Videoturm mit doppelter Mobilfunk-Anbindung: warum eine SIM nicht reicht

Ein Videoturm mit nur einer SIM-Karte ist kein Sicherheitssystem, sondern eine Wette auf die Verfügbarkeit eines einzelnen Mobilfunkbetreibers. Diese Wette wird in der Praxis regelmäßig verloren, und sie wird in dem Moment verloren, in dem das System gebraucht wird.

Die Erfahrung aus dem Baustellenbetrieb zeigt, dass Mobilfunknetze nicht gleichmäßig ausfallen. Sie fallen lokal aus, sie fallen zeitlich begrenzt aus, sie fallen unter Last aus, und sie fallen genau dann aus, wenn andere Ereignisse parallel die Aufmerksamkeit binden. Wer einen Turm mit einer einzigen Verbindung betreibt, akzeptiert, dass seine Sicherheit der Verfügbarkeit eines Dritten folgt, dessen Geschäftsmodell nicht Sicherheit, sondern Telekommunikation ist. Aus dieser Diskrepanz entsteht das Argument für doppelte Anbindung, für eSIM-Failover und für Edge-Buffering. Boswau + Knauer baut Videotürme, in denen diese drei Bausteine nicht Option sind, sondern Standard.

Warum eine SIM die Architektur des Versagens ist

Eine einzelne SIM-Karte bindet einen Turm an einen Betreiber, an dessen Mastausstattung und an dessen Backbone. Jede dieser drei Schichten kann unabhängig voneinander ausfallen. Der Mast kann durch Stromausfall ausfallen, durch Wartung, durch Überlast in der Umgebung, durch Beschädigung. Die Backbone-Anbindung kann durch Routing-Fehler, durch Wartungsfenster oder durch übergeordnete Störungen ausfallen. Und die SIM selbst kann durch Profilfehler, durch Sperrung oder durch hardwareseitige Defekte ausfallen.

Wer eine Sicherheitsanlage in dieser Architektur betreibt, baut auf einer Wahrscheinlichkeitsstruktur, die im Normalbetrieb erträglich ist und im Ereignisfall versagt. Die Bundesnetzagentur dokumentiert für die deutschen Mobilfunknetze regional und zeitlich begrenzte Verfügbarkeitslücken, die im Mittel selten, im Einzelfall aber kalkulierbar sind. Für eine Baustellenlogistik, die in jeder Schicht funktionieren muss, ist der Einzelfall der relevante Fall, nicht der Mittelwert. Eine Schadensquote, die im langjährigen Mittel akzeptabel aussieht, kann durch zwei aufeinanderfolgende Ausfälle im selben Quartal die Kalkulation eines Großprojekts zerstören.

Die zweite Schwäche der einfachen SIM-Anbindung liegt in der Last. Mobilfunknetze sind nicht für die priorisierte Übertragung von Sicherheitsdaten ausgelegt. Sie behandeln einen Videostrom eines Sicherheitsturms gleichrangig mit einem Streaming-Endgerät in einem zufällig parallel anwesenden Fahrzeug. Bei hoher Zellenauslastung sinkt die effektive Bandbreite, ohne dass der Turm einen Defekt zeigt. Die Folge ist eine schleichende Degradation, die in der Auswertung erst dann sichtbar wird, wenn ein Vorfall die Bildqualität in einer kritischen Sekunde verlangt. Genau in dieser Sekunde ist die Verbindung schwach. Genau in dieser Sekunde versagt das System, ohne aufzufallen.

Die dritte Schwäche liegt in der Diagnostik. Eine einfache SIM-Anbindung kennt nur zwei Zustände: verbunden oder nicht verbunden. Sie kennt nicht den Zustand, in dem die Verbindung formal besteht, aber die Latenz so hoch ist, dass die Übertragung wirkungslos ist. Sie kennt auch nicht den Zustand, in dem die Verbindung schwankt. Für die Anwendung Sicherheit ist die Latenz aber die entscheidende Größe, weil sie über Reaktionszeit entscheidet. Eine Architektur, die diese Größe nicht messen und nicht alternativ bedienen kann, ist für die Sicherheit nicht ausreichend.

