Single point of failure: Dübendorf
Im vergangenen Juni war der Schweizer Luftraum wegen einer technischen Panne für 5 Stunden komplett gesperrt. Nun zeigen Recherchen der Republik: Die Probleme bei der Flugsicherungsfirma Skyguide sind gravierender als bisher bekannt.
Eine Recherche von Adrienne Fichter, Thomas Preusse (Text) und Alexander Glandien (Illustration), 08.11.2022
«Big Bang» wird der Vorfall intern genannt. Eine Premiere sei das Ereignis in der 100-jährigen Geschichte der Schweizer Flugsicherung gewesen. Oder «einfach nur peinlich». In der Nacht auf den 15. Juni 2022 leitete das Schweizer Flugsicherungsunternehmen Skyguide wegen einer technischen Störung eine ebenso ungewöhnliche wie einschneidende Massnahme ein: Clear the Sky. Keine Flüge mehr im Schweizer Luftraum. 5 Stunden lang.
«Safety first» lautet die oberste Maxime im Fluggeschäft. Da die Fluglotsen das Sicherheitsprotokoll einhielten, konnte Schlimmeres verhindert werden. Eine Gefahr für Passagiere habe zu keiner Zeit bestanden, betont Skyguide.
Doch was ist eigentlich genau passiert? Derzeit beschäftigen sich gleich zwei Aufsichtsbehörden – das Bundesamt für Zivilluftfahrt (Bazl) und das Departement für Verkehr, Umwelt, Energie und Kommunikation (Uvek) – mit der gravierenden technischen Panne. Und damit auch mit den IT-Systemen von Skyguide. Die Resultate liegen voraussichtlich im Dezember vor.
Dass sich die Untersuchungen hinziehen, deutet darauf hin, dass die Störung gröbere Probleme bei Skyguide offenlegte. Und tatsächlich: Recherchen der Republik zeigen, dass die Schweizer Flugsicherung bei der Informationstechnik nicht einmal die Minimalanforderungen des Bundes für kritische Infrastruktur erfüllt.
Ausserdem ist der Vorfall anders abgelaufen, als bisher medial dargestellt wurde. Diesen Schluss legen Gespräche mit Mitarbeitern des technischen Personals, Einblicke in interne Korrespondenz bei Skyguide sowie der Zugang zu Prüfberichten von Bundesbehörden via Öffentlichkeitsgesetz nahe.
Die aufgedeckten technischen und politischen Missstände in aller Kürze:
Was wirklich geschah: Ein Netzwerkcomputer war defekt und leitete den Datenverkehr nicht weiter. Der Netzwerkcomputer musste, anders als bisher dargestellt, nicht ersetzt, sondern bloss neu gestartet werden. Ein Software-Update des Herstellers wäre bereits vorgelegen, war aber noch nicht aufgespielt worden. Warnungen des Systems waren zwei Tage zuvor als Fehlalarm taxiert worden. Die Panne passierte nicht am Genfer Standort, wie Skyguide in den Medien sagte, sondern in Dübendorf.
Fehlendes Wartungspersonal: Bis die Systeme nach dem Ausfall neu gestartet und das Problem behoben wurde, verging viel Zeit. Kein Zufall: Für Wartungsarbeiten fehlt es bei Skyguide an befugtem Personal. Allgemein wurde der Bereich Wartung in den letzten Jahren vernachlässigt.
Fehlende Datenflussüberwachung: Bis der Grund für die Panne identifiziert wurde, verstrichen mehrere Tage. Die Aufsichtsbehörde kritisierte bereits Monate vor dem Totalausfall, dass es bei den Monitoringtools unnötige Doppelspurigkeiten gebe und ein «Gesamtbild aus allen verfügbaren Daten» fehle.
Fehlende Georedundanz: Mit dem Projekt Virtual Centre will Skyguide die IT-Systeme modernisieren. Doch alle Server, die dafür nötig sind, stehen neu am gleichen Standort: in Dübendorf. Das heisst: Tritt dort ein Problem auf, geht im gesamten Schweizer Luftraum nichts mehr.
