Fallstudie · Physische Sicherheit · Mobile
Wie wir Grom Security ausgeliefert haben — eine native iOS- und Android-App für einen Betreiber physischer Sicherheit, dessen Kunden in den USA und der Europäischen Union mit drei separaten Apps jonglierten, um ein Haus scharfzuschalten, eine Kamera zu beobachten und ein Licht einzuschalten. Aufgebaut auf einem einheitlichen Berechtigungsmodell, einem zonalen Scharf- und Unscharfschaltungsablauf, eingebettetem Video und einer Smart-Home-Steuerungsoberfläche — mit einer auditfähigen Architektur, die der Prüfung nach DSGVO und CCPA vom ersten Tag an standhält.
Das Produktteam von Grom Security kam mit einem konkreten operativen Schmerzpunkt. Ihre Kunden — Eigentümer in den USA und der Europäischen Union — zahlten bereits für Wachdienst, Videoüberwachung und ein vernetztes Smart-Home-Ökosystem, aber jedes Subsystem brachte seine eigene Mobile-App, seinen eigenen Login und seinen eigenen Benachrichtigungsstrom mit. Ein Hausbesitzer, der das Haus scharfschalten, die Kamera im Vorgarten beobachten und bei Einbruch der Dunkelheit das Verandalicht einschalten wollte, musste drei Icons öffnen, mit drei Sitzungen jonglieren und im Fehlerfall drei separate Audit-Spuren abgleichen. Wir haben die gesamte Oberfläche von Grund auf neu als eine einzige native iOS- und Android-Anwendung aufgebaut: ein zonales Berechtigungsmodell, bei dem sich jede Liegenschaft in unabhängige Zonen aufteilt (Haus, Sauna, Garage, Grundstück), ein einheitlicher Scharf- und Unscharfschaltungsablauf, eingebettetes Live-Video und eine Smart-Home-Steuerungsoberfläche, die in das bestehende Ökosystem des Kunden integriert ist. Das Ergebnis ist eine vereinheitlichte Sicherheits-App, die vom ersten Tag an in den USA und der EU unter den Anforderungen der DSGVO und der CCPA / CPRA ausgeliefert wird, im Portfolio der Mobile App-Entwicklung von YuSMP Group angesiedelt ist und dem Eigentümer eine zentrale verlässliche Quelle dafür gibt, was aktuell scharfgeschaltet ist.
Ein Überblick darüber, was die Grom-Security-Entwicklung über iOS, Android und ein gehärtetes Backoffice in ihrem ersten Produktivzyklus geliefert hat.
Die Berechtigungsentscheidung dominiert jede andere architektonische Wahl in einer mandantenfähigen Sicherheits-App. Wir haben uns aus einem Grund für ein zonales Berechtigungsmodell entschieden — bei dem sich jede Liegenschaft in unabhängige Zonen aufteilt und jede Zone ihren eigenen Scharfschaltungszustand, ihre eigene Rollenzuweisung und ihr eigenes Audit-Log besitzt — gegenüber dem verbreiteteren einzelnen Liegenschaftsschalter: Es ist das einzige Modell, das ehrlich beschreibt, was ein Eigentümer tatsächlich will. Ein Hausbesitzer, der nachts das Haus scharfschaltet, lässt die Garage in der Regel unscharf, weil ein Familienmitglied noch in der Werkstatt ist. Ein Ferienvermietungsbetreiber möchte den Grundstücksperimeter scharfschalten, das Häuschen für einen ankommenden Gast aber unscharf lassen. Das Modell mit einem einzigen Schalter zwingt den Benutzer, sich zwischen Genauigkeit und Komfort zu entscheiden; das zonale Modell bietet ihm beides.
Modelle mit einem einzigen Liegenschaftsschalter — wie sie mit White-Label-Alarm-SDKs der ersten Generation gebündelt werden — wurden früh ausgeschlossen. Ihre Datenstruktur konnte „Haus scharf, Garage unscharf" nicht abbilden, ohne einen der Zustände in einem clientseitigen Status zu speichern, den das Backoffice nicht auditieren konnte. Der Schritt zur Zonalität bedeutete, dass der gesamte Stack — Client-UI, Berechtigungsdienst, Audit-Log, Push-Pipeline — pro Zone verantwortet und durchgängig anhand der eigenen Einsatzprotokolle des Betreibers belegbar ist.
| Dimension | Zonales Modell (Grom) | Einzelner Liegenschaftsschalter | White-Label-SDK eines Herstellers |
|---|---|---|---|
| Unabhängiger Scharfschaltungszustand pro Zone | Erstklassig — Haus und Garage getrennt | Behelfslösung über „Modi" | Herstellerdefiniert; oft undurchsichtig |
| Rollenbasierter Zugriff pro Zone | Eigentümer / Familie / Mitarbeiter / Gast | Nur liegenschaftsweit | Herstellerbeschränkter Rollenkatalog |
| Granularität des Audit-Logs | Pro Zone, pro Benutzer, pro Ereignis | Nur auf Liegenschaftsebene | Herstellergesteuerter Export |
| Smart-Home-Integration | Erstklassig — pro Zone | Aufgesetzt — oft eine separate App | Nur herstellergebündeltes Ökosystem |
| Eingebettetes Video | Nativer Player, rollengesteuert | Deep-Link zur Hersteller-App | Nur Player des Hersteller-SDK |
| Eignung für App Store / Play Store | Dünne Hülle über nativen APIs | Größeres Bundle; veraltete Muster | SDK-lastig; Prüfungshürden |
| Datenminimierung | Rollenbeschränkte Lesezugriffe — keine Übererfassung | Liegenschaftsweite Lesezugriffe | Herstellergesteuert — undurchsichtig |
Plattform-Referenzen: Apple-UserNotifications-Dokumentation, Android-Benachrichtigungsreferenz.
Der iOS-Client ist in Swift mit SwiftUI für die UI-Schicht und einer berechtigungsgesteuerten Rendering-Schicht aufgebaut, die nur die Bedienelemente zeichnet, zu deren Bedienung der aktuelle Benutzer in der aktuellen Zone berechtigt ist. Die gesamte Scharf- und Unscharfschaltungsoberfläche reduziert sich auf eine einzige Zustandsmaschine — unscharf, wird scharfgeschaltet, scharf, wird unscharfgeschaltet, alarmierend — und der Startbildschirm ist eine Liste der Zonen, auf die der Benutzer Zugriff hat, jeweils mit einem Ein-Tipp-Schalter, der die Zustandsmaschine antreibt. Die Push-Zustellung läuft über UserNotifications und APNs mit Critical-Alert-Berechtigung für Alarmereignisse, sodass ein ausgelöster Alarm den Eigentümer auch dann erreicht, wenn das Gerät auf „Nicht stören" steht.
Der Pfad vom Tippen bis zur Scharfschaltung ist die Stelle, an der die meisten Sicherheits-Apps Zeit und Vertrauen verlieren, und hier haben wir überproportionalen Engineering-Aufwand investiert. Der Ablauf ist: Tippen, die Rolle-pro-Zone-Berechtigung des Benutzers gegen die lokal zwischengespeicherte Berechtigung validieren (keine Netzwerkrunde, wenn gültig), den signierten Scharfschaltungsbefehl über TLS an das Backoffice senden, die Anfrage in das Audit-Log schreiben und den Disponenten die Zustandsänderung in Echtzeit empfangen lassen. In typischen Mobilfunknetzen in den USA und der EU ist der gesamte Pfad aus Sicht des Benutzers in unter einer Sekunde abgeschlossen, und der Audit-Log-Eintrag — wer welche Zone von welchem Gerät zu welcher Zeit scharfgeschaltet hat — ist festgeschrieben, bevor die UI in den Ruhezustand zurückkehrt. Die durchgängige iOS-Oberfläche wird als Teil unseres iOS- und Android-Engineerings geliefert.
Der Android-Client ist in Kotlin mit Jetpack Compose für die UI und einem Foreground-Service für die langlebige Push-Zustellung geschrieben — bei den Gerätefamilien Samsung, Xiaomi, OnePlus und Pixel beenden aggressive Akku-Optimierer reine Hintergrund-Push-Handler innerhalb von Minuten und brechen damit den Alarmzustellungsvertrag, den der Benutzer implizit eingeht. Der Foreground-Service zeigt eine minimale dauerhafte Benachrichtigung an, die die Push-Pipeline über Doze-Modus-Zyklen hinweg am Leben hält, und WorkManager übernimmt nicht dringende Vorgänge — Berechtigungsaktualisierung, Audit-Log-Wiedergabe, Zertifikatsrotation — mit Backoff-Semantik, die die Energiesparzustände von Android 10 bis Android 14 respektiert.
Die Smart-Home-Steuerungsoberfläche ist die Stelle, an der sich der Android-Client bewährt. Die App integriert sich über eine dünne Protokolladapterschicht in das bestehende Smart-Home-Ökosystem des Kunden — Drittanbieter-Sicherheitsprotokolle auf der Alarmseite, Smart-Home-APIs auf der Automatisierungsseite — sodass der Eigentümer das Verandalicht von demselben Bildschirm aus einschalten kann, der den Kamera-Feed des Vorgartens und den aktuellen Scharfschaltungszustand zeigt. Der eingebettete Videoplayer streamt sauber über LTE und WLAN, ohne den Benutzer in eine Hersteller-App auslagern zu müssen, und die rollengesteuerte Wiedergabe regelt, wer welche Kamera sehen darf. Nach einem Wechsel von WLAN zu LTE stellt der Client die Videositzung automatisch wieder her. Dasselbe Engineering-Team führt iOS und Android im Gleichschritt als Teil unserer Mobile App-Entwicklung.
Die erklärte Mehrbenutzer-Aufstellung von Grom Security war eine Architekturentscheidung, bevor sie ein Marketingversprechen wurde. Jede Liegenschaft ist das Wurzel-Berechtigungsobjekt; jede Zone erbt davon; und jeder Benutzer erhält eine Rolle pro Zone — Eigentümer, Familie, Mitarbeiter, Gast — mit pro Rolle zugeordneten Berechtigungen. Die mobilen Clients stellen nur die Bedienelemente dar, zu deren Bedienung der Benutzer in der aktuellen Zone berechtigt ist, und das Backoffice setzt dieselbe Berechtigungsmatrix bei jedem API-Aufruf durch, sodass eine gefälschte oder wiederholte Anfrage vom Client den Berechtigungsumfang nicht ausweiten kann. Es gibt keine Standortverfolgung pro Benutzer, keine Dauererfassung über das Gerätemikrofon und keine Metadaten-Weiterleitung an einen Drittanbieter für Observability außerhalb des eigenen Einsatzsystems des Betreibers.
Das Audit-Log ist das Herzstück des Modells. Jede Scharfschaltung, Unscharfschaltung, Videoansicht und Konfigurationsänderung schreibt einen unveränderlichen Datensatz, der nach Zone, Benutzer, Gerät und Ereignistyp indiziert ist. Das standardmäßige Aufbewahrungsfenster von 90 Tagen ist je nach lokaler Vorschrift verlängerbar, und der Eigentümer kann das Log jederzeit in JSON oder CSV exportieren. Infrastructure-as-Code-Richtlinien setzen die Zugriffsinvarianten durch — jeder Pull Request, der den Lesebereich einer Rolle erweitern oder eine zonenbezogene Nachverfolgungslücke einführen würde, scheitert in der CI. Die Aufstellung ist darauf ausgelegt, sich an den Pflichten der DSGVO für Benutzer in der Europäischen Union und den Pflichten der CCPA / CPRA für Benutzer in Kalifornien und den USA insgesamt auszurichten — und eine künftige unabhängige Bereitschaftsprüfung zu einer Dokumentationsaufgabe statt einer architektonischen Nachrüstung zu machen.
Compliance-Aufstellung: DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · CCPA-berücksichtigt.
Eine fünfphasige Entwicklung, die Grom Security von der Produktspezifikation bis in den Produktivbetrieb über iOS, Android und ein vereinheitlichtes Berechtigungs-Backoffice brachte.
Kundeninterviews über mehrzonale Liegenschaften hinweg, Bedrohungsmodell (gefälschte Befehle, Berechtigungseskalation, verlorene Geräte), DSGVO- + CCPA-Aufstellungsabbildung, Prüfung der Sicherheits-App-Berechtigungen für App Store und Google Play.
Zonales Berechtigungsschema, Rollen-Berechtigungs-Matrix, Drittanbieter-Sicherheitsprotokolladapter, Smart-Home-Protokolladapter, Vertrag zur Unveränderlichkeit des Audit-Logs, Entwurf der Push-Pipeline.
Swift- / SwiftUI-iOS-Client mit berechtigungsgesteuertem Rendering und Critical-Alert-Push; Kotlin- / Jetpack-Compose-Android-Client mit Foreground-Service für Push-Zuverlässigkeit; eingebetteter Videoplayer auf beiden.
Infrastructure-as-Code-Richtlinien, die Regressionen des Rollenbereichs blockieren, QA der Push-Zustellungszuverlässigkeit über Apple- und Google-Netze, Tests der Unveränderlichkeit des Audit-Logs, Gerüst für die Bereitschaft gegenüber Dritten.
Einreichung im App Store + Google Play über die US- und EU-Storefronts, Umstellung auf den Echtzeit-Ereignis-Feed auf Disponentenseite, Konfiguration der Audit-Log-Aufbewahrung pro Zone gemäß lokaler Vorschrift.
Die Smart-Home-Schicht von Grom Security wurde so gebaut, dass Alarmidentität und Hausautomatisierungsidentität nachweislich übereinstimmen, denn das Versprechen der vereinheitlichten App zerfällt in dem Moment, in dem sich ein Eigentümer in ein separates Ökosystem-Konto einloggen muss, um ein Licht einzuschalten. Die Smart-Home-Steuerungsoberfläche integriert sich über eine dünne Protokolladapterschicht in das bestehende Ökosystem des Kunden, die rollengesteuerte Berechtigungen — einschalten / ausschalten / dimmen — auf das eigene Befehlsschema des Ökosystems abbildet. Serverseitig ist die Integration eine zustandslose Abbildung; das Backoffice hält keine dauerhafte Kopie der Ökosystem-Anmeldedaten über das rotierende OAuth-Refresh-Token hinaus, und ein Eigentümer, der die Integration widerruft, sieht die Smart-Home-Kachel innerhalb von Sekunden aus seiner App verschwinden. Die Disponentenansicht, die das Bereitschaftsteam des Betreibers nutzt, liest aus demselben Audit-Log-Stream, den der Kunde in der App sieht — sodass ein ausgelöster Alarm sauber zwischen dem Mobilbildschirm des Kunden, der Konsole des Disponenten und dem späteren Vorfallbericht abgeglichen wird. Das gesamte Subsystem wurde mit Blick auf Erweiterbarkeit gebaut: Das Hinzufügen eines neuen Ökosystem-Adapters, einer zonenbezogenen Zeitplan-Engine oder einer B2B-Mehrliegenschaftsstufe mit Teamverwaltung ist eine Konfigurationsänderung am Berechtigungsdienst, kein Code-Release.
Grom Security startete im Apple App Store und bei Google Play mit aktiven Storefronts in den USA und der Europäischen Union. Die englischsprachige Version bedient Benutzer in Kalifornien, New York, Texas, Florida und Washington in den USA sowie Benutzer in den Niederlanden, Deutschland, Frankreich, Irland und Schweden in der EU, ohne eine separate Codebasis pro Region. Einwilligungsabläufe sind auf Client-Ebene regionsbewusst: Benutzer in der EU und im EWR erhalten einen granularen Einwilligungsbildschirm im DSGVO-Stil mit separaten Schaltern für jegliche optionale Produktanalyse; Benutzer in Kalifornien erhalten im selben Ablauf einen Hinweis im CCPA-Stil „Do Not Sell or Share My Personal Information". Die Datenverarbeitungspraktiken sind mit der DSGVO für europäische Benutzer und mit dem Flickenteppich US-amerikanischer Datenschutzgesetze abgestimmt — CCPA / CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah), TDPSA (Texas) und Oregon CPA. Da die zonale Berechtigungsarchitektur die Datenerfassung pro Benutzer minimiert, reduziert sich die regionale Compliance auf ehrliche Offenlegung statt auf eine Datentrennung nach Rechtsraum.
Die Backoffice-Flotte wurde parallel über EU- und US-Regionen ausgerollt — Niederlande, Deutschland, Frankreich, Schweden und Irland für die EU-Abdeckung; US-Ost und US-West für Nordamerika — wobei die zustandslosen Worker jeder Region identisch bereitgestellt wurden. Der Disponenten-Feed, der Alarmereignisse an das Bereitschaftsteam leitet, läuft auf zustandslosen Workern, die für künftige Datenresidenz-Zusagen unabhängig an EU- oder US-Regionen gebunden werden können. Sowohl die Altersfreigabe im App Store als auch die Inhaltsbewertung bei Google Play wurden auf den Sicherheitsfunktionsumfang kalibriert, und die In-App-Datenschutzrichtlinie wurde so verfasst, dass sie genau die obige Architektur dokumentiert und direkt auf die Pflichten der DSGVO und die kalifornischen CCPA-Pflichten verweist. Das Engineering-Team hinter der Entwicklung arbeitet in MEZ und hält einen MEZ-Arbeitstag mit Überlappung mit der US-Ostküste (9–13 Uhr ET) für Stand-ups, die Choreografie der Store-Prüfungen und die Vorfallreaktion ein — die Zeitzone, die es einem US-Produktteam und einem EU-Engineering-Team ermöglicht, jeden Tag vier Stunden Live-Überlappung zu teilen.
Die aktive Roadmap für die individuelle Softwareentwicklung von Grom Security umfasst eine Smart-Home-Integration über das Matter-Protokoll für ökosystemübergreifende Steuerung, eine zonenbezogene Zeitplan-Engine, damit sich die Garage um Mitternacht selbst scharfschalten kann, eine Critical-Alert-Push-Stufe mit optionaler Eskalation an ein kostenpflichtiges Bereitschaftsteam und einen auf Tauri aufgebauten Desktop-Client, der die Geschäftslogik mit der mobilen Codebasis teilt. Eine B2B-Stufe mit eigenem Liegenschaftsportfolio, Teamverwaltung und SSO ist für mittelständische Betreiber in den USA und der EU geplant, wobei das Berechtigungssubsystem bereits für die Zuweisung mehrerer Liegenschaften strukturiert ist. Die Infrastrukturpläne umfassen eine weitere Cloud-&-DevOps-Automatisierung der regionalen Rollout-Pipeline, ein internes Werkzeug zur kontinuierlichen Verifizierung des Rollenbereichsvertrags und eine künftige unabhängige Bereitschaftsbewertung, die in den Betriebsrhythmus eingebettet ist.
Wenn Sie eine vereinheitlichte Sicherheits-App, ein Fernüberwachungsprodukt oder eine beliebige Mobile-App planen, bei der physische Sicherheit, eingebettetes Video und Smart-Home-Steuerung für Zielgruppen in den USA und der EU hinter einem Icon zusammenkommen müssen, haben wir diesen Stack durchgängig ausgeliefert und können den Entwicklungszeitplan spürbar verkürzen. Das Live-Produkt wird vom Sicherheitsanbieter unter yusmpgroup.ru/cases/gromsecurity (Fallstudienseite) betrieben, und das Engineering-Team dahinter sitzt bei YuSMP Group. Wir arbeiten zum Festpreis für klar umrissene MVPs und mit dedizierten Entwicklerteams für die laufende Lieferung, mit einem MEZ-Arbeitstag und einem garantierten Überlappungsfenster mit der US-Ostküste (9–13 Uhr ET) für Stand-ups, Demos und die Vorfallreaktion.
