Automotive-Software-Bill-of-Materials (SBOM) und Schwachstellenmanagement-Markt Größe und Anteil 2026-2035

Marktgröße für Software-Bill of Materials (SBOM) und Schwachstellenmanagement in der Automobilbranche

Der globale Markt für SBOM und Schwachstellenmanagement in der Automobilbranche wurde 2025 auf 920,5 Millionen USD geschätzt. Laut dem jüngsten Bericht von Global Market Insights Inc. wird der Markt von 1,1 Mrd. USD im Jahr 2026 auf 4,7 Mrd. USD bis 2035 wachsen, was einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 17,3 % über den Prognosezeitraum entspricht.

Der strukturelle Katalysator ist die Konvergenz zweier unabhängiger Druckfaktoren: Zum einen sind die verbindlichen Durchsetzungsfristen, die nun in der Europäischen Union, Japan und Südkorea unter der UNECE-WP.29-Verordnung Nr. 155 aktiv sind, und zum anderen die technische Realität, dass moderne softwaredefinierte Fahrzeuge Software von mehr als 150 verschiedenen Zulieferern aus proprietären, kommerziellen und Open-Source-Ökosystemen integrieren, die jeweils eine kontinuierliche Bestandsaufnahme, Lizenzverfolgung und Schwachstellenüberwachung erfordern.^{[1]UNECE, unece.org} Auf operativer Ebene führt diese Konvergenz zu vertraglichen SBOM-Anforderungen, die von den OEMs an Tier-1- und Tier-2-Zulieferer weitergegeben werden, wodurch sich die Kriterien für die Softwarebeschaffung, die Cybersicherheits-Governance-Rahmenwerke und die Kapitalallokation über die gesamte Automobilwertschöpfungskette hinweg neu gestalten.

Markttrends für Software Bill of Materials (SBOM) und Schwachstellenmanagement in der Automobilbranche

Vom periodischen SBOM-Dokument zur kontinuierlichen Überwachung der Software-Lieferkette

Der grundlegende operative Wandel im Markt für SBOM und Schwachstellenmanagement in der Automobilbranche besteht im Übergang von SBOM als statischem Compliance-Dokument, das einmalig bei der Fahrzeugtypgenehmigung erstellt wird, hin zu SBOM als kontinuierlich aktualisiertem, maschinenlesbarem Infrastruktur-Asset, das über Entwicklung, Produktion und Feldbetrieb hinweg synchronisiert wird. Der zugrundeliegende Treiber ist die operative Realität, dass sich der Softwarezustand von Fahrzeugen häufig und in großem Umfang ändert: OTA-Firmware-Updates, Patches von Drittanbieter-Bibliotheken, Upgrades von Open-Source-Abhängigkeiten und ECU-Softwarerevisionen können das Komponenteninventar und das Schwachstellenprofil einer Fahrzeugflotte innerhalb von Stunden nach der Bereitstellung verändern. Stellantis führte 2024 über 25 Millionen OTA-Softwareupdates in seiner Flotte vernetzter Fahrzeuge durch, was sowohl die operative Geschwindigkeit der Änderungen im Komponenteninventar als auch die Unzulänglichkeit von SBOM-Dokumenten zu einem bestimmten Zeitpunkt als Governance-Mechanismus in diesem Umfang verdeutlicht.^{[6]ENISA, enisa.europa.eu}

Die noch bedeutendere regulatorische Dimension ist die UNECE-WP.29-Verordnung Nr.

Die UNECE-Regelung Nr. 155 schreibt OEMs explizit vor, ein kontinuierlich aktualisiertes CSMS zu betreiben, das Schwachstellen während des gesamten Fahrzeuglebenszyklus überwacht – nicht nur zum Zeitpunkt der Typgenehmigung. Damit entsteht eine formelle regulatorische Verpflichtung für eine dynamische SBOM-Infrastruktur, die statische Dokumentationsworkflows nicht erfüllen können.

Auf Produktebene haben Plattformanbieter wie Cybellum und C2A Security ihre Lösungen neu positioniert und konzentrieren sich nun auf das kontinuierliche SBOM-Lebenszyklusmanagement. Sie integrieren sich mit OTA-Orchestrierungsplattformen und DevSecOps CI/CD-Pipelines, um eine Echtzeit-Synchronisation der Komponentenbestände von der Entwicklungsphase bis zur Feldeinführung und Nachverkaufsüberwachung zu ermöglichen.

Die kommerziellen Auswirkungen sind messbar: Plattformen, die eine kontinuierliche SBOM-Aktualität nachweisen können, verlangen höhere Lizenzgebühren als Tools zur punktuellen Generierung. Dies führt zu einer Preisdifferenzierung im Automobil-SBOM-Markt, die den Ersatz veralteter statischer Dokumentationsansätze beschleunigt. Der Zeitpunkt für die vollständige Markteinführung der kontinuierlichen SBOM-Infrastruktur liegt konzentriert im Zeitraum 2026–2028, parallel zu den Compliance-Verpflichtungen der Tier-1-Zulieferer gemäß WP.29 und der Ausweitung der Anforderungen aus ISO/SAE 21434 Artikel 8 in die Lieferantenverträge europäischer und japanischer Automobilprogramme.

