Anomalieerkennung gegen Objekterkennung: warum die Differenz Geld kostet

Objekterkennung beantwortet die Frage, was im Bild ist. Anomalieerkennung beantwortet die Frage, ob das, was im Bild ist, dort sein sollte. Die zweite Frage ist die teurere, und sie ist die einzige, die im Sicherheitskontext zählt.

Wer Ausschreibungen für videogestützte Sicherheit liest, sieht den Begriff KI in fast jeder Antwort. In den meisten Fällen verbirgt sich dahinter eine Objekterkennung, deren Modelle vor mehreren Jahren öffentlich verfügbar gemacht wurden und seither in fast jedes Produkt der Branche eingebaut sind. Die Modelle erkennen Personen, Fahrzeuge, Tiere, Werkzeuge. Das ist nützlich. Es ist auch nicht hinreichend. Eine Person ist auf einer Baustelle nicht per se ein Alarm. Eine Person um drei Uhr nachts in der Materialzone, ohne Helm, ohne registrierten Zutritt, mit gerichtetem Bewegungspfad in Richtung des Verteilerschranks, ist ein Alarm. Der Unterschied zwischen beiden Aussagen ist der Unterschied zwischen einem Bild und einer Interpretation. Er ist auch der Unterschied zwischen einem Fehlalarm pro Stunde und einem Vorfall pro Quartal.

In Kapitel 9 des Bandes BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie, ist diese Trennung beschrieben. Sie ist die Grundlage der Modelle, die im Hause Boswau + Knauer entwickelt und betrieben werden. Sie ist auch die Trennlinie, an der ehrliche Anbieter sich von Wiederverpackern unterscheiden.

Was Objekterkennung tatsächlich leistet

Objekterkennung ist eine ausgereifte Disziplin. Ihre Modelle basieren auf öffentlich zugänglichen Architekturen, die seit etwa 2015 in der wissenschaftlichen Literatur dokumentiert sind und seither in Iterationen weiterentwickelt wurden. Auf der Anwendungsebene bedeutet das, dass die Erkennung von Personen, Fahrzeugen und einer überschaubaren Anzahl typischer Objekte in guter Qualität als gelöst gelten kann. Die Treffergenauigkeit in kontrollierten Bedingungen liegt im hohen Bereich, häufig oberhalb von neunzig Prozent. Diese Zahl wird in Vertriebsgesprächen gern als Belastbarkeitsbeweis vorgetragen.

Sie ist nicht falsch, sie ist nur unvollständig. Eine Trefferquote von neunzig Prozent bedeutet, dass jedes zehnte Ereignis falsch klassifiziert wird. In einer Umgebung mit hohem Durchsatz, etwa einer Großbaustelle mit dreihundert registrierten Bewegungen pro Tag, entstehen daraus dreißig Fehlklassifikationen täglich. Wenn jede Fehlklassifikation in einen Alarm mündet, ist das System nach zwei Wochen ausgeschaltet, weil der Operator es ignoriert. Wenn keine Fehlklassifikation in einen Alarm mündet, ist das System abgeschaltet, ohne dass es jemand ausgeschaltet hat. Beide Zustände sind in der Praxis dasselbe.

Hinzu kommt, dass Objekterkennung an den Rändern ihrer Trainingsdaten unzuverlässig wird. Ein Modell, das auf Datensätzen aus Stadtumgebungen trainiert wurde, erkennt eine Person auf einer schneebedeckten Baustelle bei Dämmerung in deutlich schlechterer Qualität. Die Hersteller geben das selten an, weil ihre Benchmarks aus den Trainingsdomänen kommen. Wer ein System einkauft, sollte deshalb fragen, an welchen Daten es trainiert wurde, und ob diese Daten Ähnlichkeit mit der eigenen Einsatzumgebung haben. Die Antwort ist häufig vage. Eine vage Antwort ist eine Antwort.