Lücken in der Regulierung: Das Bundesamt für Zivilluftfahrt macht keine Vorgaben, wie viele Datenzentren betrieben werden müssen. Dies sei ein wirtschaftlicher Entscheid von Skyguide, so das Bundesamt. «Dass bei der Schweizer Flugsicherung wirtschaftliche Interessen stärker gewichtet werden als minimale Sicherheitsstandards, ist erschreckend», sagt dazu der grüne Nationalrat und Digitalpolitiker Balthasar Glättli.
1. Was wirklich geschah
15. Juni 2022, nachts um 3.07 Uhr: Am Schweizer Himmel ist um diese Uhrzeit nicht viel los. Gerade mal 5 Flugzeuge überfliegen die Schweiz. Die Fluglotsen im Area Control Center in Dübendorf überwachen mithilfe von Radardaten, Flugplänen und Konfliktwarnsystemen den Flugverkehr und lenken Flieger via Funk und direkte Datenübermittlung sicher aneinander vorbei.
Dann passiert es: Plötzlich können die Flugplandaten der Flieger von den Fluglotsen nicht mehr abgerufen werden. Die Warnsysteme, die Konflikte zwischen Flugzeugen anzeigen, fallen aus. Der Pikettmitarbeiter der Technik wird informiert.
Weil der Fernzugriff auf die Systeme nicht funktioniert, fährt der alarmierte Pikettmitarbeiter nach Dübendorf vor Ort. Als sich um 3.50 Uhr immer noch keine Lösung für das Problem abzeichnet, müssen die Fluglotsen den Befehl geben, den Himmel «leerzuräumen». Sie lösen den Notfallplan Clear the Sky aus. Geplante Landungen von Jets auf dem Weg in die Schweiz müssen ins Ausland verschoben, der Schweizer Luftraum komplett umflogen werden, und Linienflüge dürfen nicht mehr starten.
Der Ablauf folgt der obersten Maxime der Flugsicherung: «Safety first». «Ein Clear the Sky ist ein Notfallprozedere, das regelmässig im Simulator geübt wird», sagt Benjamin Fichtner, Sprecher des Fluglotsenverbands Helvetica.
Die Suche nach dem Grund für die Panne geht in jener Nacht bis in die frühen Morgenstunden weiter. Techniker vermuten zuerst ein Problem mit Switch 1 und Switch 2. Switches sind wichtige Knotenpunkte eines Computernetzwerkes, die wie eine Weiche den Datenverkehr umlenken können. An diese beiden Switches sind wiederum die Computer der Fluglotsen angeschlossen. Jene Geräte also, die seit 3.07 Uhr keine Flugdaten mehr anzeigen.
Der gestaffelte Neustart der Geräte um 5.20 und 5.42 Uhr zeigt keine Wirkung. Die Bildschirme der Lotsen bleiben unvollständig.
Die Techniker untersuchen weitere Netzwerkschalter: Switch Nummer 9 und 10. Mittels einer Netzwerkanalyse entdecken sie schliesslich Unregelmässigkeiten bei Nummer 9. Um 7 Uhr startet ein Mitarbeiter den entsprechenden Switch in Dübendorf neu. Und siehe da: Das Problem scheint gelöst. Die Flugdaten erscheinen wieder auf den Bildschirmen der Fluglotsen.
Eine Hardware-Komponente in Genf habe «ausgetauscht» werden müssen, teilte ein Sprecher von Skyguide später den Medien mit. Tatsächlich genügte ein Neustart einer Komponente in Dübendorf. Korrigiert wird das später nie.
Um 8.30 Uhr sind die Flugsicherungssysteme von Skyguide wieder einsatzfähig. Die Flugleiterinnen nehmen den Betrieb Schritt für Schritt wieder auf. Insgesamt mussten rund 100 Flüge annulliert oder umgeleitet werden. An den Flughäfen Zürich und Genf ging im Linienverkehr stundenlang gar nichts mehr. Tausende Passagiere waren vom Totalausfall betroffen. Selbst der Standort Basel-Mulhouse funktionierte nur eingeschränkt, obwohl dort die französische Flugsicherung den Verkehr regelt.
Bei Skyguide bemühte man sich alsbald um Schadensbegrenzung. Hätte die Störung länger gedauert, hätte die militärische Flugsicherung übernommen, behauptete Skyguide-CEO Alex Bristol noch gleichentags in einem Interview. Doch trifft das wirklich zu?
Die Suche nach der Ursache der «historischen Panne», wie Bristol den Ausfall in den Medien bezeichnete, beschäftigte nun die Skyguide-Verantwortlichen.