Integration von SBOM-Plattformen mit CSMS, DevSecOps und OTA-Infrastruktur

Automobil-Cybersicherheitsprogramme konvergieren hin zu einer integrierten Architektur, in der SBOM-Tools als Datenschicht innerhalb eines umfassenderen Cybersecurity-Management-Systems (CSMS) fungieren. Sie liefern Komponentenbestände, Schwachstellenstatus und Fortschritte bei der Behebung in die CSMS-Governance-Workflows, die die Anforderungen von ISO/SAE 21434 Artikel 8 für ein kontinuierliches Cybersicherheitsmanagement erfüllen. Dieses Integrationsmuster entwickelt sich zu einem bedeutenden Wettbewerbsvorteil im Automobil-SBOM- und Schwachstellenmanagementmarkt: ETAS (Bosch Group) und Vector Informatik bieten SBOM-Funktionen, die eng mit ihren etablierten Ökosystemen für Automobilentwicklungstools verknüpft sind – ein struktureller Vorteil gegenüber reinen Cybersicherheitsanbietern bei der Integration in bestehende OEM-Entwicklungsumgebungen.

In unserem Expertenpanel Q1 2026 mit 38 Cybersicherheitsprogrammleitern von OEMs in Deutschland, Japan und den USA nannten 74 % die Integration von CSMS- und SBOM-Plattformen als ihre wichtigste Priorität für die ISO/SAE 21434 Artikel 8-Compliance – noch vor der Tiefe der CVE-Korrelation und eigenständigen Automatisierungsfunktionen für die Behebung. Ein sekundärer Effekt ist eine Marktnachfrage nach standardisierten API-Frameworks für den SBOM-Datenaustausch zwischen OEM-CSMS-Plattformen und sicherheitsrelevanten Tools der Zuliefererseite. Diese Lücke wird derzeit durch individuelle Integrationen geschlossen, soll aber durch die Arbeitsgruppen von VDA ISA, TISAX und UNECE im Zeitraum 2026–2028 formalisiert werden. Die kommerzielle Implikation für den Automobil-SBOM-Markt besteht darin, dass Anbieter mit vorgefertigten CSMS-Integrationskonnektoren höhere Erneuerungs- und Erweiterungsraten erzielen als Wettbewerber mit reinen Punktlösungen, denen die Einbettung in Workflows fehlt.

KI-gestützte Schwachstellenpriorisierung und prädiktive Risikoanalysen

Automobil-Cybersicherheitsanbieter setzen künstliche Intelligenz und Machine-Learning-Modelle ein, um die grundlegende Herausforderung der Signal-zu-Rausch-Verhältnis in groß angelegten Schwachstellenmanagementprogrammen zu bewältigen: Ein moderner SDV-Softwarestack kann zu einem beliebigen Zeitpunkt mehrere tausend bekannte CVEs aufweisen, von denen die Mehrheit theoretische und keine operationell ausnutzbaren Risiken im spezifischen Automobilkontext darstellen.^{[7]Automotive News, autonews.com}AI-gestützte Priorisierungssysteme setzen rohe CVE-Offenlegungen in Beziehung zu fahrzeugspezifischen Parametern wie Komponentenausführungsberechtigungsstufe, Nähe zu sicherheitskritischen Teilsystemen, Netzwerk-Expositionstopologie und tatsächlichen Ausnutzbarkeitsbelegen aus aktiven Bedrohungsdatenquellen ein, um eine priorisierte, umsetzbare Abhilfeagenda statt eines undifferenzierten Schwachstellenrückstands zu erstellen.

VicOne, als Ausgründung von Trend Micro, hat diese Architektur durch seine xNexus-Bedrohungserkennungsplattform operationalisiert, die Kraftfahrzeug-SBOM-Inventare mit Trend Micros Bedrohungsdaten-Netzwerk korreliert, das über 250 Milliarden Bedrohungsereignisse pro Tag abdeckt. Im März 2025 startete VicOne xNexus 2.0 mit verbesserter KI-gestützter CVE-Priorisierung, wobei frühe Einsatzdaten eine Reduzierung der Alarmmengen um bis zu 70 % für Betreiber vernetzter Fahrzeugflotten meldeten. Synopsys' Black Duck-Plattform wendet Softwarekompositionsanalyse mit CVSS-angereicherten Ausnutzbarkeitsbewertungen an, um eine vergleichbare Signalreduzierung für OEMs zu erreichen, die hybride Open-Source- und proprietäre Softwarearchitekturen betreiben. Die quantifizierbare Auswirkung der KI-gestützten Priorisierung auf die Verkürzung der durchschnittlichen Schwachstellenbehebungszeit ist bei der Größe von Unternehmens-OEM-Programmen, die Softwareinventare über Hunderte von Fahrzeugmodellvarianten und mehrjährige Produktionslebenszyklen hinweg verwalten, zunehmend unverzichtbar. Dieser Trend stellt eine mittel- bis langfristige Wachstumsrichtung für den Markt für Kraftfahrzeug-SBOM und Schwachstellenmanagement dar, da die KI-Fähigkeitstiefe zu einem primären Preis- und Verlängerungshebel wird.

Lieferanten-SBOM-Onboarding und Multi-Tier-Austauschplattformen als eigenständige Produktkategorie

Eine kritische operative Lücke kristallisiert sich als eigenständige Produktkategorie innerhalb des Kraftfahrzeug-SBOM-Marktes heraus: die Lieferanten-SBOM-Onboarding- und Austauschplattform-Infrastruktur, die es OEMs ermöglicht, SBOM-Daten von Tier-1- und Tier-2-Lieferantenpopulationen in großem Maßstab zu sammeln, zu validieren, zu normalisieren und zu integrieren. Branchendaten zeigen, dass weniger als 30 % der Tier-2-Kraftfahrzeugsoftwarelieferanten bis 2025 automatisierte SBOM-Erstellungsworkflows implementiert hatten, sodass OEMs hybride Umgebungen aus maschinenlesbaren SBOMs von reifen Partnern und manuellen Bestätigungsdokumenten von kleineren Lieferanten verwalten müssen. PlaxidityX (Continentals Cybersicherheitsplattform) und Finite State haben Lieferantenportal-Funktionen eingeführt, die darauf abzielen, die SBOM-Aufnahme über SPDX- und CycloneDX-Formate zu standardisieren und gleichzeitig geführte Onboarding-Workflows für weniger reife Lieferanten bereitzustellen.

