Vertrauenswürdigkeit und Resilienz

Flughafen-IT sicher auslegen

27. September 2022, 10:15 Uhr | Von Emanuele De Marinis.
Flughafen-IT
© virtabo | AdobeStock

Es sind vor allem die 24/7-Verfügbarkeit, lokaler Support sowie schnelle Wartung, die Flughafenbetreiber zum Einsatz von IT aus Deutschland bewegen. Bei Neuinvestitionen gewinnen Vertrauenswürdigkeit sowie Resilienz an Bedeutung. Das verschafft in Deutschland entwickelter Hardware weitere Vorteile.

Flughäfen sind nicht nur große Verkehrsknoten, sondern ebenso Ballungszentren für IT-Systeme. Mehrere zehntausend Systeme kommen an internationalen Drehkreuzen für Passagier- und Frachtströme zum Einsatz. Sie steuern zahlreiche Applikationen, die jeder Passagier kennt – von Anzeigetafeln für Ankunft und Abflug, die überall auf den Flughäfen verteilt sind, über klassische Check-in-Terminals sowie Self-Service-Terminals für Bordkarten und Gepäckaufgabe bis hin zu robusten Client-Systemen mit Bordkartenlesern am Gate.

In weiteren Infrastrukturbereichen arbeiten die Systeme zudem in der Videoüberwachung, in der Kommunikationstechnik, in Gepäckförderanlagen oder in Parkleitsystemen. Den Gesamtmarkt der smarten Informations- (IT) und Operation- (OT) Technik für Flughäfen schätzt visiogain auf weltweit über 3,5 Mrd. US-Dollar. Hierbei macht der Markt der Passagier-, Gepäck- und Frachtumschlagskontrollsysteme einen Anteil von rund 25 % aus, Autoparksysteme 19,5 % und Digital Signage rund 15 %, so Mordor Intelligence.

Hohe Anforderungen an Verfügbarkeit

Weil all diese Systeme für den reibungslosen Betrieb des Flughafens über Jahre hinweg rund um die Uhr einsatzbereit sein müssen, stellen die Flughafenbetreiber hohe Anforderungen an ihre Verfügbarkeit. Schließlich kann der Ausfall eines einzigen Systems einen ganzen Flughafen stilllegen. So konnten am Pariser Flughafen Orly vor einigen Jahren tausende Passagiere nicht pünktlich starten. Schuld daran war eine Panne auf einem Computer, der für das Übertragen der Wetterdaten an die Piloten zuständig war, berichtete der Stern.

Aber auch weniger kritische Ausfälle sind für Flughafenpersonal und -gäste belastend: In Stoßzeiten verzögern Stillstände von Gepäckförderanlagen, Anzeigetafeln oder Clients am Gate immer wieder Abläufe und erhöhen hiermit die Kosten. Aus diesem Grund muss auf die Hardware absolut Verlass sein. Flughäfen schreiben deshalb Systemauslegungen vor, die mindestens IP30-, idealerweise sogar IP50-Schutz aufweisen und somit staubdicht sind. In Einsatzbereichen mit starken Temperaturschwankungen ist ein Schutz vor Kondenswasser erforderlich.

Robuste Auslegung für raues Umfeld

Bei Stromausfall müssen die Systeme zudem hohe Spannungsschwankungen und -spitzen verkraften, die aufgrund anfahrender Notstromaggregate entstehen können. Weil auf Flughäfen eine starke Funkwellenbelastung herrscht, ist ferner ein hoher Schutz vor elektromagnetischen Interferenzen (EMI) erforderlich. Systeme dürfen den Funkverkehr darüber hinaus nicht stören, weshalb eine hohe elektromagnetische Verträglichkeit (EMV) zwingend erforderlich ist. HDMI-Anschlüsse sind beispielsweise in beide Richtungen störend – deshalb wird DisplayPort bevorzugt.

Große IT-Broadliner, die Systeme für den Office-Einsatz konzipieren, bieten solche Systeme in aller Regel nicht an. Für sie sind Flughäfen ein Nischenmarkt. Aus dem Grund präferieren Flughafenbetreiber Hersteller, die auf robust ausgelegte Systeme fokussiert sind und ihnen einen Rundumservice bieten, der idealerweise genauso rund um die Uhr verfügbar ist wie deren Systeme. Aufgrund der zunehmenden Bedrohungslage durch Cyberattacken auf kritische Infrastrukturen (KRITIS), zu denen auch Flughäfen gehören, kommen in jüngster Zeit weitere Anforderungen hinzu.

