Die Wahl der Programmiersprache für Fahrzeugsteuergeräte galt lange als reine Entwicklungsfrage. Seit in der EU eine UN-Regulierung für alle neu zugelassenen Fahrzeuge verbindlich ist und europäische Hersteller erste Rust-basierte Steuergeräte-Software in Serienfahrzeugen ausliefern, ist daraus eine Entscheidung geworden, die Architektur, Zulassung und Einkauf betrifft.
In welcher Programmiersprache wird Fahrzeug-Software geschrieben? Diese Frage rückt nunmehr in Bereiche, in denen über Architektur, Risiko und Zulassung entschieden wird.
(Bild: frei lizensiert bei Pexels)
Als Mitgründer eines Unternehmens, das Software für Fahrzeugsteuergeräte entwickelt und ausliefert, beobachte ich eine Verschiebung, die inzwischen auch Produkthaftung und Strategie berührt. Die Frage, in welcher Programmiersprache Fahrzeug-Software geschrieben wird, verlässt die Entwicklerbüros und rückt in Bereiche, in denen über Architektur, Risiko und Zulassung entschieden wird. 2026 liefern europäische Hersteller erstmals Rust-basierte Software in Serienfahrzeugen aus. Das ist kein Experiment, sondern eine Reaktion auf Anforderungen, die seit Mitte 2024 gelten.
Was die UN-Regulierung ausgelöst hat
UNECE R155 ist die UN-Regulierung zur Fahrzeugcybersicherheit. Seit Juli 2024 ist sie für alle neuen in der EU zugelassenen Fahrzeuge verbindlich. Hersteller und Zulieferer müssen seither nachweisen, dass ihre Fahrzeug-Software auf Cyberangriffe überwacht, bewertet und bei Bedarf aktualisiert werden kann. Im Fokus stehen kryptografische Funktionen, Update-Mechanismen für drahtlose Softwareaktualisierungen und alle Komponenten, die externe Daten verarbeiten. Genau dort sitzen auch die gefährlichsten Software-Fehler.
Was sich durch die Regulierung ändert, ist weniger ein neues Feature, sondern die Nachweispflicht. Wer heute ein neues Fahrzeug zulassen will, muss darlegen, wie die Software über den gesamten Lebenszyklus überwacht und abgesichert wird. Das verändert die Bewertung von Programmiersprachen. Was gestern eine reine Entwicklungsentscheidung war, ist heute Teil eines Dossiers, das gegenüber Behörden und Zertifizierungsstellen bestehen muss.
Warum Speicherfehler zum zentralen Thema werden
Eine Studie des Microsoft Security Response Center und dem Google Chrome Security-Programm weist aus, dass 60 bis 70 Prozent der Sicherheitslücken in eingebetteten Systemen auf Speicherprobleme zurückgehen. Gemeint sind Fehler, bei denen Software auf Speicher zugreift, auf den sie nicht zugreifen sollte, oder auf Speicher, der bereits freigegeben wurde. Das Problem mit dieser Fehlerklasse: Sie ist im Fahrzeug oft nicht sichtbar.
Auf einem Desktop-Betriebssystem fängt ein Schutzmechanismus eine Speicherkorruption meist ab und erzeugt einen sichtbaren Absturz. Auf einem Mikrocontroller in einem Fahrzeug fehlt dieser Schutz in vielen Fällen. Ein korrumpierter Zustand kann unbemerkt bestehen bleiben und zu unzuverlässigen Sensordaten oder Fehlfunktionen in sicherheitskritischen Systemen führen. In der Produktion ist das die Fehlerklasse, die am schwersten zu reproduzieren und am teuersten zu beheben ist.
Rust adressiert dieses Problem auf Sprachebene. Das Ownership-Modell, der Kernmechanismus der Sprache zur Speicherverwaltung, legt bereits zum Zeitpunkt der Übersetzung fest, welche Programmteile wann auf welchen Speicherbereich zugreifen dürfen. Unzulässige Zugriffe werden nicht zur Laufzeit abgefangen, sondern vom Compiler abgelehnt. Code, der nicht gebaut werden kann, kann auch im Feld keinen Schaden anrichten.
