openBalena
Flottenmanager
Veröffentlicht in Ausgabe 08/2025 - TESTS
Das Internet of Things (IoT) genießt unter erfahrenen Systemadministratoren nicht den besten Ruf – und das aus gutem Grund. Immer wieder machten Berichte über unsichere IoT-Geräte Schlagzeilen. Selbst etablierte Hersteller, die seit Jahrzehnten erfolgreich Haushaltsgeräte bauen, scheitern daran, ihre vernetzten Systeme sicher ins Netz zu bringen – von Start-ups und selbsternannten IoT-Innovatoren ganz zu schweigen.
Die Idee, etwa App-gestützte Brustmilchpumpen zu vermarkten, die automatisch Nutzungsstatistiken erfassen, mag auf den ersten Blick sinnvoll erscheinen – insbesondere aus medizinischer Sicht. Problematisch wird es jedoch, wenn solche Geräte derart schlecht abgesichert sind, dass sie sich aus der Ferne übernehmen und in Botnetze einbinden lassen. Die Sicherheit vernetzter Geräte bleibt ein Dauerbrenner. Hinzu kommt: Auch IoT-Systeme benötigen regelmäßige Softwareupdates – ein Aspekt, den viele Hersteller schlicht ignorieren. Jahrelang war es üblich, Haushaltsgeräte mit WLAN-Modul zu verkaufen, für das keinerlei Updates vorgesehen waren. Das ist nicht nur technisch fragwürdig, sondern kann im Ernstfall zur echten Bedrohung werden.
Zentrale Plattform für IoT
Viele Sicherheitsprobleme bei IoT-Geräten lassen sich auf die technische Komplexität zurückführen. Mehrere Faktoren erschweren den Betrieb und die Pflege vernetzter Geräte. Ein zentraler Punkt: IoT-Systeme sind häufig nicht dauerhaft mit dem Internet verbunden. Toaster, Kaffeemaschinen oder ähnliche Devices haben meist nur dann eine Netzverbindung, wenn sie eingeschaltet sind – was nur sporadisch geschieht.
Das Internet of Things (IoT) genießt unter erfahrenen Systemadministratoren nicht den besten Ruf – und das aus gutem Grund. Immer wieder machten Berichte über unsichere IoT-Geräte Schlagzeilen. Selbst etablierte Hersteller, die seit Jahrzehnten erfolgreich Haushaltsgeräte bauen, scheitern daran, ihre vernetzten Systeme sicher ins Netz zu bringen – von Start-ups und selbsternannten IoT-Innovatoren ganz zu schweigen.
Die Idee, etwa App-gestützte Brustmilchpumpen zu vermarkten, die automatisch Nutzungsstatistiken erfassen, mag auf den ersten Blick sinnvoll erscheinen – insbesondere aus medizinischer Sicht. Problematisch wird es jedoch, wenn solche Geräte derart schlecht abgesichert sind, dass sie sich aus der Ferne übernehmen und in Botnetze einbinden lassen. Die Sicherheit vernetzter Geräte bleibt ein Dauerbrenner. Hinzu kommt: Auch IoT-Systeme benötigen regelmäßige Softwareupdates – ein Aspekt, den viele Hersteller schlicht ignorieren. Jahrelang war es üblich, Haushaltsgeräte mit WLAN-Modul zu verkaufen, für das keinerlei Updates vorgesehen waren. Das ist nicht nur technisch fragwürdig, sondern kann im Ernstfall zur echten Bedrohung werden.
Zentrale Plattform für IoT
Viele Sicherheitsprobleme bei IoT-Geräten lassen sich auf die technische Komplexität zurückführen. Mehrere Faktoren erschweren den Betrieb und die Pflege vernetzter Geräte. Ein zentraler Punkt: IoT-Systeme sind häufig nicht dauerhaft mit dem Internet verbunden. Toaster, Kaffeemaschinen oder ähnliche Devices haben meist nur dann eine Netzverbindung, wenn sie eingeschaltet sind – was nur sporadisch geschieht.