Anbieter zum Thema

zu Matchmaker+
»Calmo-S«- und  »Calmo-XS«-Systeme
Bild 1. Auf dem Stand der Technik für Stand-alone-Systeme: IP50-geschützte »Calmo-S«- und »Calmo-XS«-Systeme mit Kontron-Motherboards auf Basis der AMD-Ryzen-Embedded-Prozessoren.
© Extra Computer

Große Gefahr von Cyberattacken

Die Bundesregierung hat Betreiber von kritischen Infrastrukturen zusätzliche Pflichten auferlegt, um die Versorgungssicherheit der Gesellschaft und Wirtschaft zu gewährleisten. So müssen Betreiber ihre kritischen Infra­strukturen melden und verantwortliche Ansprechpartner benennen, die jederzeit erreichbar sein müssen. Sie sollen bei auftauchenden Bedrohungen unmittelbar reagieren können, um Eskalationen einzudämmen. Aus dem Grund sind sie verpflichtet, eigene Vorfälle sofort zu melden.
Zudem müssen Flughafenbetreiber Maßnahmen nach dem Stand der Technik ergreifen, um ihre IT, OT, Infrastruktur und Betriebsorganisation zu schützen. Hierfür sind Applikationen zu installieren, die einen Angriff erkennen. Hierzu zählen derzeit die Passagier- und Frachtabfertigung, der Infrastrukturbetrieb, das Flughafenleitungsorgan, die Flugsicherung und Luftverkehrskontrolle sowie die Verkehrszentralen der Fluggesellschaften. Entsprechende Gesetzte sind unter »openkritis« zu finden.
Als wichtigste erste Maßnahme greifen Flughafenbetreiber hierzu auf Sicherheitstechnik für Netzwerkinfrastrukturen zurück und sichern über Gateways nach dem Stand der Technik die jeweiligen Netzwerksegmente ab. Aber was nutzt der Schutz eines Netzwerksegments, wenn Angreifer von innen heraus Sabotage betreiben können?

Installationen auf dem Stand der Technik

Aus Sicht des Schutzes kritischer In­fra­strukturen müssen deshalb alle Systeme eines Flughafens auf Sicherheit nach dem Stand der Technik überprüft und – sofern erforderlich – auf ihn gehoben werden. Das System in Orly war beispielswiese ein 23 Jahre alter Computer mit Windows 3.1. Zudem bestätigte der Systemadministrator des Flughafens damals, dass die Systeme seines Zuständigkeitsbereichs im Schnitt zehn bis 20 Jahre alt seien. Es ist davon auszugehen, dass das nicht die Ausnahme, sondern die Regel auf vielen Flughäfen ist. Infolgedessen stehen Flughafenbetreiber in Deutschland schon allein aufgrund der gesetzlichen Vorschriften vor der Herausforderung, ihre veralteten IT- und OT-Systeme rundum erneuern zu müssen.

Stand der Technik sind heute beispielsweise deutlich sicherere Chipsätze als noch vor fünf bis zehn Jahren, als Plattform-Security-Prozessoren noch nicht zum Standard der Systemauslegungen gehörten. Secure-Boot-Implementierungen sollten beispielsweise vor OS-Kompromittierungen und der Installation manipulierter Bootloader schützen und so schlussendlich imagestabile Hardware gewährleisten. Zum Standard gehören zudem Trusted-Platform-Module, die Systeme eindeutig identifizierbar machen und Schutz gegen softwareseitige Manipulation durch unbefugte Dritte bieten. Zu empfehlen ist zudem der Passwortschutz des BIOS. Außerdem ist der Zugriff auf Speichermedien zu schützen. Nicht nur wegen der allgemeinen Sicherheit, sondern ebenfalls aufgrund der DSGVO (Datenschutz-Grundverordnung).