Objekterkennung leistet, was sie leisten soll. Sie ist die Grundlage. Sie ist nicht das Produkt. Wer Sicherheit auf reiner Objekterkennung aufbaut, baut auf einer Lage, die im ruhigen Wetter trägt und im Schadensfall versagt. Das ist die teuerste Form der Investition, weil sie sich anfühlt wie Schutz und keiner ist.

Was Anomalieerkennung von ihr trennt

Anomalieerkennung ist keine Weiterentwicklung der Objekterkennung. Sie ist eine andere Disziplin. Sie fragt nicht, was im Bild ist, sondern ob das Verhältnis aus Objekten, Bewegungen, Zeitpunkten und räumlichen Beziehungen einem Muster folgt, das in den vergangenen Wochen als normal beobachtet wurde. Wenn dieses Verhältnis abweicht, ist das Ereignis eine Anomalie. Wenn es nicht abweicht, ist es Routine.

Diese Definition klingt einfach. In der Umsetzung ist sie aufwendig, weil sie eine Datenbasis verlangt, die über einen Zeitraum aufgebaut werden muss. Ein Modell, das Anomalien erkennen soll, braucht zunächst eine Beschreibung der Normalität. Diese Beschreibung wird nicht programmiert, sie wird gelernt. In den ersten Wochen eines Einsatzes sammelt das System die Bewegungsmuster, die Aufenthaltsdauern, die typischen Kombinationen aus Personen und Fahrzeugen, die Tageszeiten der Routine. Aus dieser Sammlung entsteht ein statistisches Profil. Erst danach beginnt die produktive Phase, in der Abweichungen von diesem Profil als Anomalien markiert werden.

Die Konsequenz für den Operator ist eine andere Alarmlogik. Ein Mensch in der Materialzone löst nicht aus, wenn er der Mensch ist, der jeden Morgen um sechs Uhr dort die Ausgabe öffnet. Derselbe Mensch löst aus, wenn er um zwei Uhr nachts dort steht, ohne dass eine Schicht hinterlegt ist. Das Modell unterscheidet nicht zwischen zwei Personen, es unterscheidet zwischen zwei Mustern. Diese Unterscheidung ist es, die die Fehlalarmrate in den Bereich bringt, in dem ein Sicherheitssystem über Jahre tragbar bleibt.

Anomalieerkennung ist außerdem die einzige Disziplin, die mit dem unbekannten Risiko umgehen kann. Eine Objekterkennung erkennt, was sie kennt. Sie übersieht, was sie nicht kennt. Eine Anomalieerkennung erkennt das Abweichende, ohne dass sie das Abweichende vorher gesehen haben muss. In Sicherheitsumgebungen, in denen die Bedrohungslage sich verändert, ist das der entscheidende Unterschied. Die Bedrohung von morgen ist nicht die Bedrohung von gestern. Wer auf den Bedrohungskatalog von gestern trainiert ist, ist morgen blind.

Warum der Markt die Differenz verwischt

Anbieter, die Objekterkennung verkaufen, sprechen ungern über die Grenze. Sie sprechen über Genauigkeit, über Geschwindigkeit, über Modelle. Sie sprechen nicht über Fehlalarmraten in nicht trainierten Domänen, sie sprechen nicht über Lernphasen, sie sprechen nicht über die Frage, was das System tut, wenn der Vorgang nicht im Trainingssatz war. Diese Lücke in der Kommunikation ist kein Zufall. Sie ist die Geschäftsgrundlage einer Reihe von Wiederverpackern, die Open-Source-Modelle in eigene Schalen stellen und als Eigenentwicklung verkaufen.

Wer prüfen will, ob ein Anbieter selbst entwickelt oder umetikettiert, kann das in einem Gespräch von dreißig Minuten klären. Drei Fragen reichen. Erstens, welche Trainingsdaten wurden für die Modelle verwendet, und unter welchen Lizenzen. Zweitens, welche Anpassungen an der Modellarchitektur wurden vorgenommen, die über die öffentliche Referenzimplementierung hinausgehen. Drittens, wie verhält sich das System in Domänen, die nicht in den Trainingsdaten enthalten sind, und welche Mechanismen sind vorgesehen, um diese Lücken zu schließen. Wer auf alle drei Fragen substanziell antwortet, hat eine eigene Entwicklung. Wer ausweicht, hat eine umetikettierte Lösung.

