Miriam Gruber, Cariad

„Die Idee ist das Prinzip Security by Design“

Cariad ist seit Oktober 2025 eines der ersten Unternehmen, das nach ISO/SAE-21434 zertifiziert ist. Miriam Gruber, Head of Integrated Management Systems bei Cariad, über die Bedeutung der Norm für das Unternehmen, die Produkte und für die Endkunden.

Götz Fuchslocher Götz Fuchslocher Götz Fuchslocher Redaktion & Leitung Printproduktion

4. Februar 2026 - 13:59

3 min

Wie Miriam Gruber betont, macht die ISO 21434 individuelle Ansätze jetzt überflüssig und bietet einen gemeinsamen Rahmen für die Cybersicherheit in der Automobilentwicklung und -produktion.

CARIAD SE

Mit dem steigenden Digitalisierungsgrad moderner Fahrzeuge nimmt auch die Zahl potenzieller Angriffsflächen zu. Cybersicherheit wird daher zu einem zentralen Qualitäts- und Vertrauensfaktor. Die ISO/SAE 21434 etabliert sich derzeit als zentraler Standard für Cybersecurity-Management in der Automobilindustrie. Noch stecken zahlreiche Unternehmen mitten im Zertifizierungsprozess oder setzen auf nicht akkreditierte Zertifikate. Volkswagens Softwaretochter Cariad will sich unter anderem auch aufgrund der frühen Zertifizierung als technologisch und organisatorisch führend im Bereich Fahrzeug-Cybersecurity etablieren.

Frau Gruber, Cariad hat im Oktober als eines der ersten Unternehmen eine Zertifizierung nach ISO/SAE-21434 durch eine für Cybersecurity akkreditierte Prüfgesellschaft erhalten. Was genau steht hinter der Zertifizierung? Was ist anders als etwa bei der etablierten Norm ISO 26262?

Bei der ISO/SAE 21434 handelt es sich um ein Pendant zur bereits etablierten ISO 26262, jedoch mit dem Fokus auf Cybersecurity. Mit ihr etabliert sich ein zentraler Standard für das Cybersecurity-Management in der Automobilindustrie. Bei ISO 26262 geht es um die Minimierung von Fehlern, die vom Fahrzeug ausgehen könnten. Bei ISO 21434 geht es um den Schutz vor aktiven Angriffen von außen. Dahinter stehen zunächst eine Analyse, dann das Einschätzen der Risiken sowie das Einplanen konkreter technischer Maßnahmen. Und diese gilt es in das Produkt einzubringen, sodass letzten Endes die Risiken minimiert werden.

Was bedeutet diese ISO-Zertifizierung für ein Softwareunternehmen wie Cariad im Vergleich zum letztlich für das Endprodukt gesamtverantwortlichen OEM?

Zur Einordnung hilft ein Blick auf die UNECE-Regelung UN R155. Sie verlangt von den OEMs vor jeder Typzulassung den Nachweis einer entsprechenden Absicherung vor Cyberrisiken und verpflichtet sie zur Implementierung eines Cyber Security Management Systems. Damit lassen sich Risiken über den gesamten Fahrzeuglebenszyklus identifizieren und minimieren. Die Adressaten sind also OEMs, die die Fahrzeuge in Verkehr bringen. Die Regelung verlangt aber auch, dass alle Beteiligten der Lieferkette die Anforderungen erfüllen müssen, also auch wir als Automotive Software-Unternehmen. Parallel dazu ist nun die ISO-Norm 21434 entstanden. Sie verlangt Grundprinzipien und Prozesse der Cybersicherheit von allen, die sich mit elektrischen und elektronischen Fahrzeugsystemen befassen.

Dahinter steht also die Idee, dass Cybersicherheit von Anfang an allumfassend mit einbezogen wird. Wie umfangreich sind die Vorgaben durch die Norm? Was bedeutet dies in der Praxis für die Entwickler und Entwicklerinnen bei Cariad?

Die Norm beschreibt nicht nur, was es zu tun gilt, bevor etwas in den Markt gebracht wird, sondern auch all jene Maßnahmen, um das Produkt im Feld sicher zu betreiben. Dies lässt sich sehr gut mit unseren Smartphones vergleichen, für die wir ja auch immer wieder Sicherheitsupdates erhalten. Die Idee ist das Prinzip „Security by Design“, also von vornherein Risiken in Systemen zu minimieren und die Möglichkeit zu schaffen, Security-Updates zu fahren und Sicherheitspatches auszurollen.

Warum 2026 ein Wendepunkt für SDV werden kann

2026 wird für Software-defined Vehicles zum Realitätstest. Martin Schleicher sieht die Branche an einem Wendepunkt: Entscheidend sei nicht mehr die Vision, sondern wer konkrete Software liefern kann. Doch woran lässt sich das wirklich messen?

