Schlüsselloses Zugangssystem für Windkraftanlagen bei ABO Wind

Profil

ABO Wind ist ein weltweit erfolgreicher Projektentwickler für erneuerbare Energien mit rund 550 Mitarbeitern. Seit 1996 hat das Unternehmen rund 700 Windenergie-, Solar- und Biogasanlagen mit 1.500 Megawatt Leistung ans Netz gebracht.

Aktuell arbeitet ABO Wind in 16 Ländern auf vier Kontinenten an der Entwicklung neuer Projekte mit einer Gesamtleistung von 6.500 Megawatt. Das übersteigt die Leistung der vier größten im Jahr 2019 noch am Netz befindlichen Kernkraftwerke Deutschlands. Zwei Drittel der in Entwicklung befindlichen Projekte nutzen Windkraft und ein Drittel Solarkraft.

Ausgangslage

Zur Vereinfachung der Verwaltung von Zugangsberechtigungen für Windkraftanlagen hat ABO Wind die Hardware für ein schlüsselloses Zugangssystem namens ABO Lock entwickelt. Über die Eingabe von individuellen Zahlencodes (PIN+TAN) an den Anlagen weisen Zugangsberechtigte ihre Autorisierung nach und erhalten dann mittels elektronischer Freigabe eines elektrisch kuppelbaren Schlosses Zugang zu der Anlage. Zudem werden je nach Qualifikation der Zugangsberechtigten in einem Schlüsselkasten im Inneren der Anlage Schlüssel zu speziellen Anlagenkomponenten (z.B. Befahranlage, Schaltschrank) freigeschaltet. Diese Qualifikation ist auch in den individuellen Zahlencodes verschlüsselt hinterlegt.

Der Anlagenverantwortliche (meist der Eigentümer der Anlage oder der Betriebsführer) erfüllt somit seine Sorgfaltspflichten und kann gewährleisten, dass nur Personal mit entsprechend nachgewiesener Qualifikation Zugang zu besonderen Gefahrenbereichen erhält.

Projektziel

Die Verwaltung und Pflege der notwendigen Daten sowie die Kommunikation mit den Schließsystemen und der Versand der Zahlenkombination (PIN + TAN) wurde von ABO Wind über eine provisorische Access-Anwendung gewährleistet.

Diese Access-Lösung sollte durch eine mehrschichtige webbasierte Software abgelöst werden. Diese wird zunächst bei ABO Wind in Betrieb genommen.

Des Weiteren soll die Software auch bei weiteren Kunden zum Einsatz kommen, wodurch sich spezielle Anforderungen wie Mandantenfähigkeit, Plattformunabhängigkeit und die Idee einer globalen (mandantenunabhängigen) Benutzerverwaltung für die Service-Firmen ergeben haben.

Realisierung durch axenton

Eine zentrale Voraussetzung für die Webanwendung war für axenton die Plattformunabhängigkeit. So sind potentielle Kunden von ABO Wind beim Betrieb des Systems nicht auf eine bestimmte Serverumgebung angewiesen. Ein Betrieb in der Cloud kommt ebenfalls in Frage.

Diese Anforderungen wurden durch den Einsatz von Open-Source-Komponenten und Java 8 erfüllt.

Die Verwendung von Java und darauf aufbauend Spring-Boot gewährleistet eine größtmögliche Plattformunabhängigkeit auf Backend-Seite. Auf Seiten des GUI wird dies durch die Verwendung von Angular/Bootstrap – und damit einhergehend den aktuellen Web-Standards HTML5/CSS3/JavaScript – erreicht.

Als Datenbanksystem kommt PostgreSQL für die Produktionsplattform zum Einsatz.

Für die Identitäts- und Zugriffsverwaltung, insbesondere im Hinblick auf die Vertrauensstellung zwischen den Komponenteninstanzen der Gesamtlösung (s.u.), wird auf Keycloak zurückgegriffen. Dies stellt über Oauth2 ein zentrales Single-Sign-On zur Verfügung.

Eingeschränkt wird die Plattformunabhängigkeit durch die Client-Bibliothek des Herstellers, die die Kommunikation mit den ABO Lock Boxen durchführt. Diese erfordert zwingend eine Windows-Umgebung. Wir haben dies weitgehend abstrahiert und rufen die Bibliothek per SSH auf.

Die einzelnen Komponenten können (technisch) sowohl On-Premise als auch in der Cloud ausgerollt/installiert und betrieben werden. Sicherheitsrelevante Themen sind dabei zu berücksichtigen.

Durch die Sicherheitsanforderungen des Kunden wurde die Anwendung in zwei Komponenten aufgeteilt. Die Anlagenverwaltung (AV), die die Steuerung der Anlagen bzw. ABO Lock Boxen übernimmt, und die Personalverwaltung (PV), in der Personal und Gruppen verwaltet werden. Während die PV in einer DMZ betrieben werden kann und öffentlich zugänglich ist, läuft die AV geschützt im internen Kundennetzwerk.

Um den Installationsaufwand der Gesamtlösung in den Griff zu bekommen, setzen wir dabei auf Docker. Die Container werden in unserer CI-Umgebung fertig konfektioniert und müssen nur noch beim Kunden ausgerollt werden. Docker-Compose übernimmt die Steuerung der insgesamt 8 Container.

Verbesserungen für den Kunden

Das Ziel des Systems war die Ablösung der optisch wenig ansprechenden Access-Lösung, die nur lokal verwendet werden konnte. Dies wurde voll umfassend erreicht. Zusätzlich flossen während der Realisierung weitere Ideen des Kunden ein, die nach Abwägung des Aufwandes ebenfalls realisiert werden konnten.

Auf die Personalverwaltung kann nun aus dem öffentlichen Netz zugegriffen werden und Dienstleister können z.B. selbst Termine für ihr Personal festlegen. Durch die Mandantenfähigkeit kann das System Zugriffberechtigungen individuell steuern, damit Dienstleister nur ihr eigenes Personal verwalten.

ABO Wind hat nun die Voraussetzungen, die Anwendung bei weiteren Marktteilnehmern zu vermarkten. Auch für eine globale PV, die dann mehrere lokale PV mit Daten versorgt, sind auf der Datenbank bereits Voraussetzungen geschaffen. Dies würde den Personalpflegeaufwand für die Dienstleister reduzieren.

Ausblick

Aktuell befindet sich eine Erweiterung des Systems in der Entwicklung. Sie soll die Öffnung einer Anlage direkt über eine mobile Webseite ermöglichen. Der Techniker bekommt dafür auf seinem mobilen Gerät eine Liste aller Anlagen in der Umgebung gezeigt – auch offline. Mit aktiver Internetverbindung  kann er die Anlage in seiner unmittelbaren Umgebung auf Knopfdruck öffnen lassen, ohne eine lange Zahlenkombination einzutippen.