Erschwerend kommt hinzu, dass viele dieser Geräte über keine benutzerfreundliche Computerschnittstelle verfügen. Die Steuerung erfolgt oft automatisiert oder über eine einfache App – direkte Eingriffe in die Systemsoftware sind für Endanwender nicht vorgesehen. Die Geräte sollen intuitiv nutzbar sein; die Onlinefunktion gilt als Zusatznutzen, nicht als zentrales Feature. Gerade dieser fehlende Zugang zur Systemebene führt jedoch dazu, dass viele Hersteller Aktualisierungen vernachlässigen oder ganz ausklammern. Ein Beispiel: Rollt ein Anbieter ein fehlerhaftes Update für seine vernetzten Kaffeemaschinen aus, könnten im schlimmsten Fall tausende Haushalte mit einem nutzlosen Gerät dastehen – funktionslos, aber gut aussehend.
Ein weiteres Problem liegt im Wildwuchs am Markt. Standardisierte IoT-Plattformen und ausgereifte Frameworks fehlen weitgehend. Viele Hersteller kaufen WLAN-Module von Drittfirmen zu und integrieren diese kurzfristig in ihre Produkte – oft ohne langfristiges Konzept. Für skalierbare IoT-Strategien ist dieser Ansatz untauglich. Unternehmen sehen sich dadurch mit einer Vielzahl inkompatibler Lösungen und fragmentierten Infrastrukturen konfrontiert.
Hier setzt openBalena an. Die Plattform richtet sich an Unternehmen, die IoT-Anwendungen entwickeln und ausrollen wollen. Herzstück ist ein zentraler Kontrollserver, über den sich Geräteflotten verwalten und aktualisieren lassen. Ein Bestandteil ist BalenaOS, ein speziell für IoT-Anwendungen entwickeltes Betriebssystem auf Linux-Basis. Es nutzt Container, um Anwendungen effizient auf Zielsystemen bereitzustellen. Ergänzt wird das Angebot durch eine Monitoring- und Metrikplattform sowie ein Framework für die Entwicklung und kontrollierte Verteilung eigener Anwendungen.
Damit positioniert sich openBalena als ernstzunehmende Zielplattform für IoT-Projekte. Grund genug, das Paket im Detail zu prüfen: Hält das System, was der Hersteller verspricht? Der Test beleuchtet sowohl die quelloffene Version von openBalena als auch die vom Anbieter betriebene Cloudplattform mit sofort verfügbaren Instanzen. Letztere verspricht ein schnelles Onboarding, geringe Kosten und volle Kontrolle über IoT-Workloads. Eine Lösung mit Potenzial – oder nur ein weiterer Luftballon?
| Produkt |
Linux-basierte, quelloffene Software für das zentrale Management von IoT-Geräten.
|
|---|---|
| Hersteller |
Balena
|
| Preis |
open Balena ist Open Source und steht kostenlos zur Verfügung. Für Balena Cloud fallen je nach gewünschtem Leistungsumfang mindestens 159 US-Dollar an Gebühren pro Monat an.
|
| Systemanforderungen |
2 GByte RAM, 4 GByte Speicherplatz, 1 CPU-Kern, Ubuntu 20.04 oder besser (empfohlen: 4 GByte RAM, 20 GByte Plattenplatz, 4 CPU-Kerne, Ubuntu 24.04)
|
| Technische Daten |
Schneller Einstieg
Der Einstieg in openBalena gelingt unkompliziert. Voraussetzung ist ein Zielsystem mit Ubuntu (x86_64), auf dem Docker als Container-Laufzeitumgebung installiert ist – denn openBalena wird vollständig in Containern ausgeliefert. Administratoren benötigen Root-Rechte auf dem System. Alternativ zur physischen Maschine genügt auch eine virtuelle Instanz. Die Anforderungen an die Hardware sind moderat, eine kleine VM reicht aus. Zusätzlich zum sogenannten "Server" – wie ihn die Dokumentation bezeichnet – braucht es eine zweite Maschine zur Steuerung, etwa die Workstation des Administrators. Auch hier muss Docker verfügbar sein, um Workloads und Konfigurationen verwalten zu können.