Wie Dual-SIM die Architektur belastbar macht

Eine doppelte SIM-Anbindung bedeutet zunächst, dass zwei voneinander unabhängige Betreiber in einem Gerät bedient werden. Die Unabhängigkeit ist die zentrale Eigenschaft, nicht die Anzahl. Zwei SIM-Karten desselben Betreibers ergeben keine echte Redundanz, weil sie an derselben Mastinfrastruktur und an demselben Backbone hängen. Die Auslegung der Türme bei Boswau + Knauer folgt der Logik, dass zwei nach Netzbetreiber, nach Frequenzband und nach Roaming-Verhalten unterscheidbare Anbindungen aktiv vorgehalten werden.

Die Aktivität beider Anbindungen ist der zweite entscheidende Punkt. Eine reine Backup-SIM, die erst nach Erkennung eines Ausfalls aktiviert wird, verliert Sekunden bis Minuten, die in der Sicherheit oft genau die kritischen Sekunden sind. Der Turm prüft kontinuierlich Latenz, Paketverlust und Bandbreite beider Anbindungen und entscheidet auf Basis dieser Messung, welche Verbindung primär den Live-Stream führt und welche die Synchronisation der gepufferten Daten übernimmt. Wenn die primäre Verbindung degradiert, übernimmt die zweite ohne Unterbrechung. Die Umschaltung ist nicht ein Ereignis, sondern eine kontinuierliche Anpassung.

Die dritte Eigenschaft betrifft die Lastverteilung. Beide Anbindungen können parallel genutzt werden, um Streams aufzuteilen. Hochauflösende Aufzeichnungen werden auf die stärkere Verbindung gelegt, Steuerdaten und Alarme laufen über die zuverlässigere. Diese Verteilung passt sich an die aktuelle Netzlage an und ist für den Betreiber des Turms nicht sichtbar. Was sichtbar ist, ist eine stabile Verfügbarkeit, die in der Auswertung nicht zwischen Normalbetrieb und Störungsfall unterscheidet. Genau diese Unsichtbarkeit ist das Qualitätsmerkmal.

Die Auslegung der Türme orientiert sich an Vorgaben, wie sie von BSI und VdS für sicherheitsrelevante Übertragungswege empfohlen werden. Diese Empfehlungen sind nicht in jeder Anwendung verpflichtend, aber sie sind in der versicherungsrechtlichen Bewertung relevant. Ein Turm, dessen Übertragungsweg redundant ausgelegt ist, wird in der Schadensregulierung anders bewertet als ein Turm mit einfacher Anbindung. Die Differenz kann im Schadensfall in den Vertragsstrafen der nachgelagerten Gewerke spürbar werden, weil eine dokumentierte Übertragungsstörung den Pflichtenkreis des Betreibers berührt. Wer redundant überträgt, schützt nicht nur das Bild, sondern die Beweislast.

Im Kontext der KRITIS-Verordnung, die für definierte Anlagengrößen anwendbar ist, wird die Frage der Übertragungsredundanz zur regulatorischen Anforderung. Die BG BAU adressiert die Übertragungsfrage indirekt, indem sie die Wirksamkeit von Sicherungsmaßnahmen voraussetzt. Eine Maßnahme, die durch einen Netzausfall vorhersehbar wirkungslos werden kann, erfüllt die Wirksamkeitsvoraussetzung in der Bewertung nicht zuverlässig.

eSIM-Failover als zweite Schicht der Verlässlichkeit

Die physische Dual-SIM löst das Problem der Betreiberredundanz. Sie löst nicht das Problem der Profilbindung. Eine SIM-Karte ist an ein Profil eines Betreibers gebunden, und dieses Profil kann gesperrt, gewechselt oder gestört sein, ohne dass der Betreiberwechsel hardwareseitig ausreicht. Hier setzt die eSIM-Technologie ein. Eine embedded SIM ist nicht eine Karte, sondern ein Bereich im Gerät, in dem mehrere Profile gleichzeitig hinterlegt sein können.

