Excel-Listen statt Plattform
Viele B2B-IoT-Initiativen starten mit Excel-Tabellen, E-Mail-Anhängen und manuellen Reports. Das skaliert nicht über mehrere hundert Geräte und macht Datenzugriffspflichten nach EU Data Act unerfüllbar.
Branche · IoT
Mobile- und Backend-Software für IoT-Plattformen
Vernetzte Produkte erzeugen kontinuierlich Daten — und neue Pflichten. Seit dem EU Data Act (anwendbar 12.09.2025) müssen Hersteller Endkunden den strukturierten Datenzugriff ermöglichen. Ab dem Cyber Resilience Act (volle Anwendbarkeit 11.12.2027) gelten verbindliche Cybersecurity-Anforderungen für jedes vernetzte Produkt am EU-Markt.
Branchenkontext
IoT-Anwendungen bestehen typischerweise aus vier Schichten: Geräten (Sensoren, Aktuatoren), einer Konnektivitätsschicht (BLE, MQTT, NB-IoT, LoRa), einer Datenebene (Telemetrie-Ingestion, Time-Series-Datenbank) und einer Anwendungsschicht (Mobile App, Dashboard, Alerts). Ab einer gewissen Geräte-Anzahl wird die Backend-Plattform zum Engpass — nicht die Konnektivität.
Im DACH-Mittelstand kommen 2026 zwei regulatorische Schwerpunkte zusammen: Datensouveränität (EU Data Act, Datenzugriffsrecht für Endkunden) und Cybersecurity-by-Design (Cyber Resilience Act, mit Geldbußen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes). Die Architekturentscheidungen, die heute getroffen werden, prägen die Compliance-Position für die nächsten 5–10 Jahre.
Typische Herausforderungen
Cybersecurity rückwirkend
Geräte, die ohne Update-Mechanismus, ohne Verschlüsselung und ohne Schwachstellen-Reporting in den Markt gegangen sind, müssen für CRA nachgerüstet werden — oder vom Markt genommen werden.
Konnektivitäts-Inseln
Die App spricht ein Protokoll, das Backend ein anderes, Legacy-Geräte ein drittes. Ohne saubere Protokoll-Brücke (z. B. MQTT-zu-HTTP) wird jede Erweiterung zur Klempnerarbeit.
Regulatorischer Rahmen
EU Data Act
Glossar →Verordnung (EU) 2023/2854 gibt Nutzern vernetzter Produkte ein Recht auf Zugang zu, Nutzung und Weitergabe der durch ihre Nutzung erzeugten Daten. Hersteller müssen Geräte und zugehörige Dienste so gestalten, dass dieser Zugriff technisch möglich ist.
Anwendbarkeit: Anwendbar seit 12. September 2025
- Regulation (EU) 2023/2854 — EUR-Lex
Cyber Resilience Act (CRA)
Verordnung (EU) 2024/2847 fordert Cybersecurity-by-Design für alle Produkte mit digitalen Elementen am EU-Markt: Schwachstellen-Management, Sicherheits-Updates, Konformitätsbewertung, Vorfall-Meldepflicht. Geldbußen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Anwendbarkeit: In Kraft seit 10.12.2024 · Meldepflichten ab 11.09.2026 · Volle Anwendbarkeit ab 11.12.2027
- Cyber Resilience Act — Summary — European Commission
- Regulation (EU) 2024/2847 — EUR-Lex
DSGVO / GDPR
Glossar →Telemetrie-Ströme enthalten oft personenbezogene Daten (Standort, Nutzungsmuster). Das gesamte Datenmodell muss DSGVO-konform sein — von der Erhebung über die Speicherdauer bis zum Recht auf Löschung.
- Regulation (EU) 2016/679 (GDPR) — EUR-Lex
Architektur-Muster für B2B-Apps
Edge & Geräte
Offene Konnektivitätsstandards (BLE, MQTT 5, NB-IoT, LoRaWAN) · zertifikatsbasierte Geräte-Auth · signierter Firmware-Update-Channel
Bidirektionale Verbindung mit Geräte-Authentifizierung (X.509-Zertifikat oder Pre-Shared-Key) und einem zuverlässigen Update-Mechanismus — die Voraussetzung für CRA-Konformität. Protokoll-Wahl je nach Reichweite, Energiebudget und vorhandener Geräte-Hardware.
Telemetrie-Ingestion
MQTT-Broker · WebSocket · typisierte Ingestion-API (z. B. NestJS, Fastify, Go) · Async-Job-Queue
Hochdurchsatz-Eingang von Geräte-Daten, sauber getrennt von der Anwendungs-API. Background-Jobs für Aggregation und Alerting. Sprache und Framework je nach Telemetrievolumen, Latenz-Anforderungen und Team — wir setzen TypeScript, Go und Rust produktiv ein.