Vor der Installation sind einige DNS-Einträge erforderlich. Die Plattform setzt voraus, dass bestimmte Hostnamen (etwa "api.example.net") erreichbar sind – entweder über das öffentliche DNS oder intern, je nachdem, ob die IoT-Geräte über das Internet oder nur im Intranet kommunizieren sollen. Die eigentliche Installation von openBalena erfolgt anschließend. Negativ fällt auf: Die Dokumentation fordert ausdrücklich dazu auf, die aktuellen Linux-Control-Groups (cgroups v2) zu deaktivieren und stattdessen die veralteten cgroups v1 zu verwenden. Das ist im Jahr 2025 nicht mehr zeitgemäß, laut Hersteller aber aus Kompatibilitätsgründen notwendig.
Nach der Umstellung wird Docker-CE installiert, ein User für Balena angelegt und das offizielle Container-Repository von Balena verwendet. Dieses automatisiert weite Teile der Einrichtung. Am Ende des Prozesses läuft die Plattform betriebsbereit. Wer plant, IoT-Geräte über das Internet anzubinden, sollte den Server mit einem SSL-Zertifikat absichern. Positiv: openBalena kann sich via ACME-Protokoll automatisch ein gültiges Zertifikat ausstellen – sofern der Zugriff über einen unterstützten Anbieter wie Gandi oder Cloudflare erfolgt. Das schafft jedoch eine technische Abhängigkeit von US-Diensten. Eine bessere Lösung wäre die direkte Unterstützung von Let's Encrypt oder lokalen Zertifizierungsstellen.
Kritisch bleibt auch die fehlende Unterstützung für Hochverfügbarkeit. Zwar bringt openBalena mit dem HAProxy einen Loadbalancer mit, einen integrierten HA-Modus bietet die Plattform aber nicht. Wer den Dienst für produktive IoT-Flotten einsetzen will, muss selbst für Redundanz sorgen. Das betrifft praktisch jedes Unternehmen, das openBalena professionell nutzen möchte. Ohne Hochverfügbarkeit drohen im Fehlerfall lange Ausfälle. Der nachträgliche Aufbau einer HA-Umgebung ist zudem nicht trivial – etwa durch die Integration von DRBD für redundanten Speicher. Hier wäre mehr Automatisierung durch den Hersteller wünschenswert.
Automatisierung dank Container-Abbild
Nach der Serverinstallation erfolgt die Konfiguration über das CLI-Werkzeug Balena auf der Workstation des Administrators. Dieses wird per Konfigurationsdatei so eingerichtet, dass es sich mit der laufenden openBalena-Instanz verbindet. Anschließend folgt ein fest definierter Ablauf: Mit
balena fleet create legten wir eine neue Anwendung an. Diese basiert auf einem sogenannten Slug – im Balena-Kontext ein vorkonfiguriertes Anwendungspaket in einem oder mehreren Containern.Teil einer Anwendung ist stets ein Container-Abbild für das Zielgerät. openBalena bietet hier vor allem Unterstützung für Raspberry-Pi-Modelle. Mit
balena os configure bereiteten wir ein solches Abbild lokal vor, das anschließend per Balena Etcher oder via balena local flash auf eine MicroSD-Karte geschrieben wird. Diese Karte lässt das Zielsystem – typischerweise ein Raspberry Pi – direkt starten. Das vorbereitete Abbild enthält bereits die Zugangsdaten zur angelegten Anwendung. openBalena implementiert damit ein komfortables Onboarding: Nach dem Bootvorgang verbindet sich das Gerät automatisch mit der zentralen Instanz und registriert sich dort – inklusive Authentifizierung. Der gesamte Vorgang läuft ohne manuelle Eingriffe ab.
Schutz dank Partitionierung
Ein oft übersehener, zentraler Bestandteil der Plattform ist balenaOS, das eigens entwickelte Betriebssystem für IoT-Workloads. Es adressiert typische Verwaltungsprobleme ausgerollter Geräte mit einem mehrschichtigen Sicherheits- und Updatekonzept. Die Basis bildet ein angepasster Linux-Kernel, den Administratoren im Regelbetrieb kaum zu Gesicht bekommen. Auffällig ist das durchdachte Partitionsschema: Es umfasst eine Boot-Partition, zwei autarke Root-Partitionen, eine Status- sowie eine Datenpartition.