Martin Large

Welchen Vorteil hat eine Zertifizierung nach ISO 21434 generell und der frühe Zertifizierungszeitpunkt im Besonderen für Cariad?

Insbesondere geht es darum, ein standardisiertes Vorgehen in unserer Branche zu etablieren und ein Forum für den Austausch zu bieten. Der Cybersecurity-Markt entwickelt sich rasant und ständig weiter. Angreifer entwickeln immer neue Methoden. Dies hat eine beständige Risikobewertung zur Folge, ein Anreichern mit neuen Daten, ein ständiges Aktualisieren. Dabei hilft der Erfahrungsaustausch. Wenn alle nach dem gleichen Modell vorgehen, können wir Risiken besser bewerten und schneller Lösungen entwickeln.

Individuelle Ansätze zur Bekämpfung der Angreifbarkeit sollen durch die ISO künftig also hinfällig werden?

Bis zur Einführung der ISO-Norm haben OEMs und Zulieferer ihre eigenen Ansätze zur Bekämpfung der Cybersicherheit formalisiert. Die ISO 21434 macht individuelle Ansätze jetzt überflüssig und bietet einen gemeinsamen Rahmen für die Cybersicherheit in der Automobilentwicklung und -produktion. Sie definiert nicht nur die Anforderungen an Cybersicherheitsprozesse, sondern entwickelt auch eine gemeinsame Sprache für das Verständnis von Softwaresicherheit und Cybersicherheitsrisikomanagement.

Welche Vorteile entstehen daraus für die Ingenieurinnen und Ingenieure bei Cariad?

Zunächst handelt es sich bei der Zertifizierung um eine Art Vertrauensmerkmal. Die Kunden, in unserem Fall die Marken des Volkswagen-Konzerns, können sich darauf verlassen, dass wir unseren Job richtig machen. Das Zertifikat belegt, dass wir Produkte liefern, die hohe Cybersicherheitsstandards erfüllen. Hinzu kommt: Auch wir als Softwareunternehmen arbeiten mit Dienstleistern zusammen. Das Zertifikat hilft uns dabei nachzuweisen, dass wir mit vertrauenswürdigen Prozessen arbeiten. Ein anderer Vorteil ergibt sich für die Entwickler selbst. Sie haben nun eine gewisse Sicherheit, dass sie rechts- und regelkonform und nach dem Stand der Technik arbeiten. Zu guter Letzt stellt das Zertifikat auch eine Arbeitserleichterung dar. Statt mit jedem Projekt neu zu prüfen, wie die Regularien erfüllt werden, können wir jetzt auf einen Standardprozess zugreifen, der zertifiziert ist. Das ist eine deutliche Arbeitserleichterung.

So will Cariad die Softwareentwicklung beschleunigen

Nachvollziehbarkeit und Geschwindigkeit sind hohe Güter in der Softwareentwicklung. Mit einer selbstkreierten Datenplattform will Volkswagens Softwaretochter Cariad der Konkurrenz aus China und den USA künftig in nichts nachstehen.

Keine Norm, keine Zertifizierung kann jede Eventualität abdecken. Wo liegen die Grenzen?

Eine hundertprozentige Sicherheit wird es nie geben, auch nicht durch die Einführung neuer Normen. Die gibt es weder beim Laptop noch beim Smartphone. Was wir aber dank des Austausches zur neuen ISO-Norm sehen: die Branche hat ein neues wichtiges Werkzeug bekommen, um Cyberrisiken zu minimieren. Das hilft Teams branchenweit beim Screening und Bewerten neuer Risiken.

Wie ist es um die Internationalität der Zertifizierung bestellt?

Da es sich um eine ISO SAE-Norm handelt, ist neben Europa insbesondere auch der amerikanische Markt abgedeckt, und wir bedienen damit auch den chinesischen Markt. Damit sind wir international gut aufgestellt.

Zur Person:

Miriam Gruber ist Expertin für Automotive Security mit langjähriger Erfahrung in der Automobilindustrie. Nach dem Mathematikstudium mit Schwerpunkt Kryptologie arbeitete sie als Technologieberaterin und technische Projektleiterin, bevor sie bei BMW das Security-Team für Fahrerassistenzsysteme aufbaute und leitete. Seit 2020 ist sie bei CARIAD SE tätig. Zuerst als Lead Security Architektin, wo sie Sicherheitsstrategien entwickelte und ein Cybersecurity Management System nach ISO 21434 implementierte. Seit Dezember 2024 leitet sie die Abteilung für Integrierte Management Systeme, welche das Cybersecurity Management System mit anderen Management Systemen für Qualität, Safety, Produktkonformität und KI verantwortet und harmonisiert.