Eine erste vorläufige technische Analyse vom 22. Juni 2022, die der Republik vorliegt, brachte ein erstes pikantes Detail ans Licht: Der «kaputte» Netzwerkcomputer setzte bereits zwei Tage zuvor eine Warnung ab. Die damals anwesenden Technikerinnen stuften die Warnung als Fehlalarm ein. Auch die eingesetzten Überwachungswerkzeuge erkannten kein Problem.
In der internen Analyse wird der Ausfall auf eine defekte Routingtabelle zurückgeführt. Diese Tabelle steuert den Datenverkehr und ist dafür zuständig, Daten möglichst schnell an den richtigen Ort weiterzuleiten.
Ebenfalls im Bericht vermerkt ist ein weiteres pikantes Detail: Es existierte schon seit längerem ein Software-Update für jenen Netzwerkcomputer Nr. 9, das der Hersteller Extreme Networks zur Verfügung gestellt hatte. Das Update hätte auch die Routingtabelle verbessert – und die Panne vielleicht verhindert.
Doch die Flugsicherungstechniker hatten bis zu diesem Zeitpunkt das Software-Update bewusst noch nicht aufgespielt. Sie fürchteten, das Update würde neue, nicht vorhersehbare Probleme auslösen. Sie waren erst an den Vorbereitungen für die Aktualisierung. Das offenbart ein Dilemma im Alltag der Skyguide-IT: Die Flugsicherungsfirma will innovativ sein und muss ihre Systeme immer auf dem neusten Stand halten. Doch Flugsicherheit ist eine Welt mit strengsten Vorgaben. Softwareaktualisierungen kollidieren mit dem Anspruch, das System jederzeit zuverlässig ohne Unterbrüche zu betreiben.
Das Management bestätigt gegenüber der Republik, dass das Update derzeit aufgespielt wird: «Aktuell führen wir ein Firmware-Update durch, das bis Ende November abgeschlossen sein wird.»
Aber warum benötigte Skyguide in jener Nacht vom 15. Juni so lange, um die Systeme neu zu starten und die Probleme zu beheben? Die Antwort: Nur wenige Mitarbeiter sind überhaupt befugt, Wartungsarbeiten durchzuführen.
2. Fehlendes Wartungspersonal
Das Regelwerk in der Flugsicherung ist streng: Nur zertifiziertes Personal darf Systeme betreiben und Wartungsarbeiten durchführen. Bei Skyguide arbeiten nach Firmenangaben rund 150 zertifizierte Techniker. Die ATSEP-Zertifizierung, ein Akronym für «Air Traffic Safety Electronics Personnel», findet berufsbegleitend und zusätzlich zur technischen Grundausbildung statt.
Rund die Hälfte der Mitarbeiterinnen arbeiten laut einem Skyguide-Sprecher auch im Pikettdienst. Allerdings ist die Zertifizierung in fünf Bereiche aufgeteilt und einzelne Techniker sind nur zur Bearbeitung spezifischer Systeme befugt. Das heisst, es dürfen jeweils nur einige wenige Spezialistinnen an einem System arbeiten, die zudem auch noch auf zwei Standorte – Genf und Dübendorf – verteilt sind. Die Konsequenz davon in der Pannennacht: Weil kein befugtes Fachpersonal in Zürich Pikettdienst leistet, wird das Problem erst rund 4 Stunden später von einem Techniker mit regulären Arbeitszeiten gelöst.
Die Personalverbände bezeichnen in einem internen Brief vom 14. September, der an den Employee Manager von Skyguide adressiert ist und der Republik vorliegt, dieses «understaffing» als ein grosses Problem.
In den letzten Jahren wurde die Wartung allgemein stark heruntergefahren, bestätigen Skyguide-Mitarbeiter in Gesprächen mit der Republik. Das hängt mit anstehenden Pensionierungen von erfahrenen Technikerinnen und dem allgegenwärtigen Fachkräftemangel in der IT-Branche zusammen. Aber auch damit, dass den Technikern eine staatlich anerkannte Lizenzierung wie bei den Fluglotsen fehlt. Der Personalverband Satta fordert diese schon seit Jahren. «Eine Lizenzierung hätte zudem den Effekt, dass Skyguide europaweit leichter Personal rekrutieren könnte», so Satta-Präsident Roger Suter.
