",
"url": "https://www.aikido.dev/use-cases/sbom-generator-create-software-bill-of-materials",
"applicationCategory": "SecurityApplication",
"description": "One-click SBOM generation in CycloneDX and SPDX formats for software repositories, supporting CRA and BSI compliance requirements."
}
],
"citation": [
{
"@type": "CreativeWork",
"name": "SBOM Adoption State of Play 2026",
"author": {
"@type": "Organization",
"name": "ENISA"
},
"url": "https://www.enisa.europa.eu"
}
],
"articleSection": [
"The CRA is doing the heavy lifting",
"Generating SBOMs and using them are two different things",
"Suppliers aren't sending SBOMs",
"What the data also shows",
"What this means in practice",
"How Aikido helps you get there"
],
"proficiencyLevel": "Intermediate"
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png",
"width": 200,
"height": 60,
"alt": "Aikido Security logo"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security",
"https://github.com/aikido-security"
]
}
]
}
</script>