Im November 2024 erweiterte Cybellum seine Produkt-Sicherheitsplattform um ein Lieferanten-SBOM-Portal-Modul, das es OEMs ermöglicht, die SBOM-Sammlung, Formatvalidierung und Systemaufnahme von bis zu 500 Lieferantenkontaktpunkten zu automatisieren, basierend auf kommerziellen Einsätzen bei zwei europäischen Top-10-OEMs. Die kommerzielle Bedeutung ist erheblich: Lieferanten-SBOM-Onboarding- und Austauschplattformen entwickeln sich zu einer eigenständigen Einnahmequelle innerhalb des breiteren Marktes für Kraftfahrzeug-SBOM und Schwachstellenmanagement, die Budgets sowohl aus OEM-Cybersicherheitsprogrammen als auch aus Lieferantenseitigen Implementierungsprojekten abschöpfen, da sich die Anforderungen an die Multi-Tier-SBOM-Compliance schrittweise entlang der Lieferkette nach unten ausweiten.

Marktanalyse für Kraftfahrzeug-Software-Bill of Materials und Schwachstellenmanagement

Nach Lösung

Der Software-Segment hält 2025 einen Marktanteil von 69 % und wird voraussichtlich bis 2035 mit einer jährlichen Wachstumsrate von 17,7 % wachsen, was die dominierende kommerzielle Struktur des Marktes für Kraftfahrzeug-SBOM und Schwachstellenmanagement widerspiegelt.

Diese Konzentration spiegelt die plattformzentrierte Ökonomie der unternehmensweiten SBOM-Programmimplementierung wider: Wiederkehrende Lizenzgebühren aus SaaS-basierten Tools, die die SBOM-Erstellung, die Abbildung von Komponentenabhängigkeiten, die CVE-Korrelation, die Berichterstattung über Compliance-Dashboards und die Nachverfolgung von Workflows zur Fehlerbehebung umfassen, bilden die primäre und skalierbarste kommerzielle Beziehung zwischen Anbietern und Automobilkunden.

Die Produkt-Sicherheitsplattform von Cybellum und die AutoSPIN DevSecOps-Plattform von C2A Security sind Beispiele für die Architektur führender Softwarelösungen, die ein kontinuierliches SBOM-Lebenszyklusmanagement und die Berichterstattung zur Einhaltung der Norm ISO/SAE 21434 über webbasierte Schnittstellen ermöglichen, die über strukturierte API-Connectoren mit den Entwicklungsumgebungen der OEMs integriert werden. Die Lizenzgebühren skalieren mit der Fahrzeugmodellabdeckung und dem Softwarekomponentenvolumen – ein Preismodell, das eine Umsatzsteigerung schafft, die mit dem strukturellen Wachstum des Softwareinhalts pro Fahrzeug im gesamten SBOM-Markt für die Automobilindustrie im Einklang steht.

Die funktionale Anwendung für Schwachstellen- und Risikomanagement, die 24,4 % des Marktanteils im Jahr 2025 ausmacht und mit 17,8 % wächst, stellt das am schnellsten wachsende Teilsegment innerhalb der Softwarekategorie dar. Dies wird durch die Nachfrage der OEMs nach automatisierter CVE-Korrelation und Priorisierung von Fehlerbehebungsmaßnahmen angetrieben, die kontinuierlich und nicht in periodischen Bewertungszyklen erfolgen. Das Dienstleistungssegment, das 31 % des Umsatzes im Jahr 2025 ausmacht und mit einer jährlichen Wachstumsrate (CAGR) von 16,4 % wächst, umfasst professionelle Dienstleistungen, Implementierungsberatung, verwaltete Sicherheitsoperationen, Programme zur Lieferanteneinbindung sowie Bewertungen von Compliance-Lücken gemäß ISO/SAE 21434.

Auf dem aktuellen Reifegrad des Marktes ist der Dienstleistungsumsatz strukturell an die Softwareimplementierungszyklen gekoppelt: Projekte zur erstmaligen Implementierung, Programme zur Lieferanteneinbindung und TARA-Dienstleistungen (Threat Analysis and Risk Assessment) generieren häufig Rechnungen für professionelle Dienstleistungen, die den anfänglichen Softwarelizenzwert für unternehmensweite OEM-Projekte erreichen oder übersteigen. DNV und LTTS sind in diesem Dienstleistungssegment prominent vertreten, wobei DNV seinen Status als Zertifizierungsstelle nutzt, um ISO/SAE 21434-Prüf- und Bestätigungsdienstleistungen anzubieten, die in regulatorischen Einreichungskontexten institutionelle Glaubwürdigkeit genießen. Im Prognosezeitraum wird erwartet, dass sich das Verhältnis von Dienstleistungs- zu Softwareumsatz zugunsten der Software verschiebt, da sich die Plattformfähigkeiten weiterentwickeln und automatisierte Workflows zur Lieferanteneinbindung den manuellen Dienstleistungskomponenten bei neuen Implementierungen reduzieren.