Was europäische Hersteller heute ausliefern
Wer Rust im Automotive-Bereich bisher mit dem Argument abwehrte, es fehlten Serienreferenzen, hat 2026 weniger Argumente. In jedem Volvo EX90 und Polestar 3, der heute vom Band läuft, arbeitet ein Low-Power-Steuergerät, dessen Firmware vollständig in Rust geschrieben ist. Ampere, die Elektromobilitätsmarke der Renault-Gruppe, hat über 200 Entwickler in Rust geschult und setzt die Sprache gezielt in sicherheitsrelevanten Komponenten ein. Dazu gehören kryptografische Operationen und die Prozesse für Firmware-Updates. Für die nächste Generation von Fahrerassistenzsystemen plant Ampere den Einsatz von Rust auf ASIL-B-Niveau. Rust heute auf Stufe B serientauglich einsetzen zu können, setzt qualifizierte Compiler und zertifizierte Teile der Standardbibliothek voraus. Diese Infrastruktur ist seit der Embedded World 2026 sichtbar gewachsen.
Keine Sprachdebatte, sondern eine Architekturfrage
Rust ersetzt C nicht. Wer das behauptet, kennt die Realität industrieller Embedded-Entwicklung mit Produktlebenszyklen von 15 Jahren nicht. Die Frage, die Entwicklungsleitung und Einkauf heute beantworten müssen, lautet anders. An welchen Stellen senkt der Wechsel das Gesamtrisiko, und an welchen Stellen erhöht er es?
AUTOSAR Classic ist in C implementiert und seit Jahrzehnten im Feld validiert. Hardware-nahe Treiber, die unter bestehenden Werkzeugketten bereits auf höchster Sicherheitsstufe zertifiziert wurden, neu zu schreiben, ergibt wirtschaftlich keinen Sinn. Das C-Ökosystem für diese Schichten ist ausgereift, auditiert und in seinem Fehlerverhalten gut verstanden. Die pragmatische Antwort liefert die AUTOSAR-Laufzeitumgebung, also die Schnittstelle zwischen Applikations- und Basis-Software. Etliche Automotive-Softwareanbieter ermöglichen heute Rust-Komponenten auf dieser Schicht. Bestehender C-Code und neuer Rust-Code koexistieren im selben Steuergeräteprojekt. Das ist kein Kompromiss, sondern Engineering-Realität.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Auch innerhalb des Rust-Ökosystems ist Sicherheitszertifizierung kein binärer Schalter. Ferrocene, die zertifizierte Rust-Werkzeugkette für sicherheitskritische Anwendungen, ist für den Compiler auf ASIL D qualifiziert, für Teile der Kernbibliothek derzeit auf ASIL B. Das Ökosystem schließt diese Lücken kontinuierlich, aber wer heute auf höchsten Sicherheitsstufen arbeitet, muss das in die Architekturentscheidung einrechnen.
Wo Rust im Fahrzeug heute den größten Hebel hat
Aus Sicht eines Unternehmens, das Rust-basierte Software für Steuergeräte vom Infineon Aurix TriCore bis zum Linux-basierten Hochleistungssystem entwickelt und ausliefert, kristallisieren sich drei Einsatzfelder heraus.
Die Software-Schicht zwischen Hardware-Abstraktion und eigentlicher Fahrzeugfunktion wächst in ihrer Komplexität am stärksten. Parallele Prozesse, asynchrone Kommunikation zwischen Komponenten und ein Zustandsmodell, das global korrumpiert werden kann, wenn die Speicherverwaltung fehlerhaft ist. Der Mechanismus, mit dem Rust parallele Schreibzugriffe bereits zur Übersetzungszeit verhindert, greift hier am direktesten und schaltet eine Fehlerklasse aus, die in C-Codebasen zu den aufwendigsten Debugging-Fällen gehört.
Die zweite Gruppe umfasst Komponenten mit Angriffsfläche. Kryptografische Funktionen, Update-Handler und Parser für externe Nachrichten sind die Stellen, an denen Speicherfehler nicht zu Fehlfunktionen führen, sondern zu ausnutzbaren Sicherheitslücken. Hier ist strukturelle Speichersicherheit keine technische Tugend, sondern eine regulatorische Erwartung. Wer UNECE R155 nachweislich erfüllen will, wird für diese Komponenten begründen müssen, warum er auf die Sicherheitsgarantien verzichtet, die Rust auf Sprachebene liefert.
