Auf meinem Hof wollte ich die Telemetrie nicht nur sammeln, sondern sie auch kontrollieren — lokal betreiben, unabhängig von Cloud-Abos und mit möglichst geringem Datenschutzrisiko. In diesem Beitrag schildere ich Schritt für Schritt, wie ich ein MQTT-basiertes Telemetriesystem eingerichtet habe: welche Hardware und Software ich gewählt habe, wie die Netzwerk- und Sicherheitskonfiguration aussieht und welche praktischen Fallstricke es zu beachten gilt.
Warum MQTT und lokal betreiben?
MQTT ist leichtgewichtig, zuverlässig und weit verbreitet in der Industrie und im IoT-Bereich. Sie haben viele Geräte (Traktoren, Mähwerke, Feldsensoren), die geringe Bandbreite benötigen und gut mit MQTT harmonieren. Für mich war der lokale Betrieb wichtig, weil:
ich Datenhoheit haben wollte — die Daten bleiben auf dem Hof;ich Latenzen und Abhängigkeiten von Internetverbindungen reduzieren wollte;ich datenschutzrechtliche Risiken senken wollte (keine fremden Cloud-Dienste mit sensiblen Betriebsdaten).Übersicht der Komponenten
Mein System besteht aus folgenden Komponenten, die ich bewusst modular gewählt habe:
| Komponente | Beispiel/Software | Funktion |
| MQTT-Broker | Mosquitto | Zentrale Nachrichtenzustellung |
| Integrationslayer | Node-RED | Datenaufbereitung, Routing |
| Zeitspeicher | InfluxDB | Messzeitreihen speichern |
| Visualisierung | Grafana | Dashboards vor Ort |
| Edge-Geräte | Raspberry Pi, ESP32, LoRa-Gateways | Sensoren verbinden |
| Backup/Sync | rsync, externe HDD | Lokale Backups |
Hardwareaufbau: Was ich eingesetzt habe
Ich wollte robustes, landwirtschaftstaugliches Equipment: ein kleines Rack im Technikraum mit einem Intel NUC als Server (stabiler als ein Pi), einer USV (unterbrechungsfreie Stromversorgung) und einer 4 TB-SSD als Datenlaufwerk. Für feldnahe Sensoren verwende ich:
ESP32-Module für einfache Sensoren (Temperatur, Feuchte),LoRa-WAN-Gateways für große Reichweiten (Häuser, Hallen, Feldrand),CAN-Bus-Adapter für Traktor-Daten (je nach Hersteller OBD-II, ISOBUS-Teile).Wichtig ist die physische Absicherung: Server in abschließbarem Schrank, redundante Stromversorgung und übersichtliche Beschriftung der Kabel. Im Stall habe ich Feuchte- und Temperaturfühler in Schutzgehäusen montiert.