Nach Verwendungszweck

Automobil-OEMs stellen das größte Endverwendungssegment mit 40 % des Marktanteils im Jahr 2025 dar und werden voraussichtlich mit einer jährlichen Wachstumsrate (CAGR) von 18,2 % wachsen. Dies wird durch ihre direkte regulatorische Betroffenheit durch die UNECE-WP.29-Typgenehmigungsanforderungen und ihre Rolle als Hauptansprechpartner für die Durchsetzung von Cybersicherheit über den gesamten Fahrzeuglebenszyklus angetrieben. OEM-Implementierungen sind strukturell unternehmensweit skaliert und erfordern eine vollständige Softwareinventarisierung über alle Modellreihen hinweg, die Hunderte von ECUs, mehrere Softwarevariantenkonfigurationen und die koordinierte SBOM-Erfassung aus mehrstufigen Lieferantennetzwerken umfasst. Das Cybersicherheitsprogramm der Volkswagen Group über ihre Softwareabteilung CARIAD und das erweiterte Cybersicherheits-Governance-Rahmenwerk von Stellantis veranschaulichen das institutionelle Ausmaß der Spitzeninvestitionen von Top-OEMs in SBOM-basierte Compliance-Infrastrukturen, wobei beide Organisationen SBOM-Plattformen als grundlegende Elemente ihrer ISO/SAE 21434-Compliance-Programme festgelegt haben.

Das Segment der Tier-1-Zulieferer, das 34 % des Marktumsatzes im Jahr 2

2%, spiegelt die vertragliche Weitergabe der OEM-SBOM-Anforderungen in der Lieferkette wider: Zulieferer der Stufe 1 sind verpflichtet, eigene SBOM-Plattformen zu implementieren, um Komponenten zu verwalten, die von Partnern aus niedrigeren Lieferkettenstufen bezogen werden. Dadurch entsteht eine rekursive Nachfragestruktur, die die Plattformadoption schrittweise durch die gesamte Lieferkettenhierarchie ausweitet. Zulieferer der Stufe 2 und niedrigerer Stufen machen 19,7 % des Marktanteils im Jahr 2025 mit einer jährlichen Wachstumsrate (CAGR) von 16,7 % aus und stellen das am schnellsten wachsende adressierbare Segment in Bezug auf Volumen dar, da sich die OEM-vertraglichen SBOM-Anforderungen über die Grenzen der Stufe 1 hinaus ausdehnen.

Die Adoption in diesem Segment ist stark zugunsten cloud-nativer SaaS-Modelle mit geringen Vorabkosten und geführter Einarbeitung verschoben. Nachrüstmarkt und Flottenbetreiber, die 6,3 % des Umsatzes im Jahr 2025 ausmachen und mit 12,8 % wachsen, repräsentieren das langsamste Endverwendungs-Wachstum in der nahen Zukunft – bedingt durch geringeren unmittelbaren regulatorischen Druck. Die mittelfristige Perspektive ist jedoch konstruktiver: Geplante Überarbeitungen der EU-Produkthaftungsrichtlinie sollen voraussichtlich lebenszyklusbezogene Cybersecurity-Verpflichtungen für Fahrzeuge einführen, die die Adoptionsanreize für Flottenbetreiber und Aftermarket-Dienstleister nach 2027 spürbar verändern werden.

Nach Regionen

Markt für Automotive Software Bill of Materials und Schwachstellenmanagement im asiatisch-pazifischen Raum

Der asiatisch-pazifische Raum ist der größte regionale Markt nach absolutem Umsatz und macht 2025 34,6 % des globalen Anteils aus (318,5 Mio. USD). Bis 2035 wird ein Umsatz von 1.528,3 Mio. USD bei einer CAGR von 16,6 % erwartet. China stellt den größten Einzelmarkt der Region dar und hat mit GB/T 44464-2024 den nationalen Standard für Cybersecurity bei intelligenten vernetzten Fahrzeugen eingeführt, der inländische SBOM- und Schwachstellenmanagement-Verpflichtungen festlegt, die den UNECE-WP.29-Bestimmungen entsprechen und gleichzeitig spezifische Anforderungen an die Lieferkettenbestätigung sowie Datenlokalisierungsvorschriften enthalten. Diese wirken sich auf die Plattformarchitekturentscheidungen internationaler Anbieter aus, die auf dem chinesischen Automotive-SBOM-Markt konkurrieren.^{[8]SAE International, sae.org}

Japan und Südkorea unterliegen der direkten UNECE-WP.29-Jurisdiktion, wobei beide Märkte die Verordnung Nr. 155 durch ihre jeweiligen Typengenehmigungsbehörden – MLIT in Japan und KATRI in Südkorea – umgesetzt haben. Dadurch entstehen zeitgleich mit der EU durchsetzbare Fristen. Indien stellt die bedeutendste Wachstumschance in der Region in naher Zukunft dar: Das Bureau of Indian Standards und das indische Verkehrsministerium haben 2024 Entwurfsvorschriften für die Cybersecurity vernetzter Fahrzeuge veröffentlicht, was auf eine Angleichung an WP.29-kompatible Rahmenwerke hindeutet. Dies würde Tata Motors, Mahindra sowie die inländischen Aktivitäten von Hyundai und Suzuki in den adressierbaren Compliance-Markt innerhalb des Zeitraums 2026–2028 einbeziehen. Südostasiatische Märkte, insbesondere Singapurs aktive Initiativen im Bereich Automotive-Cybersecurity unter der Cybersecurity Agency of Singapore sowie Thailands wachsende E-Fahrzeug-Produktionsbasis mit BYD und Toyota als Anker, entwickeln sich zu sekundären Nachfragebeitragenden im asiatisch-pazifischen Automotive-SBOM-Markt.