Die Boot- und Root-Partitionen sind im laufenden Betrieb schreibgeschützt. Das reduziert potenzielle Angriffsflächen deutlich. Schreibzugriff besteht lediglich auf Status- und Datenpartition – letztere jedoch abgesichert durch zusätzliche Schutzmechanismen. balenaOS verfolgt ein Sicherheitskonzept mit minimaler Angriffsfläche. Auch der Netzwerkzugriff erfolgt bevorzugt über ein VPN zur openBalena-Instanz.
Ein Vorteil des Dual-Root-Layouts: Eine der Root-Partitionen lässt sich während des Betriebs aktualisieren, während die andere aktiv bleibt. Kommt es beim Update zu einem Fehler, bleibt das ursprüngliche System intakt. Der Boot-Loader erkennt fehlerhafte Startvorgänge automatisch und wechselt zurück zur letzten funktionierenden Partition. Das senkt das Risiko, dass Geräte manuell ersetzt werden müssen – besonders bei dezentral installierten Flotten ein erheblicher Vorteil.
balenaOS nutzt jedoch weder Docker noch Podman. Stattdessen setzt es auf die eigens entwickelte Balena-Engine, eine schlanke Container-Laufzeitumgebung mit optimierter Ressourcenbilanz. Sie ist direkt per API an den openBalena-Server angebunden und bildet das Rückgrat der Containerverwaltung auf den IoT-Geräten.
balenaCloud als Alternative im Netz
Der Test zeigt: Mit openBalena lässt sich eine vollständige IoT-Infrastruktur aufbauen, inklusive Edge-Softwarebereitstellung via balenaOS. Für viele Unternehmen ist das eine strategische Entscheidung – wer volle Kontrolle über Daten, Clients und Software behalten will, setzt auf die lokale Variante.Hersteller Balena bietet jedoch mit balenaCloud eine kommerzielle Alternative. Der gehostete Dienst bringt dieselbe Grundfunktionalität mit, aber inklusive modernem GUI und Enterprise-Features. Im Webinterface lassen sich unter dem Reiter "Fleets" Geräteflotten verwalten und Anwendungen gezielt ausrollen. Das GUI ersetzt das CLI vollständig und erleichtert die Bedienung – etwa durch SSO-Integration und zentrale Übersicht.balenaCloud ist zudem direkt mit dem Balena Hub verbunden. Vorgefertigte Container-Anwendungen lassen sich mit wenigen Klicks übernehmen und auf eigene Geräte ausrollen – ähnlich wie bei Docker Hub. Diese Integration fehlt openBalena. Dort müssen fertige Projekte manuell von GitHub geladen und eingebunden werden. Allerdings ist balenaCloud kostenpflichtig:- 159 US-Dollar pro Monat für einen Nutzer und 30 Geräte.- 329 Dollar für bis zu 60 Geräte.- 1500 Dollar für 110 Geräte einschließlich Support.Zusätzliche Geräte kosten 3 Dollar (Starter) beziehungsweise 2 Dollar (höhere Tarife) pro Stück. Preise für das Enterprise-Paket nennt der Anbieter nur auf Anfrage.
Raspi und Co. im Fokus
openBalena unterstützt Unternehmen, die IoT-Infrastrukturen aufbauen wollen, an mehreren technischen Fronten. Ein Blick auf die Zielgruppe zeigt jedoch schnell: Die Umgebung fokussiert klar auf Geräte wie den Raspberry Pi. Sie richtet sich nicht an Hersteller klassischer Embedded-Systeme, etwa in Haushaltsgeräten wie Waschmaschinen oder Kaffeemaschinen.
Wer IoT ausschließlich mit solcher Konsumelektronik assoziiert, greift zu kurz. In der Industrie ist das "Internet of Things" längst fester Bestandteil moderner Produktionsumgebungen – mit anderen Anwendungsfällen und Anforderungen. Ein typisches Szenario: In einer Fertigungsstraße für Werkzeuge wie Bohrer oder Hämmer laufen zentrale Anwendungen auf virtualisierten Servern. Die Anbindung der Produktionsmittel erfolgt über lange Kabelstrecken. Das zentralisiert zwar die Verwaltung, schafft aber auch Engpässe bei Performance, Verfügbarkeit und Sicherheit.