Softwareinstallation und Grundkonfiguration
Auf dem NUC habe ich Ubuntu Server installiert und Docker eingesetzt — so bleiben Dienste isoliert und einfach wartbar. Meine Basis-Container:
eclipse-mosquitto (MQTT-Broker),node-red (Datenfluss),influxdb (Time-Series DB),grafana (Dashboards),watchtower (optionales Auto-Update der Container).Wichtig bei Mosquitto:
Authentifizierung aktivieren (username/password-Datei oder besser: client certificates),TLS konfigurieren — selbstsignierte Zertifikate sind akzeptabel, aber ich nutze interne CA für alle Geräte,Zugriffs-Kontrolllisten (ACLs) einrichten, damit nur autorisierte Clients bestimmte Topics publishen/subscriben können.Sicherheitsmaßnahmen im Detail
Sicherheit ist kein Einmal-Aufwand. Diese Maßnahmen habe ich umgesetzt:
Netzwerksegmentierung: Ich habe ein separiertes VLAN für IoT/Telemetrie-Geräte. Das verhindert, dass ein kompromittiertes Sensorgerät direkten Zugriff auf Büro-PCs hat.Firewall-Regeln: Nur notwendige Ports offen (MQTT über 8883/TCP für TLS), SSH nur vom internen Admin-Netz, und Rate-Limits für Verbindungsversuche.TLS und Zertifikatsmanagement: Alle MQTT-Verbindungen laufen über TLS. Ich nutze eine kleine interne CA (easy-rsa) und liefere Geräte-Zertifikate per USB oder während einer lokalen Provisioning-Session.Starke Authentifizierung: Keine Default-Passwörter; Geräte bekommen individuelle Keys. Für Admin-Zugänge nutze ich SSH-Schlüssel und 2FA für das Webinterface, sofern möglich.Log- und Monitoring: Node-RED und Mosquitto loggen Verbindungen; ich sammle Logs lokal und prüfe ungewöhnliche Aktivitäten einmal pro Woche.Datenschutz und DSGVO-Praxis
Auch wenn viele Betriebsdaten nicht personenbezogen erscheinen, können sie Rückschlüsse auf Personen zulassen (z. B. Maschinenstandort zu Arbeitszeiten). Deshalb habe ich:
nur die minimal notwendigen Daten gespeichert (z. B. Sensor-IDs statt Personennamen),Zugriffsrechte granular vergeben — wer darf was sehen (z. B. externe Berater nur aggregierte Daten),eine Datenschutzerklärung auf der Hof-Webseite vorbereitet, die erklärt, welche Daten erhoben und wie lange sie gespeichert werden,Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand (verschlüsselte Festplatten),Backup-Richtlinien: Backups lokal und verschlüsselt, kein automatisches Hochladen in fremde Cloud ohne Vertrag.Integration von Maschinen (Praktische Hinweise)
Für Traktoren und Anbaugeräte gibt es verschiedene Protokolle (ISOBUS, CAN, OBD). Bei einem Hofgerät habe ich so vorgegangen:
zuerst Protokoll ermitteln — Herstellerunterlagen oder CAN-Sniffer einsetzen,geeigneten Adapter nutzen (z. B. CAN-USB-Adapter oder spezialisierte Gateways von Ruttmann/Peak),Daten im Edge-Gerät vorverarbeiten (z. B. Fehlermeldungen filtern, Werte glätten) und nur relevante Telemetrie an den Broker senden,Zeitstempel synchronisieren — der Broker soll mit einem NTP-Server im lokalen Netz arbeiten, damit alle Messungen sauber vergleichbar sind.Fehlerbehebung und Wartung
Typische Probleme, die ich begegnet bin, und wie ich sie gelöst habe:
Gerät verbindet sich nicht: immer TLS/Cert-Fehler prüfen — oft ist ein falsch ausgestelltes Zertifikat schuld,Datenlücken: Prüfen, ob Edge-Gerät offline war (USV prüfen) oder ob der Broker überlastet ist — bei Bedarf QoS erhöhen oder Retained-Flags nutzen,Netzwerkabbrüche im Feld: LoRa-Gateway-Position anpassen oder Antenne verbessern; bei WLAN-Fallen höhere Antennen-/Repeater-Standorte wählen.Praktische Tipps für den Betrieb auf dem Hof
Beginnen Sie klein: zuerst 1–2 Sensoren und ein Dashboard, bevor Sie das ganze Hofnetz integrieren,Dokumentation pflegen: welche Geräte welche Topics nutzen, Zertifikatslaufzeiten und Passwörter dokumentieren,Regelmäßige Updates: Docker-Container oder Appliances mindestens monatlich prüfen und Sicherheitsupdates einspielen,Notfallplan: Was passiert, wenn der Server ausfällt? Backup-Server oder minimaler Ersatz (Raspberry Pi) bereitstellen.Wenn Sie möchten, kann ich gern ein Beispiel-Setup als Docker-Compose-Datei oder eine Liste konkreter MQTT-Topics und ACL-Beispiele zur Verfügung stellen — das hat mir beim Aufbau sehr geholfen und spart Zeit bei der Inbetriebnahme.