Markt für Automotive Software Bill of Materials und Schwachstellenmanagement in Nordamerika

Nordamerika machte 2025 26,6 % des globalen Marktanteils aus (244,4 Mio. USD) und wird voraussichtlich der am schnellsten wachsende regionale Markt im Prognosezeitraum mit einer CAGR von 18

8%, getrieben durch die Dynamik der US-amerikanischen Cybersicherheitspolitik, die strukturelle Größe der US-amerikanischen Automobilsoftware-Lieferkette und die beschleunigten Investitionen der OEMs in softwaredefinierte Fahrzeugplattformen. Die US-amerikanische Executive Order 14028 (Mai 2021) etablierte SBOM als grundlegende Anforderung für die Beschaffung von Bundessoftware und katalysierte eine breitere Akzeptanz in regulierten Branchen. Die CISA-Aktualisierung der SBOM-Mindestanforderungen aus dem Jahr 2023 (Oktober 2024) designierte die Automobilindustrie als prioritären kritischen Infrastruktursektor und schuf damit einen weit verbreiteten de-facto-Industriestandard, der in die Lieferantenqualifizierungsrahmen und Cybersicherheitsvertragsanforderungen der OEMs integriert wurde.^{[9]NHTSA, nhtsa.gov} Die besten Praktikenempfehlungen der NHTSA für die Cybersicherheit von Kraftfahrzeugen verweisen explizit auf die Rückverfolgbarkeit von Softwarekomponenten als wichtige Risikominderungsmaßnahme und stärken damit die institutionelle Nachfrage nach SBOM-Programminfrastrukturen auf OEM-Ebene. Kanadas Cybersicherheitsposition im Automobilbereich ist eng an die US-Rahmenwerke angelehnt – die Mehrheit der kanadischen Tier-1-Zulieferer, die US-amerikanische OEMs beliefern, unterliegen vergleichbaren vertraglichen SBOM-Anforderungen. In unserer Q3-2025-Umfrage unter 95 nordamerikanischen Automobilsoftwarezulieferern hatten 71 % innerhalb der vorangegangenen 18 Monate formelle SBOM-Einreichungsanforderungen von ihrem Haupt-OEM-Kunden erhalten – fast eine Verdopplung gegenüber dem Basiswert von 38 % in der Kohorte 2023 und bestätigt damit das beschleunigte Tempo der OEM-getriebenen Aktivierung der Lieferkettennachfrage in der Region.

Europa: Markt für Automobil-Software-Bill of Materials und Schwachstellenmanagement

Europa stellt 2025 mit 27,3 % des globalen Umsatzes (251,5 Mio. USD) den zweitgrößten regionalen Anteil dar und soll bis 2035 mit einer jährlichen Wachstumsrate von 17,6 % wachsen. Diese Entwicklung wird durch die regulatorische Führungsrolle Europas im Bereich der Cybersicherheit von Automobilen gestützt. Die UNECE-WP.29-Verordnung Nr. 155 trat im Juli 2024 für alle neuen Fahrzeugtypenzulassungen in den EU-Mitgliedstaaten und dem Vereinigten Königreich in Kraft und machte CSMS- und SBOM-Fähigkeiten zu einer unverhandelbaren Voraussetzung für die Typenzulassung. Dies schuf einen sofortigen betrieblichen Compliance-Auftrag für OEMs und Zulieferer in der europäischen Automobilproduktion.

Deutschland fungiert als zentraler Technologiestandort für den SBOM-Markt im Automobilbereich: Volkswagen, BMW und Mercedes-Benz sowie ihre jeweiligen Tier-1-Zuliefernetzwerke machen einen überproportionalen Anteil der europäischen SBOM-Plattformimplementierungen aus. Die in Deutschland ansässigen Anbieter ETAS und Vector Informatik besetzen einen bedeutenden Marktanteil, indem sie sich auf tiefe Toolchain-Integration in den OEM- und Tier-1-Entwicklungsumgebungen stützen, die sie bereits bedienen.

Der ENISA-Bericht „Automotive Cybersecurity Good Practices“ aus dem Jahr 2024 identifizierte das SBOM-Lebenszyklusmanagement als kritische Kontrollmaßnahme in allen Kategorien vernetzter Fahrzeuge. Dieser Rahmen dient nationalen Typenzulassungsbehörden in Frankreich, Italien und Spanien als Referenz für die Einbindung in Compliance-Dokumentationsanforderungen. Das britische Regime für die Fahrzeugcybersicherheit nach dem Brexit orientiert sich an den UNECE-WP.29-Anforderungen unter der Aufsicht der DVSA und wahrt damit die regulatorische Ausrichtung, die die britische Marktnachfrage auf vergleichbarer Zeitleiste wie bei den EU-Partnern aufrechterhält.

Marktanteile im Bereich Automobil-Software-Bill of Materials und Schwachstellenmanagement

Der globale Markt für SBOM und Schwachstellenmanagement im Automobilbereich ist stark fragmentiert. Die sieben größten Anbieter vereinen 2025 etwa 25,8 % des Gesamtmarktumsatzes auf sich, während die verbleibenden 74,2 % auf ein breites Ökosystem regionaler Spezialisten, aufstrebender Anbieter, Nischenberatungen und interner Programmentwicklungen bei größeren OEMs verteilt sind.

Diese Fragmentierung ist charakteristisch für Märkte in der frühen Institutionalisierung: Aktive regulatorische Durchsetzung hat eine unmittelbare Nachfrage geschaffen, doch das Fehlen dominanter Plattformstandards, die Heterogenität der OEM-Toolchain-Umgebungen und die Vielfalt der geografischen Märkte haben es einer diversen Anbietergruppe ermöglicht, spezialisierte Positionen zu besetzen, bevor wettbewerbliche Konsolidierung das Feld verengt.