Die dritte Gruppe sind neue Plattformen ohne Altbestand. Wer heute ein neues Steuergerät von Grund auf entwickelt, hat kei
nen sachlichen Grund mehr, dabei ausschließlich auf C zu bestehen. In Projekten auf der grünen Wiese entfallen Migrationskosten vollständig, die Werkzeugauswahl ist frei, und das Team kann von Beginn an mit den Sicherheitsgarantien der Sprache arbeiten, statt sie nachträglich durch externe Analysewerkzeuge herzustellen.
Der Ausredenkatalog wird kürzer
Für technische Entscheider lautet die produktivere Frage nicht mehr „Rust oder C?“, sondern: Welche Komponenten tragen mit welcher Sprache das geringste Gesamtrisiko, technisch, regulatorisch und wirtschaftlich? Das ist eine Architekturentscheidung, keine Sprachdebatte.
Was sich 2026 verändert hat, ist konkret. Fahrzeughersteller liefern Serienfahrzeuge mit Rust-Komponenten aus. Regulierungsanforderungen konkretisieren sich. Zertifizierungsinfrastruktur wächst. Wer heute eine neue Steuergeräteplattform aufsetzt, muss begründen, warum er Rust nicht einsetzt, nicht mehr umgekehrt.
Die Frage lautet also nicht mehr, ob Rust ins Fahrzeug gehört. Sondern welche Komponenten zuerst migriert werden und mit welcher technischen und regulatorischen Begründung. (se)
:quality(80)/p7i.vogel.de/wcms/39/92/3992022e63899fa73fb05fab0a587bc7/0130916056v2.jpeg "ZF hat die Rolle des CTO neu geschaffen, die von Dr. Peter Holdmann ausgefüllt werden wird. (Bild: ZF)")
:quality(80)/p7i.vogel.de/wcms/1a/88/1a88dc91e31defa25a1da70a197698a9/0130913849v2.jpeg "Bündelung des Know-how: Dr. Albrecht Kindler, GF und CFO, Cubos, Klaus Holzhauser ChargeOne, Oskar Klaes, CCO, Cubos, Maximilian Wille, Chief of Staff, Cubos, Philipp Breuer ChargeOne (vlnr.) (Bild: Cubos)")
:quality(80)/p7i.vogel.de/wcms/36/b6/36b6ec7d0f62f63c3afed29ac7ee35e1/0130761304v2.jpeg "Speicherchips werden in China aktuell von der Presse als digitales Gold bezeichnet. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bb/95/bb95bde7af92f5e6ea1c3907ee0339a1/0130757742v2.jpeg "Freuen sich auf die Zusammenarbeit: Daniel Schönfelder, Leiter des Unternehmensbereichs Battery Materials bei BASF, und Marc Affüpper, Geschäftsführer TSR, unterzeichnen eine Vereinbarung zur Kooperation beim Recycling von Stromerbatterien in Europa. (Bild: Marina Terecov | BASF)")
:quality(80)/p7i.vogel.de/wcms/80/a1/80a1fcf422df7939294344fa9f74e58b/0130919056v2.jpeg "In welcher Programmiersprache wird Fahrzeug-Software geschrieben? Diese Frage rückt nunmehr in Bereiche, in denen über Architektur, Risiko und Zulassung entschieden wird. (Bild: frei lizensiert bei Pexels)")
:quality(80)/p7i.vogel.de/wcms/0b/54/0b543bdd6423720d53fc511cf441527d/0130908183v2.jpeg "Der Stadtbus soll ab Herbst 2026 testweise in München unterwegs sein. (Bild: Bernhard Huber)")
:quality(80)/p7i.vogel.de/wcms/5d/22/5d22f301eec5be6dc3e06232ca757a54/0130870631v2.jpeg "Bosch bietet nunmehr die dritte Generation seiner Leistungshalbleiter aus Siliziumkarbid für vielseitige Automotive-Anwendungen. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/5b/02/5b0226319b3ee00eb76435c9686c0d84/0130860779v2.jpeg "Eine kontrollierte, bei Bedarf lösbare Klebeverbindung lässt Korrekturen während der Produktion und Reparaturen über den gesamten Produktlebenszyklus zu. (Bild: Aumovio)")