Diese Prüfung ist nicht akademisch. Sie ist die Grundlage der Haftungsfrage. Wenn ein System im Schadensfall versagt, wird der Versicherer fragen, ob die Modelle für die Einsatzumgebung qualifiziert waren. Wer auf diese Frage keine Antwort hat, weil er die Modelle nicht selbst kennt, hat im Schadensfall ein Problem, das über den eigentlichen Schaden hinausgeht. Der BSI-Grundschutz, die Anforderungen des GDV an versicherungsfähige Sicherheitslösungen und die Prüflogiken von VdS bewegen sich in eine Richtung, in der diese Frage präziser gestellt wird. Wer heute eine Lösung einkauft, die diese Frage nicht beantworten kann, kauft eine Lösung, die in drei Jahren neu beschafft wird.

Hinzu kommt eine wirtschaftliche Differenz, die der Markt häufig verschweigt. Eine reine Objekterkennung produziert Daten, die in der Auswertung Personalbindung erzeugen. Jeder Alarm muss geprüft werden. Wenn die Fehlalarmrate hoch ist, wandert die gesparte Personalstunde in die Operator-Stelle. Eine Anomalieerkennung reduziert die Anzahl der zu prüfenden Ereignisse auf eine Größenordnung, in der ein Operator mehrere Standorte gleichzeitig führen kann. Diese Skalierung ist der eigentliche wirtschaftliche Hebel. Sie ist in den ersten zwei Quartalen nicht sichtbar. Sie ist im fünften Quartal das, was die Investition rechtfertigt.

Was lokal laufen muss und was nicht

Die Architektur der Modelle entscheidet darüber, wo sie ausgeführt werden. Eine seriöse Sicherheitslösung führt zeitkritische Erkennungen lokal auf dem Gerät aus, weil sie nicht auf eine Internetverbindung angewiesen sein darf. Eine Verbindung kann ausfallen, sie kann mutwillig unterbrochen werden, sie kann durch Wetter oder bauliche Hindernisse gestört sein. Ein System, das in diesen Momenten seine Erkennung verliert, ist im Sicherheitskontext nicht einsetzbar. Diese Anforderung ist nicht eine Komfortfrage, sie ist eine Bedingung, die in jeder Ausschreibung verbindlich gestellt werden sollte.

Lokal lauffähig sind heute Modelle, deren Größe und Rechenanforderung an die Hardware der Edge-Geräte angepasst wurden. Objekterkennungsmodelle in komprimierten Varianten gehören dazu. Anomalieerkennungsmodelle, die auf statistischen Verfahren oder auf kompakten neuronalen Strukturen beruhen, gehören ebenfalls dazu. Was nicht lokal läuft, sind die Trainingsphasen der Modelle und die langfristige Mustererkennung über mehrere Standorte hinweg. Diese Aufgaben gehören in eine zentrale Infrastruktur, in der die Daten zusammengeführt, geprüft und in neue Modellversionen überführt werden.

Aus dieser Trennung ergibt sich eine zweistufige Architektur, die in seriösen Lösungen Standard ist. Auf dem Gerät läuft die Erkennung, die in Millisekunden Reaktion verlangt. In der zentralen Infrastruktur läuft die Auswertung, die in Stunden oder Tagen Mustererkennung leistet. Die Verbindung zwischen beiden Ebenen ist asynchron. Wenn die Verbindung ausfällt, bleibt die Erkennung aktiv, die Auswertung wird nach Wiederherstellung der Verbindung nachgeholt. Diese Logik schützt vor dem häufigsten Ausfallszenario der Branche, dem Komplettausfall bei Netzproblemen.