»D3713-V/R«
Bild 2. Die neueste Systemkonfiguration, die jüngst in Serienproduktion gegangen ist, besticht durch Kontrons Mini-ITX Board (170 mm × 170 mm) »D3713-V/R«.
© Kontron

Weniger ist oft mehr

Damit IT- und OT-Systeme sich nicht kompromittieren lassen, ist eine hohe mechanische Sicherheit vonnöten, denn ist ein Schad-Code einmal in ein System eingeschleust, kann er die gesamte IT-Infrastruktur des betroffenen Netzwerksegments stören. Aus diesem Grund sind am Gehäuse zugängige Schnittstellen auf das Nötige zu reduzieren und vor unsachgemäßem Gebrauch zu schützen.

Weiterhin ist es zwingend erforderlich, neuste Sicherheitsupdates kontinuierlich bereitzustellen. So hat AMD beispielsweise jüngst einen neuen Chipsatztreiber für AMD Ryzen veröffentlicht. Als Highlight nannte das Treiberteam gegenüber PC Games Hardware das Unterbinden eines Downgrades beim PSP-Treiber (Plattform Security Processor), was ein sicherheitsrelevantes Thema ist. Solche Updates sollten Systemanbieter ebenfalls ihren Endanwendern proaktiv mitteilen und Upgrade-Prozeduren nachhaltig unterstützen.

Cybersichere IT- und OT-Hardware

Ein Anbieter von robuster und nach Stand der Technik cybersicherer IT- und OT-Hardware für Flughäfen ist die Firma Extra Computer. Deren Systeme sind bereits seit vielen Jahren beim Zentraleinkauf führender Flughäfen Deutschlands gelistet und in substanziellen Stückzahlen in Betrieb genommen. Das Unternehmen entwickelt und produziert sie bereits seit 1989 und ist einer der größten unabhängigen Hersteller für Server-, Storage- und Industrie-Systeme in Deutschland mit mehr als 350 Mitarbeitern.

Die Kunden sind überzeugt, dass sowohl die Systeme als auch die Services des Unternehmens dem Qualitätsanspruch »Made in Germany« gerecht werden. Sie werden in Deutschland entwickelt, produziert, assembliert und getestet. Zum Einsatz kommen zudem lediglich Motherboards, die ebenfalls aus deutschem Hause stammen – nämlich von Kontron. Das gewährleistet Flughafenbetreibern eine hohe Vertrauenswürdigkeit der beteiligten Hersteller und in Zeiten unsicherer Supply Chains kurze Lieferzeiten und niedrige Transportkosten sowie einen kompetenten technischen Support. Reparaturservices direkt aus Deutschland sind zudem selbstverständlich.

Systeme mit industriellen Motherboards

Systeme, die deutsche Flughafenbetreiber für langlebige und cybersichere IT-Hardware einsetzen, sind beispielsweise die der Marke Calmo, die nach DIN 9001 assembliert und geprüft sind und die es mit industriell gehärteten Mini-ITX Motherboards aus dem Hause Kontron bereits in vier Generationen und zahlreichen Performancevarianten gibt. Aufgrund der hohen Anforderungen, die im Flughafenumfeld an prozessorintegrierte Grafik gestellt werden, sind sie in der Regel mit Prozessortechnik von AMD bestückt.

In der Calmo-S-Ryzen-Auslegung überzeugen sie mit bis zu vier unabhängig ansteuerbaren DisplayPort-Anschlüssen und ihr IP50-geschütztes Gehäuse (Bild 1). Trotz der wegen des hohen Staubschutzes schlechten Belüftungsmöglichkeiten sind die Systeme für den 24/7-Betrieb konzipiert. Damit die Systeme nicht überhitzen, kommen robuste, industriell gehärtete Komponenten zum Einsatz, denen selbst starke Temperaturschwankungen nichts ausmachen und die mit Burn-in-Tests auf ihre lange Lebensdauer hin getestet wurden. Ihr energiesparendes Power-Management senkt zudem die Betriebskosten, da die Systeme im »Idle«-Modus kaum noch Leistung aufnehmen.

Weiterhin sind die Systeme bis zu sieben Jahre in identischer Konfiguration verfügbar, was die Systemadministration und -pflege erleichtert. Hunderte oder gar tausende Systeme lassen sich so mit demselben Service-Patch automatisiert aktualisieren. Weil der Hersteller zudem die volle Systemverantwortung für das in Deutschland entwickelte und gefertigte Gehäuse hat, sind mechanisch gegen Sabotage gesicherte Systemauslegungen jederzeit auf den Bedarf der Applikation hin adaptierbar.

