Cloud-Infrastrukturen und Security by Design im AutomobilsektorCloud-native DevOps verändert die SDV-Entwicklung
Ein Gastbeitrag von
Michele Del Mondo*
5 min Lesedauer
Software-Defined Vehicles (SDV) verlangen nach neuen Entwicklungsprinzipien. Cloud-native DevOps-Plattformen und integrierte Security-Strategien sorgen nicht nur für Geschwindigkeit, sondern auch für Vertrauen in sicherheitskritischen Umgebungen.
Cloud-native DevOps und Security by Design beschleunigen die Entwicklung von Software-Defined Vehicles und sichern regulatorische Konformität.
Moderne Fahrzeuge sind keine Maschinen mehr, sondern digitale Plattformen auf Rädern. Mit vielen Millionen Zeilen Code ist die Software das neue Differenzierungsmerkmal. Das stellt OEMs und Tier-1-Zulieferer vor grundlegende Herausforderungen in der Entwicklungslogik: Statt starrer Entwicklungszyklen und lokaler Toolchains braucht es flexible, skalierbare und sichere Cloud-native Umgebungen. Die Fähigkeit, komplexe Systeme mit hoher Änderungsdynamik sicher zu betreiben und zu pflegen, entscheidet zunehmend über den Markterfolg.
Neue Architektur, neue Anforderungen
Software-Defined Vehicles folgen zentralisierten E/E-Architekturen mit leistungsstarken Zentralrechnern. Damit steigen die Anforderungen an dynamische Updates, Funktionsentkopplung und systematische Wiederverwendung. Gleichzeitig fordern Regularien wie ISO/SAE 21434, ASPICE oder UNECE R155 eine lückenlose Dokumentation, sichere Entwicklungsprozesse und umfassendes Risikomanagement.
Diese regulatorischen Anforderungen machen es erforderlich, dass Sicherheitsaspekte bereits in den frühesten Phasen des Entwicklungsprozesses berücksichtigt werden. Eine mangelnde Integration von Sicherheitsvorgaben in der Architekturphase kann später zu kostspieligen Nacharbeiten, Verzögerungen bei der Zulassung oder sogar zu Produktrückrufen führen. Auch die Absicherung der Lieferkette rückt verstärkt in den Fokus: Jede Komponente muss nachvollziehbar, überprüfbar und sicher integrierbar sein.
Cloud-native DevOps als Antwort auf Komplexität und Geschwindigkeit
Cloud-basierte DevOps-Plattformen bilden das methodische Rückgrat für SDV-Entwicklung: Continuous Integration und Continuous Delivery (CI/CD) mit integrierten Security-Scans, automatisierte Compliance-Prüfungen, skalierbare Testumgebungen – das alles sorgt für Effizienz, Sicherheit und Transparenz. Anbieter wie PTC unterstützen diese Prozesse mit Lösungen, die speziell auf die Anforderungen der Automobilbranche zugeschnitten sind. Die Cloud erlaubt dabei nicht nur schnellere Entwicklungszyklen, sondern auch einen reibungsloseren Wechsel zwischen Entwicklung, Testing und Deployment.
Ein Beispiel: Statt längere Release-Zyklen lokal zu bauen und zu validieren, können globale Teams in einer einheitlichen Umgebung entwickeln, testen und ausrollen. Das reduziert Time-to-Market drastisch, senkt Fehlerquoten und verbessert die Softwarequalität nachhaltig. CI/CD-Pipelines sorgen dafür, dass jede Codeänderung sofort getestet, validiert und bei Bedarf in Echtzeit ausgeliefert werden kann. Die Integration von Feature-Toggles ermöglicht zudem rollierende Updates, bei denen neue Funktionen schrittweise ausgerollt und bei Bedarf zurückgenommen werden können.