Das fehlende lizenzierte Personal und der Umstand, dass Pikettmitarbeiter inzwischen gar nicht mehr vor Ort sein müssen, sondern eine Stunde von Dübendorf entfernt sein dürfen und per Fernzugriff arbeiten können, erklärt wohl, warum die Flugsperre über der Schweiz ganze 5 Stunden dauerte.
Dass dann in diesem spezifischen Fall der Fernzugriff nicht wie vorgesehen funktionierte, tat sein Übriges. Doch weshalb wurden erste Anzeichen für Probleme (wie der Alarm bei Netzwerkcomputer Nr. 9 am 13. Juni – also zwei Tage vor dem Ausfall) falsch interpretiert? Die Antwort: weil bei Skyguide bisher eine vollständige Datenflussüberwachung der IT-Systeme fehlte.
3. Fehlende Datenflussüberwachung
Skyguide beschloss vor 10 Jahren, die Digitalisierung der Flugsicherungssysteme voranzutreiben. Der technische Direktor Klaus Meier behauptete 2018 in einem «Le Temps»-Artikel, dass damit die Arbeit der Fluglotsen und Technikerinnen einfacher werden würde. Denn mit der Einführung neuer Technologien liessen sich gleichzeitig auch viele Aufgaben automatisieren.
Kritische Stimmen bemängeln allerdings schon länger, dass die Skyguide-Leitung zu technologiegläubig sei. In einer Präsentation des Berufsverbands Aerocontrol Switzerland vom 7. Februar 2019 wird diese Vereinfachungsthese denn auch angezweifelt. «Ignoring reality» lautet der Kommentar.
Die Digitalisierung und Zusammenführung verschiedener Systeme wird von den meisten Mitarbeiterinnen grundsätzlich befürwortet. Doch damit erhöht sich auch die Komplexität, und die Fehler- und Störungsanfälligkeit steigt. «Vor 20 Jahren war alles isolierter, ein Ausfall eines technischen Systems hatte keine direkten Folgen für den Restbetrieb», so Satta-Präsident Suter.
Der Ausfall einer Komponente wie des Switchs Nummer 9 hat also heute viel grössere Auswirkungen als früher. Die Ereignisse am 15. Juni waren bloss ein Symptom. Nach dem Totalausfall äussert das Personal seine Bedenken noch lauter als zuvor: «Die Zahl der gemeldeten technischen Probleme ist sehr besorgniserregend», halten die Berufs- und Personalverbände in einem internen Schreiben an das Management am 14. September fest.
Gleichentags schicken die Verbände auch einen Brief an das Departement für Verkehr, Energie und Kommunikation (Uvek) und wählen deutliche Worte: «Schon seit längerem beobachten wir Signale, welche in technischer und operationeller Hinsicht beunruhigende Schwächen im System aufzeigen.» Beide Briefe wurden von Vertretern der Berufsverbände der Fluglotsen und Technikerinnen Helvetica und Satta sowie den Gewerkschaften Syndicom und Si-TrA unterzeichnet. Ausdrücklich halten sie gegenüber dem Uvek fest: «Skyguide wurde von uns schon mehrmals darauf hingewiesen.»
Suter bestätigt die Kritik, präzisiert jedoch: «Wir haben eine ‹just culture›, das heisst, eine Kultur des Meldens aller Vorfälle. Auch wenn es sich um scheinbar unbedeutende Vorfälle handelt, sollen diese gemeldet werden. Dadurch werden natürlich auch mehr Vorfälle dokumentiert als früher.»
Die Verbände hinterfragen in ihrem Brief auch die von Skyguide aufgestellte Behauptung, dass das Militär bei einem noch längeren Ausfall übernommen hätte. «Die Frage ist: Wie hätte eine solche Hilfe konkret ausgesehen?»
Selbst in der «Gossip and Go»-Rubrik des internen Magazins «Helvetica Broadcast» von Skyguide wird inzwischen über die Pannen und Probleme hergezogen. Die Autorin Heidy (wer sich hinter diesem Pseudonym verbirgt, ist im Unternehmen ein langjähriges Geheimnis) schrieb in der August-Ausgabe, dass sie seit dem Vorfall vom 15. Juni Albträume habe:
Besonders besorgt bin ich über all die Warnungen, die wir seit 2018 von unseren IT-Mitarbeitern erhalten haben und die so ziemlich alle Punkte aufgreifen, die die Richter mit ihren schrecklichen Hüten ansprechen.
