Cybersecurity-Nachweis durch die Lieferkette
Tier-1- und Tier-2-Zulieferer müssen ihrem OEM-Kunden ihren CSMS-konformen Entwicklungsprozess nachweisen. Software-Lieferanten ohne dokumentierten ISO/SAE 21434-Prozess fallen aus.
Branche · Automotive
B2B-Software für die Automotive-Wertschöpfungskette
Software-Defined Vehicle, vernetzte Werkstatt, Cybersecurity nach UN-R155 und ISO/SAE 21434 — die Automotive-Branche vereint heute mehrere parallele Transformationen. Wer Apps, Backends oder Diagnose-Tools für OEMs oder Tier-1-Zulieferer baut, muss diese Standards von der ersten Zeile Code an mitdenken.
Branchenkontext
Stuttgart und Baden-Württemberg sind Heimat der deutschen Automobilindustrie — Mercedes-Benz, Porsche, Bosch, ZF, Mahle. Die Region erlebt 2026 die größte Software-Transformation seit Einführung der elektronischen Motorsteuerung: Software-Defined Vehicle, Over-the-Air-Updates, Connected Services, Tiefen-Integration mit Cloud und Mobile.
Gleichzeitig steigt der regulatorische Druck: UN-R155 (Cybersecurity Management System) und UN-R156 (Software Update Management System) sind seit Juli 2024 für alle in EU-/UNECE-Staaten produzierten Fahrzeuge der Kategorien M, N und O verpflichtend. ISO/SAE 21434:2021 ist der internationale Standard für Cybersecurity-Engineering im Lebenszyklus elektrischer/elektronischer Systeme. Diese Anforderungen ziehen sich bis in die Tier-1- und Tier-2-Lieferkette — und damit zu jedem Software-Lieferanten.
Typische Herausforderungen
Companion-Apps mit Real-Time-Constraints
Apps, die Fahrzeugdaten live anzeigen, müssen mit BLE/WiFi-Verbindungsabbrüchen, Backend-Latenz und Offline-Szenarien sauber umgehen. Eine reine Online-only-Architektur überlebt den Realbetrieb nicht.
Werkstatt-Apps mit Legacy-Diagnose
Diagnose-Tools für freie Werkstätten müssen ältere OBD-II-Standards, herstellerspezifische Protokolle und neue UDS-Stacks parallel unterstützen — und den Übergang sauber abstrahieren.
Regulatorischer Rahmen
UN-R155 (Cybersecurity)
UN-Regulation Nr. 155 verlangt für Typgenehmigungen einen Cybersecurity Management System (CSMS)-Nachweis und Schutzmaßnahmen gegen identifizierte Risiken nach Anhang 5. Anwendungsbereich: Fahrzeuge der Kategorien M, N, O sowie L (mit Stufe 3+ Automatisierung). Ergänzung 3 vom 10. Januar 2025 erweiterte den Geltungsbereich.
Anwendbarkeit: In Kraft seit 22.01.2021 · Verpflichtend für neue Fahrzeugtypen seit 07/2022 · Für alle Neuproduktion seit 07/2024
UN-R156 (Software Update Management)
Verlangt einen dokumentierten Software-Update-Management-Systeme-Nachweis (SUMS) und sichere Update-Prozesse. Begleitet UN-R155 und ist Voraussetzung für Over-the-Air-Updates an genehmigten Fahrzeugtypen.
Anwendbarkeit: Gleiche Zeitlinie wie UN-R155 · Cut-off für Sondertypen 07.07.2026
ISO/SAE 21434:2021
Internationaler Standard für Cybersecurity-Engineering von elektrisch/elektronischen Systemen in Straßenfahrzeugen — von Konzept über Entwicklung, Produktion, Betrieb bis Stilllegung. Komplementär zu ISO 26262 (funktionale Sicherheit). Praktische Voraussetzung, um UN-R155-Konformität nachzuweisen.