Cybellum hält die führende Einzelmarktposition mit einem Marktanteil von 7,8 %. Die Wettbewerbsposition des Unternehmens wurde durch die Übernahme durch LG Electronics im Jahr 2022 für rund 240 Millionen US-Dollar entscheidend gestärkt – eine Transaktion, die eine Bilanzstärkung für beschleunigte Produktentwicklung und internationale kommerzielle Expansion bot und gleichzeitig eine strategische Ausrichtung mit dem Automotive-Systemgeschäft von LG Magna e-Powertrain schuf. Dadurch erhielt Cybellum eingebetteten Zugang zu Beschaffungsbeziehungen bei Automobil-OEMs über das etablierte Tier-1-Lieferantennetzwerk von LG. Die Product Security Platform von Cybellum wird von mehreren Top-10-OEMs weltweit eingesetzt und deckt den gesamten SBOM-Lebenszyklus ab – von der komponentenbasierten Erkennung und Abhängigkeitskartierung über CVE-Korrelation, Nachverfolgung von Abhilfemaßnahmen bis hin zu regulatorischer Compliance-Berichterstattung.

ETAS, die Automotive-Software- und Cybersicherheitstochter des Bosch-Konzerns, die über die ESCRYPT-Division agiert, hält einen Marktanteil von 4,9 %. ETAS konkurriert aus einer strukturell differenzierten Position: Die tiefe Integration in das Automotive-Toolchain-Ökosystem von Bosch – von der Kalibrierungssoftware INCA über AUTOSAR-konforme ECU-Entwicklungsplattformen bis hin zur Felddiagnoseinfrastruktur – verschafft Zugang zu OEM- und Tier-1-Entwicklungsworkflows, den unabhängige Anbieter nicht allein durch API-Integration nachbilden können. Vector Informatik, mit 3,8 % Marktanteil, nutzt seine dominante Position in der Analyse von Automotive-Kommunikationsprotokollen und ECU-Entwicklungstools – insbesondere CANalyzer und CANoe – um in SBOM und Cybersicherheit als angrenzende Fähigkeit innerhalb etablierter Kundenkonten vorzudringen. Dies ermöglicht gebündelte Vertragsstrukturen, die das Risiko wettbewerblicher Verdrängung minimieren.

Argus Cyber Security, heute unter der Marke PlaxidityX von Continental nach der Übernahme durch Continental im Jahr 2017 und der anschließenden Integration mit der Sicherheitssparte von Elektrobit konsolidiert, hält einen Marktanteil von 3 %. Die PlaxidityX-Plattform verbindet das ECU- und Telematiksicherheitserbes von Argus mit den Automotive-Softwaresicherheitsfähigkeiten von Elektrobit. Continentals Position als einer der weltweit größten Tier-1-Lieferanten bietet sowohl eine captive Kundenbasis als auch Marktglaubwürdigkeit für Drittanbieter-OEM-Engagements.

Synopsys, mit 2,5 % Marktanteil, bringt unternehmensweite Softwarekompositionsanalyse in den Automotive-SBOM-Markt ein – über seine Black Duck-Plattform, ein Produkt mit etablierten Enterprise-DevSecOps-Einsatzerfahrungen, das OEMs und Zulieferer, die nach bewährten SCA-Tools suchen, als risikoarme Plattformwahl überzeugt. VicOne (2 %) und C2A Security (1,8 %) runden die Top sieben ab, wobei VicOne durch seinen differenzierten Zugang zur globalen Bedrohungsintelligenz-Infrastruktur von Trend Micro als Marktanteilsgewinner positioniert ist.

In unserer H2-2025-Studie, die 58 Automotive-Cybersicherheitsprogrammverantwortliche in Nordamerika, Europa und der Asien-Pazifik-Region umfasst, nannten 63 % die Integrationstiefe in die Toolchain – und nicht die eigenständige CVE-Korrelationsleistung – als entscheidendes Kriterium bei der Auswahl eines SBOM-Plattformanbieters. Dieses Ergebnis zeigte sich konsistent bei OEM- und Tier-1-Befragten. Diese Präferenz für Integration gegenüber Feature-Parität verändert die Wettbewerbsdynamik im Automotive-SBOM-Markt: Anbieter ohne etablierte Automotive-Toolchain-Beziehungen konkurrieren zunehmend über den Preis statt über Fähigkeitsdifferenzierung, was eine Aufspaltung zwischen Premium-Integrationsplattformen und preiswerten Punktlösungen beschleunigt. Die M&A-Trajektorie ist eine prägende strukturelle Dynamik: Neben den Transaktionen Cybellum/LG und Argus/Continental haben Karamba Security und Upstream Security Wachstumskapital aufgenommen und positionieren sich damit als wahrscheinliche Übernahmeziele, während sich der Markt bis 2026–2030 auf Konsolidierung zubewegt.

Automobil-Software-Bill-of-Materials- und Schwachstellenmanagement-Marktunternehmen

Wichtige Akteure, die auf dem Markt für Automobil-Software-Bill-of-Materials und Schwachstellenmanagement tätig sind: AUTOCRYPT, AVL, DNV, ETAS, Harman International, LTTS, Synopsys, Upstream Security, Vector Informatik, VicOne, Argus Cyber Security, Cybellum, CYMOTIVE Technologies, Finite State, Karamba Security, PlaxidityX, Secure Elements, Agnile Technologies, C2A Security und VxLabs (ThreatZ).

ETAS (Bosch Gruppe) bietet ein integriertes Portfolio für Cybersicherheit in der Automobilbranche und SBOM-Management über seine ESCRYPT-Cybersicherheitssparte an. Dieses umfasst Fahrzeugarchitekturanalyse, automatisierte SBOM-Erstellung, TARA-Tools, Schwachstellenüberwachung sowie Compliance-Dokumentation gemäß UNECE WP.29 und ISO/SAE 21434. Die Integration der ETAS-Toolchain mit Boschs INCA, AUTOSAR und Felddiagnoseplattformen schafft eine eingebettete SBOM-Datenerfassungskapazität in den Arbeitsabläufen, die OEMs und Tier-1-Zulieferer bereits nutzen. Dies bietet einen strukturellen Wettbewerbsvorteil, den eigenständige Anbieter nur schwer nachahmen können.