Wer in einer Ausschreibung diese Architektur nicht findet, sollte nachhaken. Eine Antwort, die alle Erkennungen in die Cloud verlagert, ist in regulierten Umgebungen, in KRITIS-relevanten Anwendungen und in versicherungsfähigen Sicherheitskonzepten zunehmend problematisch. Eine Antwort, die alle Erkennungen lokal hält und keine Lernfähigkeit über Standorte hinweg vorsieht, ist langfristig nicht wettbewerbsfähig, weil ihr die Skalenvorteile fehlen. Die richtige Antwort ist die Trennung, und sie ist die Antwort, die ernsthafte Hersteller geben.

Wie ein Anomaliemodell in den Betrieb kommt

Die Einführung eines Anomaliemodells ist kein Tag, sondern ein Prozess. Er beginnt mit einer Phase, in der das System die Normalität der Einsatzumgebung beobachtet. Diese Phase dauert, je nach Variabilität des Standorts, zwischen zwei und sechs Wochen. In dieser Zeit ist das System nicht inaktiv, es liefert Objekterkennung auf konventionellem Niveau und sammelt parallel die Daten für das Anomalieprofil. Wer einen Pilotbetrieb startet, sollte diese Phase in den Erwartungshorizont einrechnen. Der Vergleich mit der vorherigen Schadenslage ist erst nach Abschluss der Lernphase belastbar.

Nach der Lernphase wechselt das System in den produktiven Modus. Ab diesem Moment werden Abweichungen vom Profil als Anomalien markiert und in die Operator-Konsole gespielt. Die ersten Wochen im produktiven Modus sind die anspruchsvollsten, weil das Profil noch ungenauer ist als nach mehreren Monaten. In diesen Wochen ist die Rolle des Operators wichtig. Er klassifiziert Alarme als zutreffend oder als falsch, und seine Klassifikation fließt in die nächste Modellversion ein. Dieser Mechanismus ist der Grund, weshalb Anomaliemodelle mit der Zeit besser werden, während Objekterkennungsmodelle ohne diese Schleife stabil bleiben.

Die Schulung des Operators ist ein Teil des Einsatzes, der häufig unterschätzt wird. Ein Anomaliemodell liefert keine binären Aussagen, sondern Wahrscheinlichkeiten. Es sagt nicht, hier ist ein Einbruch, sondern, hier ist eine Abweichung vom üblichen Muster mit einer hohen Wahrscheinlichkeit, dass sie sicherheitsrelevant ist. Der Operator muss in der Lage sein, diese Wahrscheinlichkeit zu lesen und in eine Reaktion zu übersetzen. Das ist eine andere Arbeit als das Sichten klassischer Kamerabilder. Sicherheitsdienstleister, die in dieser Logik geschult sind, sind in der Lage, mit einer Person mehrere Standorte gleichzeitig zu führen. Wer in dieser Logik nicht geschult ist, behandelt jede Anomalie wie einen klassischen Alarm und bindet damit dasselbe Personal wie zuvor. Die BG BAU, der BDSW und die Schulungseinrichtungen, die nach TÜV-Standards arbeiten, beginnen, diese Differenz in ihre Curricula aufzunehmen. Sie ist die personelle Seite der technologischen Verschiebung.

Was bleibt

Anomalieerkennung ist nicht der nächste Modebegriff. Sie ist die nächste Stufe einer Disziplin, die in den vergangenen zehn Jahren mit Objekterkennung gerechnet hat. Der Übergang von der einen zur anderen Stufe verändert nicht nur die Software, er verändert die Operator-Arbeit, die Personalplanung, die Vertragsstruktur mit Sicherheitsdienstleistern und das Verhältnis zu Versicherern. Wer diesen Übergang heute aktiv geht, hat in drei Jahren eine Position, die im Wettbewerb schwer aufzuholen ist. Wer wartet, wird reagieren müssen, ohne den Zeitpunkt selbst zu wählen.