Calmo-UNI-Ryzen
Bild 3. Auf dem Stand der Technik für Schaltschrank und eingebettete Systeme: IP 20-geschützte »Calmo-UNI-Ryzen«- und »Calmo-TINY«-Systeme mit Kontron Motherboards.
© Extra Computer

Bis zu vier unabhängige Monitore

Die neuste Systemkonfiguration, die jüngst in Serienproduktion gegangen ist, besticht durch Kontrons Mini-ITX Board (170 mm × 170 mm) »D3713-V/R« (Bild 2). Es ist mit AMDs Ryzen-Embedded-R1000/V1000-Prozessoren und integrierter Radeon-Vega-Grafik für Applikationen mit besonders hohen grafischen Anforderungen ausgestattet. Zudem sind bis zu vier DisplayPorts, ein Embedded DisplayPort sowie ein Dual-Channel LVDS (24 Bit) integriert. Es versorgt bis zu vier unabhängige Monitore mit 4K-Auflösung. Je nachdem, wie viel Performance erforderlich ist, stehen sechs Motherboard-Versionen mit verschiedenen AMD-Prozessoren bereit.

Neben den Calmo-S-Ryzen-Systemen bietet das Unternehmen kostengünstige Calmo-UNI-Ryzen-Systeme mit IP20-Schutz an, für die Kontron die »Smartcase«-Chassis-Auslegung stellt (Bild 3). Die Systeme sind ebenfalls für die Hutschienenmontage und den Schaltschrankeinbau konzipiert. So ist ein hoher Staubschutz der Systeme gewährleistet. Auch diese Systeme sind mit den Mini-ITX-Motherboards verfügbar, wie sie ebenfalls bei den Calmo-S-Systemen zum Einsatz kommen. Zudem sind in Kürze Systeme für platzbeschränkte Einbausituationen verfügbar. Sie sind mit einem Kontron-Motherboard im Mini-STX-Formfaktor (147 mm x 140 mm) bestückt. Kontron bringt sie als »Calmo TINY Ryzen« mit IP20- und als »Calmo XS« mit IP50-Schutz auf den Markt.

Homogener Warenkorb für heterogene Aufgaben

Alle Systeme lassen sich mit unterschiedlichen Varianten einer Prozessorgeneration beschaffen. Somit lassen sich identische Board-Support-Packages über alle Systemauslegungen hinweg nutzen. Flughafenbetreiber erhalten hiermit einen homogenen Warenkorb für unterschiedliche Aufgaben. Es stehen insgesamt hunderte Variationen bereit – gepaart mit einem Systemintegrationsservice, über den die Anforderungen von Flughafenbetreibern bereits in zahlreichen Projekten erfolgreich realisiert wurden.

Emanuele  De Marinis
Emauele De Marinis von Kontron.
© Kontron

Der Boardhersteller versieht seine Produktfamilien zudem über Prozessorsockel hinweg mit homogenen BIOS-Auslegungen und Standard-Programmierschnittstellen. So können OEMs, Systemintegratoren und Endanwender ihre Systeme über unterschiedliche Anwendungsfälle hinweg programmieren und parametrieren. Das macht auch die Wartung und Pflege für IT-Administratoren hochgradig automatisierbar. Schlussendlich geht es darum, dass sich IT-Personal nicht rund um die Uhr um ihre Systeme kümmern muss. Vielmehr sollten diese rund um die Uhr laufen.

Der Autor

Emanuele De Marinis ist staatlich geprüfter Wirtschaftsfachwirt und verantwortet im Product Center Boards bei Kontron das Direktkundengeschäft mit Motherboards. Er ist in seiner Tätigkeit als Senior Sales & Business Development Manager erster Ansprechpartner seines auf dem gesamten Globus verteilten Kundenkreises. Er wechselte im Jahr 2019 mit der Übernahme des Industrie-Motherboard-Geschäfts von Fujitsu zu Kontron und hat federführend dabei unterstützt, das Geschäft unter neuem Namen erfolgreich neu aufzustellen. Seine berufliche Karriere begann De Marinis im deutschen Hauptsitz eines taiwanischen Netzteilherstellers.


Das könnte Sie auch interessieren

Verwandte Artikel

Kontron AG