Daten- und Lifecycle-Schicht
Relationale DB + Time-Series-Erweiterung (PostgreSQL + TimescaleDB · alternativ ClickHouse, InfluxDB) · Cache · Append-only Eventlog
Strukturierte Lifecycle-Daten (Geburts-Snapshot, Service-Historie) plus Time-Series-Telemetrie. Auditierbarkeit via unveränderlichem Eventlog. Postgres + TimescaleDB ist unser Standard-Setup; bei sehr hohen Schreibraten greifen wir auf ClickHouse oder Influx.
Mobile- und Portal-Schicht
Cross-Platform-App (z. B. Flutter, React Native) · Web-Portal · OIDC-basierte Auth (z. B. Authentik, Keycloak, Auth0)
Eine Codebasis für iOS/Android, ein Self-Service-Portal mit strukturiertem Datenexport (Data-Act-konform), ein Admin-Cockpit für Service. Wir setzen typischerweise Flutter ein und greifen zu Native-Bridges, wo der BLE-Stack es verlangt.
Wie wir den Stack wählen
Der konkrete Stack wird pro Projekt entschieden — abhängig von Datenmenge, Compliance-Anforderungen, Bestandssystemen und Team-Skills. Diese Tabelle zeigt unsere typischen Werkzeuge je Fähigkeit, mit jeweils zwei bis drei Beispielen, die wir produktiv eingesetzt haben.
| Fähigkeit | Womit wir das umsetzen |
|---|---|
| Cross-Platform Mobile mit nativer Hardware-Anbindung | Eine Codebasis, native Module für BLE und Sensorik. Typische Wahl: Flutter mit Native-Bridges; bei sehr nativen Hardware-Pfaden auch Swift/Kotlin direkt. |
| Telemetrie-Backend mit hohem Durchsatz | MQTT, WebSocket, Event-Sourced. Typisierte Backends — produktiv in TypeScript (NestJS, Fastify), Go oder Rust. Sprachwahl folgt Volumen, Latenz und Team-Skills, nicht andersherum. |
| Hybrid relational + time-series Datenhaltung | Für die meisten Fälle PostgreSQL + TimescaleDB in einer Datenbank. Bei sehr hohen Schreibraten oder analytischer Last: ClickHouse, InfluxDB. Begleitet von einem Append-only Eventlog als Audit-Schicht. |
| Offene IoT-Konnektivitätsstandards | MQTT 5, BLE, NB-IoT, LoRaWAN — herstellerneutral by design. Schützt vor Vendor-Lock-in auf Geräte- und Protokoll-Seite und bleibt anschlussfähig, wenn sich der Hardware-Lieferant ändert. |
| EU-gehostete Infrastruktur | Compute und Datenbank in einer EU-Region. Wir haben unter anderem auf Hetzner, DigitalOcean (Frankfurt), AWS Frankfurt und Azure Germany ausgeliefert — die Wahl hängt von Datensouveränität, vorhandenen Verträgen und SRE-Skills im Haus ab. |
Quellen
- Regulation (EU) 2023/2854 (Data Act) — EUR-Lex
- Regulation (EU) 2024/2847 (Cyber Resilience Act) — EUR-Lex
- MQTT Version 5.0 (OASIS Standard) — OASIS
- Bluetooth Core Specification 6.0 — Bluetooth SIG
Stand: 2026-04-30
Weiter lesen
Andere Branchen
Industrie 4.0
Industrie 4.0 Plattform-Entwicklung & Software für die vernetzte Produktion: Asset Administration Shell, OPC UA, EU Data Act und Cyber Resilience Act — für den DACH-Mittelstand.
Automotive
Automotive Software für Tier-1-Lieferanten und vernetzte Fahrzeuge — Companion Apps, OTA-Backends, Diagnose-Tools und Telemetrie-Plattformen, die UN-R155, UN-R156 und ISO/SAE 21434 von der ersten Zeile Code an mittragen.
Maschinenbau
Maschinenbau-Software, Service-Apps, MES-Anbindung und OPC-UA-Integration für den DACH-Mittelstand — VDMA-umati-kompatibel.
Facility Management
Facility Management Software & Plattformen für CAFM, Smart Building und EU-Energieeffizienz-Compliance — GEFMA 444/445-orientiert.
Handwerk & Bau
Individuelle Handwerker App und Bausoftware für DACH-Mittelstandsbetriebe — Mobile-First, offline-fähig, von Aufmaß und Bautagebuch über E-Rechnung (ZUGFeRD/X-Rechnung) bis BIM-Anbindung.
Konkretes Vorhaben in dieser Branche?
Wir entwickeln Software, die zu den regulatorischen, technischen und organisatorischen Realitäten Ihrer Branche passt — ohne überflüssige Komplexität.