Der Vorteil dieser Architektur liegt darin, dass der Turm zwischen Profilen wechseln kann, ohne dass Personal vor Ort eine Karte tauschen muss. In der Praxis bedeutet das, dass ein Turm, dessen primäres Profil aus Abrechnungsgründen oder aus regulatorischen Gründen nicht mehr funktioniert, innerhalb von Sekunden auf ein anderes Profil umgeschaltet werden kann. Diese Umschaltung erfolgt aus der Leitstelle heraus, ohne Eingriff am Gerät. Für einen Turm, der auf einer Baustelle in einer abgelegenen Lage steht, ist diese Eigenschaft nicht eine Bequemlichkeit, sondern die Voraussetzung für eine wirtschaftliche Betreibbarkeit.

Eine zweite Eigenschaft der eSIM-Architektur ist die Roaming-Fähigkeit. Bei grenznahen Baustellen oder bei Standorten, an denen die nationale Netzabdeckung lückenhaft ist, kann der Turm auf ein Profil eines benachbarten Netzes wechseln, das in dieser Lage besser empfangen wird. Diese Möglichkeit ist im klassischen SIM-Modell mit administrativem Aufwand verbunden, im eSIM-Modell ist sie eine Konfigurationsfrage. Die Türme bei Boswau + Knauer sind dafür ausgelegt, dass eine Standortverlegung über eine Landesgrenze hinweg ohne Hardware-Eingriff funktioniert. Was sich ändert, ist das aktive Profil. Was bleibt, ist das Gerät.

Die dritte Eigenschaft betrifft das Lebenszyklusmanagement. Mobilfunkbetreiber ändern Tarife, Bedingungen und Profilsetzungen über die Laufzeit eines Turms hinweg. Ein Turm, der fünf Jahre im Einsatz steht, durchläuft mehrere solcher Änderungen, oft ohne dass der Betreiber des Turms sie aktiv wahrnimmt. Mit eSIM-Architektur können diese Änderungen zentral ausgerollt werden, ohne dass der physische Zugang zum Gerät nötig ist. Eine Flotte von dreißig Türmen, die zentral verwaltet wird, ist in dieser Architektur mit einer Person zu führen. Eine Flotte derselben Größe mit klassischen SIM-Karten verlangt eine Logistik, die in Vorortbesuchen rechnet.

Die Sicherheitsarchitektur der eSIM-Profile folgt etablierten Standards. Die GSMA-Spezifikationen für Remote SIM Provisioning regeln die kryptografische Absicherung der Profilübertragung. Im Kontext des BSI-Grundschutzes ist die Übertragung von SIM-Profilen ein eigenständig zu betrachtender Vorgang, dessen Absicherung dokumentiert werden muss. Boswau + Knauer hat diese Dokumentation als Teil der Audit-Unterlagen vorbereitet, die den Kunden zur Verfügung stehen. Dieser Aspekt ist im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie als Teil der Architekturlogik beschrieben, die das Unternehmen von einfachen Hardwareanbietern unterscheidet.

Edge-Buffering als dritter Baustein

Auch mit doppelter physischer Anbindung und eSIM-Failover gibt es Situationen, in denen beide Verbindungen gleichzeitig schwach oder unverfügbar sind. Diese Situationen sind selten, aber sie sind nicht ausgeschlossen. Hier setzt die dritte Schicht ein, das Edge-Buffering. Edge-Buffering bedeutet, dass der Turm seine Daten lokal speichert, wenn die Übertragung nicht möglich ist, und die Übertragung nachholt, sobald eine Verbindung wieder verfügbar ist.

