Was ist ein OTA-Update?
OTA steht für Over-the-Air und bezeichnet die drahtlose Aktualisierung von Software auf Geräten im Feld. Statt Techniker zu Maschinen oder Fahrzeugen zu schicken, werden Updates über eine automatisierte Pipeline bereitgestellt — inklusive Signierung, Staging-Rollout und Rollback-Möglichkeit.
Automotive & EmbeddedEin OTA-Update (Over-the-Air-Update) ist die drahtlose Auslieferung neuer Software oder Firmware auf ein Gerät im Feld — etwa ein Fahrzeug, eine Maschine oder ein IoT-Gerät — ohne physischen Zugriff oder Kabelverbindung. Es ist dabei weit mehr als das Übertragen einer Datei: Ein robustes OTA-Update ist ein vollständiger Lebenszyklus aus Signierung, gestaffeltem Rollout, Verifikation und automatischer Rückfallebene. Im Kern stehen kryptografisch signierte Images, deren Echtheit das Gerät vor der Installation prüft, sodass keine manipulierte Firmware eingespielt werden kann. Verbreitete Update-Mechanismen wie A/B-Partitionen halten dabei das alte Image vor: Schlägt der neue Stand fehl oder bootet nicht, fällt das Gerät automatisch zurück.
Der Rollout selbst erfolgt gestaffelt: Erst eine kleine Canary-Gruppe, deren Telemetrie überwacht wird, dann eine schrittweise Ausweitung auf die gesamte Flotte. So begrenzt man den Schaden eines fehlerhaften Updates auf wenige Geräte. Diese Logik ähnelt dem Canary- und Blue-Green-Deployment aus der Web-Welt, muss aber mit instabiler Konnektivität, begrenzter Bandbreite und Geräten umgehen, die während des Updates nicht ausfallen dürfen — etwa Fahrzeuge oder Maschinen im Betrieb.
Für Industrial DevOps und Embedded DevOps ist OTA der finale Pipeline-Schritt, der die Auslieferung ins Feld automatisiert. Sicherheit ist hier kein Nice-to-have: Im Automotive regelt die UNECE R156 das Software-Update-Management-System verbindlich. Typische Stolpersteine sind fehlendes Rollback, ungesicherte Signaturketten, das Ignorieren von Geräten im laufenden Betrieb und die Annahme stabiler Verbindungen, die im Feld selten gegeben ist.
A/B-Partition mit automatischem Rollback
Ein IoT-Gerätehersteller installiert neue Firmware in eine inaktive zweite Partition und schaltet erst nach erfolgreichem Boot und Selbsttest um; scheitert der neue Stand, kehrt das Gerät automatisch zur funktionierenden Version zurück.
Staged Rollout über eine Fahrzeugflotte
Ein Automotive-Hersteller spielt ein Steuergeräte-Update zunächst auf eine kleine Canary-Flotte, überwacht Fehler-Telemetrie und weitet den Rollout nur bei stabilen Werten schrittweise aus — konform zu den Anforderungen der UNECE R156.
- Was ist ein OTA-Update?
- OTA steht für Over-the-Air und bezeichnet das drahtlose Einspielen von Software- oder Firmware-Updates auf Geräte im Feld, ohne sie physisch anzuschließen. Ein vollständiges OTA-Update umfasst signierte Images, einen gestaffelten Rollout und eine automatische Rückfallebene. Eingesetzt wird es überall dort, wo Geräte verteilt und schwer erreichbar sind — etwa in Fahrzeugen, Maschinen und IoT-Geräten.
- Wie verhindert ein OTA-Update das Einspielen manipulierter Firmware?
- Durch eine durchgängige Signaturkette: Das Update wird mit einem privaten Schlüssel signiert, und das Gerät prüft die Signatur mit einem fest hinterlegten öffentlichen Schlüssel vor der Installation. Nur Images aus vertrauenswürdiger Quelle werden akzeptiert, idealerweise zusätzlich abgesichert durch Secure Boot.
- Was passiert, wenn ein OTA-Update fehlschlägt?
- Ein robustes OTA-System rollt automatisch auf den vorherigen, funktionierenden Stand zurück, etwa über A/B-Partitionen oder einen Recovery-Mechanismus. Entscheidend ist, dass ein fehlgeschlagenes Update kein Gerät unbrauchbar macht — gerade bei Geräten im Feld, die nicht physisch erreichbar sind.
- Worin unterscheidet sich OTA im Automotive von IoT-OTA?
- Die Mechanik ähnelt sich, doch im Automotive gelten strengere regulatorische Anforderungen wie die UNECE R156 zum Software-Update-Management. Zudem sind funktionale Sicherheit, der Betriebszustand des Fahrzeugs und längere Update-Zeitfenster relevant, während IoT-OTA oft stärker auf Skalierung und intermittierende Konnektivität optimiert ist.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance