Phoenix Contact Lagerkräne im Hafen manipulationsfrei steuern

Autor / Redakteur: Ingo Hilgenkamp / Dipl.-Ing. (FH) Reinhold Schäfer

Das Be- und Entladen von Containern erfordert einen erheblichen logistischen Aufwand. Im Hafen von Rotterdam sorgen eigene Sicherheitsanwendungen dafür, dass die Lagerkräne genau die Befehle ausführen, die ihnen von den dazu befugten Mitarbeitern über das Datennetz weitergeleitet werden.

Anbieter zum Thema

Automatisierte Fahrzeuge befahren die gesamten Kaianlagen und die Containerlager.
Automatisierte Fahrzeuge befahren die gesamten Kaianlagen und die Containerlager.
(Bild: Phoenix Contact)

Was sich bei dem Unternehmen Europe Container Terminals bv (ECT) abspielt, lassen folgende Zahlen erahnen: 265 ha Betriebsgelände, 3,6 km Wasserkante, 2200 Mitarbeiter, 36 Container-Brücken, 265 fahrerlose Container-Fahrzeuge, 127 Lagerkräne und mehr als 7 Mio. t Warenumschlag pro Jahr. Das im Hafen von Rotterdam ansässige Unternehmen konzentriert sich auf das schnelle und zuverlässige Be- und Entladen von Containerschiffen – und das rund um die Uhr während des gesamten Jahres. Dabei kann selbst die neuste Schiffsgeneration mit einer Kapazität von 8000 bis 12.000 TEU (ttwenty foot equivalent unit) aufgrund der guten Erreichbarkeit von der Nordsee und der hochmodernen technischen Ausstattung problemlos bedient werden.

Kommunikation zwischen Server und Kran muss abgesichert werden

Die ausgeklügelte Logistik verlangt darüber hinaus ein verlässliches Kommunikationsnetz, um alle Arbeitsprozesse automatisiert durchführen zu können. Redundante Rechenzentren dirigieren die Kräne und Automated Guided Vehicles (AGV – automatische fahrerlose Transportfahrzeuge), die die tonnenschweren Container zwischen den riesigen Containerbrücken am Kai und den Lagerkränen befördern. Die Rechenzentren steuern außerdem die Ein- und Auslagerung der Container auf den Containerhalden sowie die Fahrtrouten der AGV. Alle Logistikdaten sind zentral auf redundanten Servern abgelegt, die auch die Aufträge an die Kräne und Transportfahrzeuge vergeben. Indem sich sämtliche Disponenten und sonstige Anwender am Server authentifizieren, wird ein hohes Maß an Zugriffssicherheit erreicht. Der Server verwaltet dazu die Berechtigung der einzelnen User.

Die vom jeweiligen Anwender initiierten Aktionen werden vom Server über das flächendeckende ECT-Netz an die Kräne weitergeleitet. Dabei ist die Datenübertragung zwischen Server und Kran besonders kritisch und schutzbedürftig. Denn eine Fehlfunktion des Krans könnte erhebliche Folgen für die Unversehrtheit von Mitarbeitern und Ware haben. Das autarke Steuerungssystem des Krans muss ebenfalls vor jeder Art von Übergriff geschützt werden, der vom menschlichen Irrtum bis zur Denial-of-Service-Attacke reicht. Allerdings darf der Schutzmechanismus nicht verhindern, dass die ECT-Mitarbeiter bei einer Fehlfunktion des Lichtwellenleiter-Kabels (LWL), das auf großen Trommeln auf- und abgewickelt wird, auf eine zu diesem Zweck eingerichtete Funkverbindung umschalten können.

Firewall-Regelwerk ermöglicht Kontrolle des Datenverkehrs

Zur Absicherung der Kommunikation mit den Kränen nutzt ECT Security Appliances von Phoenix Contact, weil die Geräte der Produktlinie FL Mguard alle Anforderungen in puncto Sicherheit, Bedienbarkeit und Einsatztauglichkeit erfüllen. Ferner werden Ethernet-Switches und mechanische Security-Elemente des Blomberger Unternehmens verwendet. Die Komponenten, die vorverdrahtet und konfiguriert auf einer Hutschiene montiert sind, führen verschiedene Funktionen aus.

So fungiert der Switch als Medienkonverter und wandelt die Signale von Lichtwellenleiter auf Ethernet um. Zudem ermöglicht das Gerät den Anschluss des Funksystems, das im Fall eines Defekts der LWL die Kommunikation zwischen Server und Kran übernimmt. Switch und Security Appliance FL Mguard sind über eine Leitung verbunden, die mit einem besonderen Schloss am Stecker abgesichert ist. Dadurch lässt sich der Stecker nur durch Einsatz des passenden Schlüssels anbringen und entfernen.

Firewall muss nur minimal an jeden Kran angepasst werden

Der FL Mguard filtert den Datenverkehr und lässt lediglich Kommunikation zwischen Server und Kran passieren. Alle anderen Pakete werden verworfen. Die Datenübertragung wird über ein Firewall-Regelwerk kontrolliert, das universell nutzbar ist und nur minimal individualisiert, also an den jeweiligen Kran angepasst werden muss.

Eine klare Trennung zwischen Ein- und Ausgangsregeln sowie die übersichtliche Darstellung in Tabellenform vereinfachen die Konfiguration sowie die Anpassung des Regelwerks an Änderungen in der Netzwerkstruktur. Dabei lässt das Regelwerk den Zugriff von beiden redundanten Servern auf die Steuerung der Kräne zu. Pings (der Wert eines Pings in Millisekunden gibt an, wie lange ein Datenpaket zu einem Computer hin und wieder zurück braucht) von Netzwerkmanagement-Tools sowie zu Diagnosezwecken sind auch in geringer Anzahl erlaubt.

Das Firewall-Regelwerk stellt zum Beispiel sicher, dass nicht versehentlich der falsche Kran angesprochen wird oder die Steuerung ihre eigentliche Aufgabe aufgrund von Überlast nicht wahrnehmen kann. Zugriffe und Manipulationen durch unberechtigte Personen – beispielsweise externe Dienstleister – werden unterbunden. Gleichzeitig lässt sich über das Log-File nachvollziehen, ob und von welcher IP-Adresse eine Kommunikation mit dem Kran versucht wurde.

Absicherung der Konfiguration erfolgt mit Security-Zertifikaten

Über die sogenannte Benutzer-Firewall kann der Instandhalter des Krans im Wartungsfall einen vorbereiteten Firewall-Regelsatz aktivieren, um zum Beispiel Updates zu laden oder die Verfügbarkeit von Ersatzteilen zu überprüfen. Die Konfiguration des FL Mguard ist ebenso umfassend abgesichert, indem Security-Zertifikate auf dem Gerät installiert sind. Will er die Security Appliance konfigurieren oder die bestehende Konfiguration ändern, muss der Anwender auch über das entsprechende Zertifikat verfügen, das fälschungssicher und durch ein Passwort geschützt ist.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die neue Generation der von ECT verwendeten Security-Router-Familie ist jetzt im Metallgehäuse erhältlich. Die Geräte zeichnen sich ferner durch einen erweiterten Einsatztemperaturbereich sowie den optionalen Konfigurationsspeicher aus. Außerdem verfügen sie über einen Slot für beliebige SD-Karten, sodass ein einfacher Gerätetausch sowie mehrere Ein-/Ausgänge möglich sind. Die zugriffssichere Datenübertragung ist eine der wesentlichen Anforderungen von Unternehmen wie ECT, denn ohne eine hochverfügbare Kommunikation kann kein Geschäft betrieben werden. Daher fiel den Verantwortlichen des Unternehmens die Entscheidung leicht, die gehärteten Security Appliances FL Mguard flächendeckend einzusetzen.

* Ingo Hilgenkamp ist Mitarbeiter im Product Marketing Network Technology IO and Networks bei der Phoenix Contact Electronics GmbH in 31812 Bad Pyrmont

(ID:34898600)