Die technische Umsetzung verlangt mehrere Komponenten. Lokaler Speicher von ausreichender Größe, eine Speicherverwaltung, die zwischen Live-Bildern, Bewegungsereignissen und vollständigen Sequenzen priorisiert, und eine Übertragungslogik, die nach Wiederherstellung der Verbindung den Rückstand abarbeitet, ohne den aktuellen Stream zu blockieren. Die Türme bei Boswau + Knauer sind so dimensioniert, dass mehrere Stunden vollständiger Aufzeichnung lokal vorgehalten werden können, ohne dass die ältesten Daten überschrieben werden.

Die Priorisierungslogik ist der nicht offensichtliche Teil. Ein einfacher Ringspeicher würde im Übertragungsrückstand alte Daten zugunsten neuer überschreiben, was im Vorfall zur Folge haben kann, dass genau die Sequenz, die ein Ereignis dokumentiert, verloren geht. Die Architektur muss deshalb zwischen ereignislosen und ereignisbehafteten Sequenzen unterscheiden. Ereignisbehaftete Sequenzen werden auch im Speicherengpass vorrangig behalten und vorrangig übertragen. Diese Logik setzt voraus, dass die Videoanalyse auch im Offline-Betrieb auf dem Gerät läuft, was bei der Edge-Architektur der Türme der Fall ist.

Eine zweite Eigenschaft des Edge-Buffering betrifft die Beweisfähigkeit. Im Schadensfall ist die Frage relevant, ob eine Lücke in der Aufzeichnung durch eine Manipulation oder durch eine technische Störung entstanden ist. Eine sauber dokumentierte Edge-Buffering-Logik liefert für diese Frage eine Antwort, weil sie den lokalen Speicherzustand zu jedem Zeitpunkt nachweisen kann. Der GDV bewertet bei Sicherheitsanlagen die Nachvollziehbarkeit der Aufzeichnung als eigenständigen Aspekt, der in die Prämiengestaltung einfließen kann. Eine Anlage, die lokale Pufferung dokumentiert, hat in dieser Bewertung eine bessere Position als eine Anlage, die ihre Vollständigkeit nur über die Cloud-Übertragung nachweist.

Die dritte Eigenschaft betrifft die Reaktionsfähigkeit im lokalen Betrieb. Wenn die Verbindung ausfällt, fällt nicht die Erkennung aus. Die Videoanalyse läuft weiter, die lokal definierten Alarme werden weiter ausgelöst, und der Turm kann über lokale Akustik und Beleuchtung reagieren. Erst die Weiterleitung an die Leitstelle pausiert, und sie wird nachgeholt, sobald die Verbindung wieder steht. Für die Wirkung am Standort ist diese Eigenschaft entscheidend. Eine Sicherheitsanlage, die ohne Internet wirkungslos ist, ist keine Sicherheitsanlage, sondern eine Übertragungsanlage mit Sicherheitsfunktionen.

Die Auswahl der Betreiber als operative Entscheidung

Die theoretische Architektur der doppelten Anbindung ist nur so gut wie die konkrete Auswahl der Betreiber. Diese Auswahl ist keine einmalige Entscheidung, sondern eine fortlaufende Bewertung. Netzqualität ändert sich, Tarifstrukturen ändern sich, Ausbauziele werden erreicht oder verfehlt. Eine Auswahl, die vor zwei Jahren optimal war, kann heute suboptimal sein.

Die Türme bei Boswau + Knauer werden auf Basis aktueller Netzmessungen für den jeweiligen Standort konfiguriert. Diese Messungen werden vor der Aufstellung durchgeführt und in regelmäßigen Abständen wiederholt. Wenn die Netzqualität eines Betreibers an einem bestimmten Standort über einen definierten Zeitraum unter eine Schwelle fällt, wird das Profil gewechselt. Diese Logik ist im Servicevertrag verankert und nicht von einer Reklamation des Kunden abhängig. Das Unternehmen prüft, das Unternehmen entscheidet, der Kunde wird informiert.