Security by Design: Sicherheit beginnt bei der Architektur
Spätestens mit der UNECE-Regelung R155 ist die ISO/SAE 21434 zur regulatorischen Realität geworden. In der Praxis bedeutet das: Security muss frühzeitig mitgedacht und methodisch im Entwicklungsprozess verankert werden. Cloud-native ALM-Plattformen wie Codebeamer unterstützen mit eingebautem Requirements-Management, automatisierten Risikobewertungen und Audit-Trails. So lassen sich Sicherheitsanforderungen modellbasiert steuern, überwachen und dokumentieren.
Security by Design bedeutet konkret: die Integration von Sicherheitsmechanismen wie Secure Boot, Verschlüsselung, Netzwerksegmentierung und Anomalieerkennung bereits auf der Architekturebene. In Kombination mit automatisierter Testabdeckung und modellbasierten Bedrohungsanalysen schaffen Cloud-native Plattformen die notwendige Transparenz und Sicherheit. Die Einbindung von Bedrohungsmodellen und Angriffsszenarien in den frühen Phasen des Systemdesigns hilft, Schwachstellen proaktiv zu adressieren.
Begriffe kurz erklärt
Software-Defined Vehicle (SDV): Fahrzeug, dessen Funktionen zunehmend durch Software statt durch Hardware bestimmt werden. Cloud-native DevOps: Kombination aus cloudbasierten Plattformen und DevOps-Prinzipien (kontinuierliche Entwicklung, Integration, Auslieferung). CI/CD (Continuous Integration / Continuous Delivery): Methoden, mit denen Softwareänderungen kontinuierlich getestet, integriert und ausgeliefert werden. Security by Design: Prinzip, Sicherheitsanforderungen von Beginn an in die Systemarchitektur einzubauen, nicht erst nachträglich. ISO/SAE 21434: Internationale Norm für Cybersicherheit im Automobilbereich. UNECE R155: UN-Regelwerk, das Cybersecurity-Management-Systeme für Fahrzeuge vorschreibt. ASPICE: Standard für Reifegradmodelle in der Automobil-Softwareentwicklung. MBSE (Model-Based Systems Engineering): Methodik, komplexe Systeme modellbasiert statt dokumentenbasiert zu entwickeln. Hardware-in-the-Loop (HiL), Software-in-the-Loop (SiL): Simulationsmethoden, bei denen Hardware- oder Softwarekomponenten virtuell getestet werden, bevor sie real im Fahrzeug landen.
Skalierbarkeit trifft auf Compliance
Die Cloud bietet nicht nur Geschwindigkeit, sondern auch Nachvollziehbarkeit: Jede Änderung, jedes Feature, jedes Release ist dokumentiert. Das ist entscheidend für Zertifizierungsprozesse, Zulassungsverfahren und gesetzliche Anforderungen. Gleichzeitig können durch Cloud-Ressourcen Test- und Simulationsumgebungen beliebig skaliert werden – ob Hardware-in-the-Loop, Software-in-the-Loop oder modellbasierte Tests. Auch die Integration von KI-gestütztem Testmanagement und Predictive Quality Monitoring wird durch Cloud-Plattformen erheblich vereinfacht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Durch standardisierte APIs und Microservice-Architekturen lassen sich neue Features in bestehende Systeme integrieren, ohne den Gesamtkontext zu beeinträchtigen. Ein gutes ALM-System verwaltet diese Änderungen zentral, dokumentiert Versionsstände und erlaubt ein gezieltes Rollback bei Problemen. Diese Flexibilität ist besonders wichtig für OEMs, die mehrere Modellvarianten über unterschiedliche Märkte hinweg bedienen. Gleichzeitig unterstützt das System eine enge Verzahnung mit Produktion und Aftermarket-Services und schafft damit die Grundlage für konsistente, wartbare und skalierbare Systemlandschaften.
Best Practices: Was die Industrie schon heute umsetzt
Volvo CE nutzt Cloud-ALM, um mechanische, elektronische und softwareseitige Anforderungen zusammenzuführen – mit direktem Effekt auf die Time-to-Market. Durch die zentrale Verwaltung von Sicherheitsanforderungen lassen sich regulatorische Unterschiede zwischen Absatzmärkten effizient handhaben. Veoneer realisiert mit Codebeamer eine durchgängige Sicherheitszertifizierung für Steer-by-Wire-Systeme, inklusive Versionierung und Audit-Trails.