Synopsys setzt seine Black Duck-Softwarekompositionsanalyseplattform für SBOM-Anwendungsfälle in der Automobilbranche ein. Diese bietet automatisierte Erkennung von Open-Source-Komponenten, Lizenz-Compliance-Management und CVE-Korrelation für OEMs, die hybride Open-Source- und proprietäre Softwarearchitekturen verwalten. Die bewährte Erfolgsbilanz von Black Duck in Unternehmens-DevSecOps-Umgebungen reduziert das Einführungsrisiko für OEM-Programmmanager, die nach bewährten SCA-Tools mit einem Automotive-Einführungsweg suchen.

Vector Informatik integriert SBOM- und Cybersicherheitsfunktionen in sein Ökosystem für Entwicklungstools in der Automobilbranche. Dabei erweitert es seine CANoe-Diagnoseplattform und die VectorCAST-Softwaretestinfrastruktur um SBOM-Erstellung, CycloneDX-Export und Cybersicherheits-Compliance-Berichtsfunktionen. Im April 2024 startete Vector Informatik die VectorCAST Security-Erweiterung mit nativer SBOM-Erstellung und CycloneDX-Exportfunktionen. Dies ermöglicht Tier-1-Zulieferern, Komponentenbestände direkt aus bestehenden Softwaretest- und Validierungsarbeitsabläufen zu erstellen, ohne zusätzliche eigenständige SBOM-Tools zu benötigen.

VicOne (Trend Micro) bietet automobil-spezifische SBOM-Analysen und Bedrohungsinformationen über seine xNexus-Bedrohungserkennungs- und xCarbon-Endpunktsicherheitsplattform an. VicOne korreliert SBOM-Komponentenbestände der Automobilbranche mit dem globalen Bedrohungsinformationsnetzwerk von Trend Micro, das täglich über 250 Milliarden Bedrohungsabfragen abdeckt. Dies ermöglicht OEMs eine automobilrelevante CVE-Priorisierung, die das Volumen von Warnmeldungen reduziert und gleichzeitig die operationelle Relevanz von Empfehlungen zur Fehlerbehebung erhöht.

Argus Cyber Security / PlaxidityX (Continental) fungiert als integrierte Cybersicherheitsplattform für die Automobilbranche unter der Marke PlaxidityX. Diese kombiniert die ECU- und Telematiksicherheitskompetenz von Argus mit den Cybersicherheitsfähigkeiten für Automobilsoftware von Elektrobit. Die Plattform bietet ein durchgängiges Schwachstellenmanagement für Fahrzeugsoftware, SBOM-Lebenszyklusverfolgung und Compliance-Berichterstattung für OEM- und Tier-1-Kunden. Durch die Tier-1-Zulieferkettenbeziehungen von Continental bietet die Plattform einen eingebetteten Vertriebskanal über globale Automobilproduktionszentren.

Cybellum (LG Electronics) ist mit einem Marktanteil von 7,8 % globaler Marktführer und bietet eine Produkt-Sicherheitsplattform, die den gesamten SBOM- und Schwachstellenmanagement-Lebenszyklus abdeckt. Dazu gehören binärbasierte Komponentenerkennung, Abhängigkeitsgraphenabbildung, CVE-Korrelation, Workflow-Management für die Fehlerbehebung, Lieferanten-SBOM-Portal und Compliance-Berichterstattung. Die Plattform von Cybellum unterstützt die Integration mit wichtigen OEM-PLM-, DevSecOps- und OTA-Managementumgebungen und ist in mehreren Top-10-globalen OEM-Cybersicherheitsprogrammen im Einsatz.

C2A Securityoffers die AutoSPIN Automotive DevSecOps-Plattform eine native Sicherheitsautomatisierungsplattform, die SBOM-Erstellung, CVE-Verwaltung und Compliance-Berichterstattung direkt in CI/CD-Pipelines integriert. Die entwicklerzentrierte Architektur von AutoSPIN ermöglicht es OEMs und Tier-1-Zulieferern, Sicherheitsrichtlinien direkt in die Softwareentwicklungsprozesse zu integrieren, anstatt sie als nachträgliche Compliance-Überlagerung anzuwenden. Im April 2025 kündigte C2A Security die allgemeine Verfügbarkeit von AutoSPIN 3.0 an, das erweiterte SBOM-Lifecycle-Management-Funktionen bietet, einschließlich automatisierter bidirektionaler SPDX/CycloneDX-Formatkonvertierung und eines Lieferantenportals für die mehrstufige SBOM-Erfassung und -Validierung in großem Maßstab.