Die Auswahl umfasst in Deutschland in der Regel die drei großen Netzbetreiber und ergänzend Anbieter, die spezialisierte M2M-Tarife anbieten. M2M-Tarife unterscheiden sich von Consumer-Tarifen darin, dass sie auf die Anforderungen von Maschinenkommunikation ausgelegt sind, mit definierten SLAs für Verfügbarkeit und mit Priorisierungen, die in Lastsituationen wirksam werden. Für sicherheitskritische Anwendungen ist der M2M-Tarif die richtige Wahl, auch wenn er auf den ersten Blick teurer wirkt als ein vergleichbarer Consumer-Tarif. Die Differenz rechnet sich in der ersten Lastsituation, in der die Verbindung steht, während andere Geräte am Mast bereits ausgefallen sind.

Eine zweite Dimension der Betreiberauswahl betrifft die geografische Verteilung. Bei Standorten in der Nähe von Knotenpunkten ist die Vielfalt der Betreiber hoch. Bei Standorten in der Fläche ist sie geringer. Für die zweite Kategorie kommen Roaming-Lösungen ins Spiel, die im eSIM-Modell verfügbar sind. Ein Profil, das auf mehrere internationale Betreiber zugreifen kann, ist in der Fläche oft die einzige praktikable Lösung für eine echte Redundanz. Boswau + Knauer arbeitet mit Anbietern, die diese Multi-Betreiber-Profile bereitstellen und in der Konfiguration der Türme integrieren.

Die dritte Dimension betrifft die Verschlüsselung. Mobilfunkverbindungen sind grundsätzlich verschlüsselt, aber die Stärke und Aktualität der Verschlüsselung variiert. Sicherheitskritische Daten werden über VPN-Tunnel zusätzlich gesichert, deren Endpunkte beim Betreiber des Sicherheitssystems liegen. Diese zweite Verschlüsselungsschicht ist im BSI-Grundschutz für entsprechende Schutzbedarfe vorgesehen und wird in den Türmen standardmäßig aktiviert. Sie ist unabhängig vom Betreiber und unabhängig vom Profil. Wer auch immer das Übertragungsmedium stellt, sieht nur den Tunnel, nicht den Inhalt.

Was bleibt

Ein Videoturm mit doppelter Mobilfunk-Anbindung, mit eSIM-Failover und mit Edge-Buffering ist nicht ein gehobenes Produkt für besondere Anforderungen. Er ist die Grundausstattung für eine Sicherheitsanwendung, die der Realität standhält. Wer mit weniger arbeitet, arbeitet mit einem System, dessen Versagen vorhersehbar ist, ohne dass der Zeitpunkt des Versagens bekannt ist. Die Frage ist nicht, ob die Verbindung ausfällt, sondern wann, und ob das System diesen Ausfall überlebt.

Die Architektur, die Boswau + Knauer in seinen Türmen umsetzt, ist nicht das Ergebnis eines theoretischen Entwurfs, sondern die Konsequenz aus mehreren Jahren Betrieb in realen Umgebungen. Jede der drei beschriebenen Schichten hat ihren Ursprung in einem konkreten Vorfall, in dem die jeweils vorhergehende Schicht nicht ausgereicht hat. Die Architektur wächst aus der Erfahrung, nicht aus der Annahme. Sie ist deshalb auch in den nächsten Generationen revidierbar, wenn neue Erfahrungen neue Schichten verlangen.

Wer einen Standort betreibt, der auf Videoüberwachung als Sicherheitssäule angewiesen ist, hat zwei sinnvolle nächste Schritte. Der erste ist das Gespräch über sechzig Minuten, in dem die konkrete Anbindungssituation des eigenen Standorts oder der eigenen Flotte besprochen wird. Der zweite ist der Pilotbetrieb über neunzig Tage, in dem ein Turm mit vollständiger Redundanzarchitektur an einem definierten Standort gegen das bestehende System gemessen wird. In beiden Formaten steht am Ende eine belastbare Aussage über die eigene Verfügbarkeit, die ohne ein solches Format nicht erreichbar ist.