Anwendbarkeit: Veröffentlicht 31.08.2021 · 1. Edition gültig
- ISO/SAE 21434:2021 — ISO
ISO 26262
Internationaler Standard für funktionale Sicherheit elektrischer/elektronischer Systeme im Fahrzeug. Klassifiziert Risiken nach ASIL (A bis D). Software, die sicherheitsrelevante Funktionen ansteuert, fällt in den Anwendungsbereich.
Architektur-Muster für B2B-Apps
Fahrzeug-Schnittstelle
BLE · WiFi-Direct · UDS-on-IP · CAN-FD-Gateway · OBD-II
Mehrere Konnektivitätspfade parallel — von der App ans Fahrzeug oder das Diagnose-Gateway. Robustheit gegen Verbindungsabbrüche ist Pflicht.
Mobile App-Schicht
Flutter · Native iOS/Android (sicherheitskritische Pfade) · Offline-First-Datenmodell
Cross-Platform mit Flutter für 80–90 % der Funktionalität, native Brücken für sicherheitskritische oder hardwarenahe Operationen.
Backend & Telematik
NestJS · MQTT/Kafka · TimescaleDB · CSMS-konformer Update-Workflow
Telemetrie-Ingestion mit auditierbarem Eventlog. Software-Updates strukturiert nach UN-R156 mit signierten Manifests und rollbarer Verteilung.
Identity & Sicherheit
OIDC (Authentik) · Mutual TLS · HSM für Schlüssel · Code-Signing-Pipeline
Trennung von Werkstatt-Mitarbeitern (OIDC) und Endkunden (eigener Auth-Provider). Schlüsselverwaltung in einem Hardware Security Module statt im Code.
Empfohlener Stack
| Technologie | Begründung |
|---|---|
| Flutter | Single Codebase für iOS und Android, robuste BLE- und Bluetooth-Integration, schnelle Iteration im OEM- und Werkstatt-Kontext. |
| NestJS + Fastify | Strukturierte TypeScript-Architektur mit klarer Modul-Separation für Compliance-Audits. Performante WebSocket-Schicht für Live-Telematik. |
| TimescaleDB / PostgreSQL | Zeitreihen-Telemetrie und Lifecycle-Daten in einer Datenbank — keine Multi-DB-Komplexität. |
| Authentik (OIDC) | Self-hosted Identity-Provider unter eigener Kontrolle, mit DSGVO-konformer Nutzerverwaltung. |
| Sentry + Grafana Cloud | Plattformweites Error-Tracking und Metriken — Voraussetzung für nachvollziehbare Vorfall-Analysen nach UN-R155. |
Quellen
- UN Regulation No. 155 — EUR-Lex
- UN-R155 Supplement 3 (in force 10 Jan 2025) — EUR-Lex
- ISO/SAE 21434:2021 — ISO
- SAE & ISO Publish Joint Automotive Cybersecurity Standard (2021) — SAE International
Stand: 2026-04-30
Weiter lesen
Andere Branchen
Industrie 4.0
Plattform-Software für vernetzte Produktion: Asset Administration Shell, RAMI 4.0 und EU-Compliance.
IoT & Vernetzte Produkte
B2B-Apps für vernetzte Geräte — vom BLE-Sensor bis zur Echtzeit-Telemetrie-Plattform.
Maschinenbau
Service-Apps, MES-Anbindung und OPC-UA-Integration für DACH-Maschinenbauer.
Facility Management
Apps und Plattformen für CAFM, Smart Building und EU-Energieeffizienz-Compliance.
Handwerk & Bau
Mobile-First-Apps für Handwerksbetriebe und Baustellen — von Auftragsabwicklung bis BIM-Anbindung.
Konkretes Vorhaben in dieser Branche?
Wir entwickeln Software, die zu den regulatorischen, technischen und organisatorischen Realitäten Ihrer Branche passt — ohne überflüssige Komplexität.