Im Industrie-4.0-Kontext setzt sich zunehmend ein dezentrales Modell durch – mit Edge-Computing und lokal verteilter Rechenleistung. Dank leistungsfähigem WLAN (1 GBit/s) lässt sich ein Raspberry Pi direkt an der Maschine betreiben. Für viele Aufgaben in der Fertigung genügt seine Ausstattung völlig. Auch andere Szenarien profitieren vom Edge-Modell. Eine Firma, die KI-basierte Analysen an verschiedenen Standorten durchführt, kann diese besser lokal auf kleinen Geräten abwickeln, statt Daten aufwändig zentral zu übertragen. Für derartige Fälle bietet IoT handfeste Vorteile – setzt aber eine Flottenverwaltung voraus. Genau hier positioniert sich openBalena.
CI/CD außen vor
openBalena erleichtert die Entwicklung und den Betrieb containerisierter Anwendungen für IoT-Geräte. Die Balena Engine fungiert dabei als leichtgewichtige Laufzeitumgebung auf balenaOS. Die Entwicklung erfolgt in zwei Schritten: Zunächst erstellen Entwickler einen Linux-Container, der mit der Balena Engine kompatibel ist – etwa in der Architektur ARM64 für Raspberry Pi. Anschließend wird das Abbild samt Konfiguration und Metadaten in ein Projekt gepackt und im openBalena-Server hinterlegt.
Das gesamte Projekt lässt sich dann automatisch an alle zugewiesenen Geräte ausrollen. Das Zusammenspiel von balenaOS und Balena Engine übernimmt die Ausführung. Kritisch: openBalena bietet keine direkte Integration in CI/CD-Pipelines. Wer moderne Entwicklungsprozesse nutzen möchte, muss eigene Integrationen bauen – etwa mit Gitea oder GitLab. Dort lassen sich Pipelines einrichten, die Container bauen, testen und in eine Registry laden. Der anschließende Transfer an openBalena erfordert zusätzliche Logik, etwa via Webhooks. Möglich ist das – aber aufwendig.
Fazit
Laufend halten neue IoT-Devices Einzug in das Firmennetz. Da geht der Überblick schnell verloren. Mit openBalena kommen Administratoren in kurzer Zeit zu einem funktionierenden Framework, mittels dessen sich IoT-Anwendungen in freier Wildbahn ausrollen, betreiben und warten lassen. Die Komponenten des Balena-Stacks leisten dabei wertvolle Dienste: Der openBalena-Server fungiert als zentrale Kontrollinstanz, die in Form des CLI-Werkzeugs "balena" einen funktionalen Partner an der Seite hat. Auch die Relevanz von balenaOS ist im IoTnicht zu unterschätzen.
Nicht nur, dass es dem Hersteller hier gelungen ist, ein vielseitiges Werkzeug für den Betrieb von IoT-Anwendungen mit eigener Laufzeitumgebung für Container zu schaffen – er hat es auch gleich noch so ausgestaltet, dass es etwaigen Updateproblemen weitgehend zuvorkommt. Das wiederum hilft Unternehmen dabei, ihre IoT-Flotte auf einem aktuellen Stand zu halten statt immer weiter zum Betrieb eines Softwaremuseums überzugehen.
Negativ fällt auf, dass open Balena viele Details dem IT-Verantwortlichen überlässt, etwa den hochverfügbaren Betrieb des Balena-Servers selbst. Schmerzlich fehlt zudem eine sinnvolle Integration in CI/CD-Pipelines. Die muss der Administrator sich stattdessen selber häkeln. Positiv hingegen fällt die Anzahl der insgesamt unterstützten IoT-Geräte auf. Zwar liegt der Fokus klar auf Raspberry Pi, auch weil diese am leichtesten am Markt zu bekommen sind. Zur Riege der unterstützten Geräte gehören aber auch Surface-Geräte aus dem Hause Microsoft sowie diverse Embedded-Controller, die oft als elementarer Bestandteil von IoT-Anwendungen zum Einsatz kommen. Und zwar auch und vor allem deshalb, weil sie pro Einheit recht günstig zu haben sind.
(dr)
Verwaltung von IoT-Geräten |
7 |
balenaOS und balenaEngine |
7 |
balenaCloud |
7 |
Eingebautes Softwaremanagement |
7 |
Integration in CI/CD-Pipelines |
6 |
|
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/
|
|