:quality(80)/p7i.vogel.de/wcms/22/56/22569a21876902be5f7a28715af9aaa2/0130896104v1.jpeg "Zu Pannen mit Elektroautos muss der ADAC seltener ausrücken. (Bild: ADAC/Wilfried Wulff)")
:quality(80)/p7i.vogel.de/wcms/68/49/6849b8dcd99c4341a650c876b7dd0ecc/0130900098v2.jpeg "BYD hat am 31. März mit der Linie 17 am Stadtrand der Metropole Sao Paulo die erste größere Sky-Rail-Strecke außerhalb von China in Betrieb genommen. (Bild: BYD)")
:quality(80)/p7i.vogel.de/wcms/a7/e7/a7e7f446f060a156876c6e04faf34185/livraisonde25toyotamiraiaacutelasocinottnotdetaxishype-5760x3238v1.jpeg "Uber will in Paris seine Flotte um 2.000 Wasserstoff-Taxis erweitern. Im Bild: Modelle der ersten Generation des Toyota Mirai des französischen Unternehmens Hype. (Bild: Toyota)")
:quality(80)/p7i.vogel.de/wcms/db/aa/dbaadddb058a27b7672c293ec99dc177/lufthansa-20city-201920-kux-7195-1800x1012v1.jpeg "Lufthansa streicht 20.000 Kurzstreckenflüge. (Bild: Lufthansa)")
:quality(80)/p7i.vogel.de/wcms/c3/68/c368a3ad72ac970809451c311e05a07b/0127817359v2.jpeg "Der Erfolg der Zürcher S-Bahn: Die Doppelstockzüge, seit 1990 im Netz der Zürcher
S-Bahn eingesetzt werden. (Bild: SBB/CFF/FFS)")
:quality(80)/p7i.vogel.de/wcms/6a/4f/6a4f63cfca5e01026d25edd19b5302c5/0127761368v3.jpeg "Mit der Bahn quer durch Europa: Durch die neuen Pläne sollen Flüge reduziert werden und der Schienenverkehr ausgebaut werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/42/86/4286fd057b5413102fbac1758d2dc55f/0127713923v3.jpeg "Rheinmetall wirde mit dem Red Dot Design Award 2025 für den Ladebordstein im Gesamtwettbewerb „Product Design“ in der Kategorie „Innovative Design“ prämiert. (Bild: Rheinmetall)")
:quality(80)/p7i.vogel.de/wcms/36/49/36496a26b0c295de6d9a36d66ea7571a/0125402418v3.jpeg "Eine chinesische Magnetschwebebahn erreichte 650 km/h in nur 7 Sekunden. (Bild: Dall-E / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113400/113491/65.gif "metrofunk-logo.gif ()")
:fill(fff,0)/p7i.vogel.de/companies/62/16/621651a93b1ef/logo-we-rgb-pos.png "logo-we-rgb-pos (Würth Elektronik)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bc/81/bc815d76180f8e2405b22e1b91f52110/0125635010v2.jpeg "Schnell und sicher: Rust ist in IT-Anwendungen seit Jahren etabliert, dringt aber zunehmend in Embedded- und Automotive-Software vor. (Bild: Vector Informatik)")
:quality(80)/p7i.vogel.de/wcms/e3/c8/e3c842a79956fbaf62814fe7cf76cb68/0125756378v2.jpeg "HighTec und Elektrobit bündeln ihre Kompetenzen für Rust und AUTOSAR Classic mit Drive Core von Infineon. (Bild: Elektrobit)")
:quality(80)/p7i.vogel.de/wcms/bc/81/bc815d76180f8e2405b22e1b91f52110/0125635010v2.jpeg "Schnell und sicher: Rust ist in IT-Anwendungen seit Jahren etabliert, dringt aber zunehmend in Embedded- und Automotive-Software vor. (Bild: Vector Informatik)")
:quality(80)/p7i.vogel.de/wcms/e3/c8/e3c842a79956fbaf62814fe7cf76cb68/0125756378v2.jpeg "HighTec und Elektrobit bündeln ihre Kompetenzen für Rust und AUTOSAR Classic mit Drive Core von Infineon. (Bild: Elektrobit)")