Branchennews zu Automotive Software Bill of Materials und Schwachstellenmanagement

• Apr 2025: C2A Security kündigte die allgemeine Verfügbarkeit von AutoSPIN 3.0 an, das erweiterte SBOM-Lifecycle-Management-Funktionen bietet, einschließlich automatisierter bidirektionaler SPDX/CycloneDX-Formatkonvertierung und eines Lieferantenportals für die mehrstufige SBOM-Erfassung und -Validierung in großem Maßstab.
• Mär 2025: VicOne startete xNexus 2.0, das eine verbesserte KI-gestützte CVE-Priorisierung für Automotive-SBOM-Inventare einführt. Dabei werden Trend Micros Bedrohungsdatenfeeds mit Fahrzeugarchitektur-Kontextbewertungen kombiniert, was laut frühen Einsatzdaten zu einer Reduzierung der Alarmmengen um bis zu 70 % für Betreiber von vernetzten Fahrzeugflotten führt.
• Jan 2025: ENISA veröffentlichte ihren aktualisierten Leitfaden zu „Automotive Cybersecurity Good Practices“, der explizite SBOM-Managementanforderungen und Lieferantenbestätigungsrahmen enthält, die an die UNECE-WP.29-Verordnung Nr. 155 angepasst sind. Damit wird ein paneuropäischer Referenzrahmen für die Durchsetzung durch nationale Typgenehmigungsbehörden geschaffen.
• Nov 2024: Cybellum erweiterte seine Product Security Platform um ein Modul für das Lieferanten-SBOM-Portal, das es OEMs ermöglicht, die SBOM-Erfassung, Formatvalidierung und Systemaufnahme von bis zu 500 Lieferantenkontaktpunkten zu automatisieren. Dies folgt auf kommerzielle Einsätze bei zwei europäischen Top-10-OEMs.
• Okt 2024: CISA veröffentlichte aktualisierte Implementierungsleitlinien für SBOMs in der Verkehrsinfrastruktur und stufte die Automobilbranche als prioritären kritischen Infrastruktursektor ein. Dabei wurden die Mindestanforderungen an SBOM-Elemente an den NTIA-Rahmen angepasst, um die bundesweite politische Grundlage für Investitionen in Automotive-SBOM-Programme zu stärken.
• Jul 2024: Die UNECE-WP.29-Verordnung Nr. 155 erreichte den Status der verbindlichen Durchsetzung für alle neuen Fahrzeugtypgenehmigungen in den EU-Mitgliedstaaten, dem Vereinigten Königreich, Japan und Südkorea. Damit wurde die SBOM- und CSMS-Fähigkeit von einer optionalen Branchenbest Practice zu einer verbindlichen Markteintrittsanforderung für Fahrzeuge.
• Jun 2024: Upstream Security kündigte die Integration seiner AutoThreat-Intelligence-Plattform mit den wichtigsten OEM-SBOM-Managementsystemen an. Dadurch wird eine Echtzeit-Korrelation von Schwachstellenexpositionsdaten auf Flottenebene mit aktiven Automotive-Bedrohungsdaten für die Überwachung vernetzter Fahrzeugflotten ermöglicht.
• Apr 2024: Vector Informatik startete die VectorCAST Security-Erweiterung mit nativer SBOM-Erstellung und CycloneDX-Exportfunktionen. Dadurch können Tier-1-Zulieferer Komponenteninventare direkt aus bestehenden Softwaretest- und Validierungsprozessen erstellen, ohne zusätzliche eigenständige SBOM-Tools zu benötigen.
• Feb 2024: Finite State führte eine automatisierte SBOM-Analyse für Automotive-ECU-Firmware ein. Dies ermöglicht OEMs eine quellunabhängige Komponentenextraktion und CVE-Korrelation für Bestands-ECU-Populationen, die keine native SBOM-Erstellungsinfrastruktur besitzen.

Marktkonzentrationswert

Der Markt für Automotive-SBOM und Schwachstellenmanagement erhält einen Wert von 3 von 10.on the concentration scale, reflecting a highly fragmented competitive landscape in which the top five players collectively hold only 22% of global revenue and no single vendor commands more than 7.8% share, consistent with an early-institutionalization market where regulatory-driven demand creation has outpaced the consolidation that typically follows platform standardization.

The automotive software bill of materials and vulnerability management market report includes in-depth coverage of the industry with estimates & forecasts in terms of revenue ($ Mn/Bn) from 2022 to 2035, for the following segments:

Market, By Solution

• Software
  • SBOM-Erstellungs- & Lebenszyklusmanagement-Software
  • Vulnerability-Correlation- & Monitoring-Plattformen
  • Compliance- & Audit-Nachweiserstellungssoftware
  • Integrierte CSMS-Plattformen
• Services
  • Professionell
    • Implementierungs- & Systemintegrationsdienste
    • Beratung
    • Schulungs- & Zertifizierungsdienste
  • Managed
    • SBOM-Wartung & Vulnerability-Monitoring-Dienste
    • Lieferanten-SBOM-Portal & Qualitätsicherungsservices
    • Compliance-Berichterstattung & Audit-Unterstützungsdienste

Market, By Functional Application

• SBOM-Erstellung & -Entdeckung
• Vulnerability- & Risikomanagement
• Compliance- & Governance-Management
• Lizenz-Compliance-Management
• Lieferkettenrisikomanagement

Market, By End Use

• Automobilhersteller (OEMs)
• Tier-1-Zulieferer
• Tier-2- & niedrigere-Zulieferer
• Aftermarket & Flottenbetreiber

Market, By Vehicle

• Personenkraftwagen
  • Steilheck
  • Limousine
  • Geländewagen (SUV)
• Nutzfahrzeuge
  • Leicht
  • Mittel
  • Schwer

Market, By Deployment Model

• Cloud-basiert (SaaS)
• Vor Ort

The above information is provided for the following regions and countries:

• Nordamerika
  • USA
  • Kanada
• Europa
  • UK
  • Deutschland
  • Frankreich
  • Italien
  • Spanien
  • Russland
  • Nordics
• Asien-Pazifik
  • China
  • Indien
  • Japan
  • Südkorea
  • Südostasien
    • Indonesien
    • Malaysia
    • Singapur
    • Thailand
    • Vietnam
  • ANZ
• Lateinamerika
  • Brasilien
  • Mexiko
  • Argentinien
• Naher Osten & Afrika
  • VAE
  • Südafrika
  • Saudi-Arabien