Eine Fernalarm-Mobile-App mit iOS- und Android-Clients, zonaler Scharf- und Unscharfschaltung, Push-Benachrichtigungen und einem Berechtigungs-Backoffice kostet für ein MVP typischerweise 120.000–280.000 $. Eingebettete Video-Feeds, Smart-Home-Protokollintegrationen (Matter, Zigbee, Z-Wave oder Hersteller-SDKs), rollenbasierte Mehrbenutzer-Berechtigungen und ein Audit-Log bringen einen voll ausgestatteten Rollout auf 320.000–680.000 $. Die dominierenden Kostentreiber sind die Integrationsarbeit für Drittanbieter-Sicherheitsprotokolle und das Mehrbenutzer-Berechtigungsmodell.
Ein Eigentümer, der bereits für einen Wachdienst zahlt, möchte keine drei Icons auf dem Startbildschirm, drei Logins und drei Benachrichtigungsströme vom selben Anbieter. Die Zusammenführung von Alarm, Video und Smart Home in einer App beseitigt den kognitiven Aufwand, sich zu merken, welche App welches Subsystem steuert, ermöglicht uns eine gemeinsame Benutzeridentität und ein einheitliches Berechtigungsmodell über alle drei Oberflächen hinweg und gibt dem Eigentümer eine zentrale verlässliche Quelle dafür, was aktuell scharfgeschaltet ist, wer Zugriff hat und was gerade geschehen ist.
Ein belastbares Mehrbenutzer-Modell ist eine Rollenentscheidung, kein Funktionsschalter. Die Liegenschaft ist das Wurzel-Berechtigungsobjekt; jede Zone (Haus, Garage, Grundstück, Sauna) erbt davon; und jeder Benutzer erhält eine Rolle pro Zone — Eigentümer, Familie, Mitarbeiter, Gast. Rollen werden auf Berechtigungen abgebildet — scharfschalten, unscharfschalten, Video ansehen, konfigurieren — und die mobilen Clients stellen nur die Berechtigungen dar, die der Benutzer besitzt. Audit-Log-Einträge erfassen, wer welche Zone scharf-, unscharfgeschaltet oder neu konfiguriert hat, mit einem Aufbewahrungsfenster von 90 Tagen, das der Eigentümer je nach lokaler Vorschrift verlängern kann.
Grom Security ist das einzige mobile Frontend, das ein Eigentümer über mehrere Adressen hinweg bei sich trägt. Es listet jeden Standort auf, den er besitzt, mit einer Ein-Tipp-Scharf- und Unscharfschaltung pro Zone, zeigt eingebettetes Live-Video von den an jedem Standort integrierten Kameras, stellt Smart-Home-Aktionen für Beleuchtung, Klima und Steckdosen über das verbundene Ökosystem bereit und leitet Alarmereignisse als Push-Benachrichtigungen mit optionaler Eskalation an das Bereitschaftsteam weiter. Familienmitglieder und Mitarbeiter erhalten über das rollenbasierte Berechtigungsmodell einen eingegrenzten Zugriff.
Ein fokussiertes MVP mit iOS- und Android-Clients, zonaler Scharf- und Unscharfschaltung, Push-Benachrichtigungen und einem Berechtigungs-Backoffice dauert typischerweise 14–22 Wochen. Die Integration des eingebetteten Videos, die Smart-Home-Protokollschicht, das rollenbasierte Mehrbenutzer-Berechtigungsmodell und das Audit-Log fügen 8–12 Wochen hinzu. Der Härtungsdurchlauf — Push-Zuverlässigkeit über Apple- und Google-Netze, QA der Rollenberechtigungen, Unveränderlichkeit des Audit-Logs, Bereitschaftsbewertung für Dritte — wird häufig unterschätzt und sollte mit 4–6 Wochen dedizierter Arbeit eingeplant werden.
Verwandte Fallstudien
WireGuard-Consumer-VPN für iOS & Android mit einer No-Logs-Steuerungsebene und auditfähiger Aufstellung in den USA & der EU.
Fallstudie ansehen → Social · Consumer TechNative iOS- + Android-Social-Plattform mit Geo-Radar-Entdeckung, Echtzeit-Chat und einer virtuellen Münzwirtschaft in den USA & der EU.
Fallstudie ansehen → FinTech · e-SignatureAuditfähiger mobiler Workflow für elektronische Signaturen mit streng rollenbeschränktem Zugriff und einem manipulationssicheren Audit-Log.
Fallstudie ansehen →