Boswau + Knauer entwickelt und betreibt Anomaliemodelle in der Logik, die in diesem Beitrag beschrieben ist. Die Lernphase, die Architektur aus lokaler Erkennung und zentraler Auswertung, die Mehrkanalprüfung zur Reduktion von Fehlalarmen, die Operator-Schulung. Wer prüfen will, ob diese Logik in der eigenen Einsatzumgebung trägt, beginnt mit einem Gespräch von sechzig Minuten, in dem die Standortlage besprochen wird, ohne dass am Ende eine Verpflichtung steht. Wer einen tieferen Einstieg sucht, geht in einen Pilotbetrieb von neunzig Tagen an einem definierten Standort, in dem das System unter realen Bedingungen läuft und am Ende eine Datengrundlage liefert, auf der die Skalierungsentscheidung getroffen werden kann. Beide Wege sind im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie, beschrieben.

Häufige Fragen

Was ist der Unterschied zwischen Objekt- und Anomalieerkennung?

Objekterkennung klassifiziert, was im Bild zu sehen ist, etwa Personen, Fahrzeuge oder Werkzeuge. Sie sagt nichts darüber aus, ob das Erkannte an dieser Stelle, zu dieser Zeit, in dieser Kombination üblich oder ungewöhnlich ist. Anomalieerkennung beantwortet diese zweite Frage. Sie lernt über einen Zeitraum die Normalität einer Umgebung und markiert Abweichungen. Im Sicherheitskontext ist die zweite Disziplin die entscheidende, weil sie die Fehlalarmrate in einen Bereich bringt, in dem ein System über Jahre tragbar bleibt, statt nach Wochen ignoriert zu werden.

Welche Modelle laufen lokal auf dem Gerät?

Lokal auf dem Gerät laufen die zeitkritischen Erkennungen, also die Klassifikation von Objekten und die erste Stufe der Anomaliebewertung. Diese Modelle sind in ihrer Größe und Rechenanforderung an die Hardware der Edge-Geräte angepasst. Die langfristige Mustererkennung über mehrere Standorte hinweg und die Trainingsphasen neuer Modellversionen laufen in einer zentralen Infrastruktur. Diese Trennung sichert, dass die Erkennung auch bei Ausfall der Verbindung aktiv bleibt. In KRITIS-relevanten Anwendungen und in versicherungsfähigen Sicherheitskonzepten ist diese Architektur zunehmend eine Bedingung.

Warum reicht reine Objekterkennung für Sicherheit nicht aus?

Reine Objekterkennung produziert in realen Umgebungen Fehlklassifikationen, die in Alarme münden. Bei hohem Durchsatz entstehen daraus täglich Dutzende Fehlalarme, die das System unbrauchbar machen, weil der Operator es ignoriert oder die Alarme nicht mehr in vollem Umfang prüfen kann. Zusätzlich erkennt Objekterkennung nur, was sie kennt. Unbekannte Bedrohungsmuster bleiben unsichtbar. Anomalieerkennung deckt diese Lücke, indem sie das Abweichende erkennt, ohne dass es vorher trainiert sein muss. Sicherheit, die nur auf Objekterkennung gestützt ist, trägt im ruhigen Wetter und versagt im Schadensfall.

Wie wird ein Anomaliemodell trainiert?

Ein Anomaliemodell wird in zwei Phasen aufgebaut. In der Lernphase, die je nach Standort zwischen zwei und sechs Wochen dauert, beobachtet das System die Bewegungsmuster, Aufenthaltsdauern und typischen Kombinationen aus Personen und Fahrzeugen. Aus diesen Daten entsteht ein statistisches Profil der Normalität. In der produktiven Phase werden Abweichungen vom Profil als Anomalien markiert. Die Klassifikation durch den Operator, ob ein Alarm zutreffend war, fließt in die nächste Modellversion ein. Dieser Mechanismus ist der Grund, weshalb Anomaliemodelle mit der Zeit präziser werden, während statische Objekterkennungsmodelle auf ihrem Ausgangsniveau verharren.