BMW wiederum verbindet MBSE und DevOps, um Compliance, Variantenvielfalt und Sicherheitsarchitekturen in einem einheitlichen Prozess abzubilden. Durch die Verbindung von modellbasiertem Engineering mit automatisierten Pipelines entstehen digitale Entwicklungspfade, die nicht nur effizient, sondern auch nachvollziehbar und auditierbar sind.
ZF implementiert digitale Zwillingsstrategien, um frühzeitige Simulationen sicherheitskritischer Funktionen zu ermöglichen. Diese Echtzeit-Validierung, gekoppelt mit Cloud-nativen Infrastrukturen, beschleunigt die Innovationszyklen und reduziert die Anzahl physischer Prototypen signifikant. Auch Bosch testet derzeit cloudbasierte Software-in-the-Loop-Umgebungen, um komplexe Regelalgorithmen automatisiert zu validieren und zyklisch zu optimieren.
Die Transformation zum SDV ist nicht nur ein technologischer Wandel, sondern ein Kulturwandel im Engineering. Cloud-native DevOps-Plattformen schaffen die Grundlage, um komplexe Softwareprodukte sicher, effizient und nachvollziehbar zu entwickeln. Sie bieten Skalierbarkeit, Sicherheit und Compliance in einer bisher nicht gekannten Integrationstiefe.
Nur wer Architektur, Sicherheit und Variantenmanagement integriert denkt, wird langfristig im Markt bestehen können. Die Übertragung klassischer IT-Prinzipien in die SDV-Entwicklung ist dabei entscheidend für Zukunftsfähigkeit und Skalierung. Wer Sicherheit nicht als Bremse, sondern als Differenzierungsmerkmal begreift, schafft Vertrauen in digitale Mobilität – und bleibt auch in der Cloud wettbewerbsfähig.
* Der Autor Michele Del Mondo startete seine Karriere nach dem Maschinenbaustudium 1994 am Steinbeis-Transferzentrum in Karlsruhe. 1997 wechselte er zu Webasto SE und leitete die Einführung eines unternehmensweiten PLM-Systems. Später übernahm er als Director Sales die Verantwortung für den globalen Vertrieb für die Mercedes Car Group. Seit 2011 ist er bei PTC tätig und verantwortet als Global Advisor Automotive das weltweite Automotive Business.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/bc/e3bc7f53728cfdb4bc41914def215e8a/0109136174.jpeg "Viele Automobilhersteller begegnen dem Innovationsdruck mit einem Engagement in der Open-Source-Community. (Bild: RAEng_Publications)")
:quality(80)/p7i.vogel.de/wcms/fb/25/fb256911472fcdb51a1438c202d0d589/0125619808v1.jpeg "Multi-Agenten-System für den Cloud-Betrieb: Wie Audi mit Storm Reply die Anwendung entwickelte, erläutert Francesco Ongaro im Gespräch mit CloudComputing-Insider. (Bild: © Audi AG)")
:quality(80)/p7i.vogel.de/wcms/78/dd/78dd424bbfd2833a8b65b7347ba4b2f3/0127731503v1.jpeg "Ein CEA-Framework bringt GRC von der Papier-Policy in Code, verankert Kontrollen in CI/CD und automatisiert Prüfungen sowie Remediation. Ergebnis: mehr Transparenz, weniger Fehlkonfigurationen, schnellere Audits und kürzere MTTR in Cloud-nativen Umgebungen. (Bild: © Sonya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/9b/689b652ab5cc34b89b2887e9c9d3071a/0128432400v1.jpeg "Wann wird KI produktiv? Wenn Cloud-Plattformen, Human-in-the-Loop-Prinzipien und transparente Governance mit vernetzten Datenökosystemen zusammenwirken, sagt Workday-CTO Jens Löhmar in diesem Gastbeitrag. (Bild: © PikePicture - stock.adobe.com)")