Häufige Fragen

Warum braucht ein Turm zwei Netze?

Mobilfunknetze fallen lokal, zeitlich begrenzt und unter Last aus, ohne dass die Sicherheitsanwendung darüber informiert wird. Ein einzelner Betreiber bietet keine Redundanz, weil Mast, Backbone und Profil eines Betreibers gemeinsam ausfallen können. Zwei Netze unterschiedlicher Betreiber sind nach Infrastruktur, Frequenzband und Wartungsfenstern voneinander unabhängig. Diese Unabhängigkeit ist die Voraussetzung für eine Verfügbarkeit, die im Ereignisfall steht. Bei sicherheitskritischen Anwendungen verlangt die versicherungsrechtliche Bewertung zunehmend dokumentierte Redundanz. Eine Maßnahme, die durch einen vorhersehbaren Netzausfall wirkungslos werden kann, erfüllt die Wirksamkeitsvoraussetzung der einschlägigen Regelwerke nicht zuverlässig.

Wie funktioniert eSIM-Failover?

Eine embedded SIM ist ein Speicherbereich im Gerät, in dem mehrere Betreiberprofile gleichzeitig hinterlegt sind. Das aktive Profil bestimmt, über welchen Betreiber die Verbindung läuft. Bei einer Störung des aktiven Profils oder bei einer dauerhaften Qualitätsdegradation wechselt das Gerät auf ein anderes hinterlegtes Profil, ohne dass die Hardware vor Ort angefasst werden muss. Die Umschaltung erfolgt aus der Leitstelle und ist innerhalb von Sekunden wirksam. Die Übertragung neuer Profile auf das Gerät folgt den GSMA-Spezifikationen für Remote SIM Provisioning und ist kryptografisch abgesichert. Für Standorte in abgelegener Lage ist diese Architektur die Voraussetzung wirtschaftlicher Betreibbarkeit.

Was ist Edge-Buffering?

Edge-Buffering bedeutet, dass der Turm seine Aufzeichnungen lokal speichert, wenn die Verbindung zur Leitstelle nicht verfügbar oder nicht ausreichend ist, und die gespeicherten Daten nachträglich überträgt, sobald die Verbindung wieder steht. Die Türme bei Boswau + Knauer halten mehrere Stunden vollständiger Aufzeichnung lokal vor. Eine Priorisierungslogik unterscheidet zwischen ereignislosen und ereignisbehafteten Sequenzen, sodass auch im Übertragungsrückstand die relevanten Bilder vorrangig erhalten bleiben. Die Videoanalyse läuft im Offline-Betrieb weiter, lokale Alarme werden weiter ausgelöst. Damit bleibt der Turm wirksam, auch wenn die Anbindung pausiert. Für die Beweisfähigkeit im Schadensfall ist die Pufferarchitektur dokumentiert.

Welche Anbieter werden kombiniert?

Die konkrete Kombination wird auf Basis aktueller Netzmessungen für den jeweiligen Standort festgelegt. In Deutschland kommen die drei großen Netzbetreiber in Frage, ergänzt um Anbieter spezialisierter M2M-Tarife, deren SLAs für Verfügbarkeit auf Maschinenkommunikation ausgelegt sind. Bei Standorten in der Fläche kommen Multi-Betreiber-Profile zum Einsatz, die über Roaming auf mehrere internationale Netze zugreifen. Die Auswahl ist nicht statisch. Sie wird in regelmäßigen Abständen überprüft und bei nachhaltiger Qualitätsänderung angepasst. Diese Verantwortung liegt beim Betreiber des Turms, nicht beim Kunden. Der Kunde wird über Anpassungen informiert, muss sie aber nicht selbst initiieren.