Im Oktober 2018 kam es schon einmal zu einer IT-Panne: Die Bildschirme der Lotsen froren damals an zwei aufeinanderfolgenden Tagen kurz ein. Mit dem Ausdruck «Richter mit ihren schrecklichen Hüten» spielt die Autorin indirekt auf die Arbeit der Eidgenössischen Finanzkontrolle (EFK) an, die in den letzten Jahren kritische Berichte zur IT-Infrastruktur von Skyguide vorgelegt hat.
Der brisanteste Report stammt vom Februar 2022, also vier Monate vor dem Totalausfall. Die Republik hat den bisher unveröffentlichten Bericht der Aufsichtsbehörde dank dem Öffentlichkeitsgesetz ungeschwärzt erhalten. Er bestätigt viele Kritikpunkte des Personals. So hält die EFK zum Beispiel fest, dass in der «historisch gewachsenen Tool-Landschaft» zu viele verschiedene Monitoringtools verwendet würden. Heisst: Die Überwachung der IT-Systeme war ein Dickicht, das im Notfall kein vollständiges Bild ergeben hat.
Skyguide hält auf Anfrage fest, dass das «bisher existierende Monitoring genügte». Dennoch reagierte die Firma auf den Ausfall: «Die Verkettung der Fehler führte im Juni nun zur Erkenntnis, das Monitoring über den Datenfluss zu erhöhen.» Eine neue regelmässige Überwachung des Datenflusses wurde noch am selben Tag eingeführt.
Allerdings ortet die Aufsichtsbehörde das gravierendste Sicherheitsrisiko woanders: in der Serverinfrastruktur von Skyguide.
4. Fehlende Georedundanz
Eine öffentliche Aussage von Skyguide nach dem Vorfall vom 15. Juni hat einen Teil der Mitarbeiter besonders verärgert. Wäre das Prestigeprojekt Virtual Centre schon in Betrieb gewesen, spekulierte ein Unternehmenssprecher, hätte sich das Ausmass des Ausfalls limitieren lassen.
Doch die Recherchen der Republik legen nahe, dass das Gegenteil stimmt.
Zunächst: Was genau ist das Virtual Centre?
Historisch bedingt ist die Flugraumüberwachung in der Schweiz zweigeteilt: Genf koordiniert die Westschweiz, Zürich die Restschweiz (der Flughafen Basel ist unter der Kontrolle von Frankreich). Eine Genfer Fluglotsin konnte bis anhin zum Beispiel keine Flüge über der Ostschweiz überwachen.
Mit dem Projekt Virtual Centre, wofür 266 Millionen Franken budgetiert worden sind, soll das künftig möglich werden. Die beiden separaten Flugräume werden zu einem gemeinsamen virtuellen Raum zusammengeführt. Es ist die technologische Antwort von Skyguide auf Kostenvorgaben der Europäischen Union, denn damit soll auch Personal eingespart werden.
Für die EU mit 68 Flugsicherungszentren ist das Schweizer Vorhaben ein Vorzeigeprojekt. Brüssel versucht seit Jahrzehnten, mit der Initiative «Single European Sky» den Luftraum zu vereinheitlichen – erfolglos. Alle nationalen Flugsicherungen pochen auf Souveränität und Autonomie.
Ein System, das funktioniert. Doch aus Sicht der EU ist es zu teuer und zu ineffizient. Die Lobby der Airlines, die in Brüssel sehr stark vertreten ist, macht grossen Druck, um die Gebühren der Flugsicherung niedrig zu halten.
Ich will es genauer wissen: Wie wird Skyguide finanziert?
In normalen Zeiten (also bei einem Verkehrsaufkommen ausserhalb einer Pandemie) überwacht Skyguide rund eine Million Flüge pro Jahr. Skyguide ist ein privates Unternehmen mit Bundesauftrag und finanziert sich über die Gebühren der Airlines. Die Kosten der Flugsicherung sind in den Flugtickets eingepreist. Skyguide ergeht es dabei wie anderen bundesnahen Betrieben: Das Unternehmen muss einerseits effizient, kostensparend und privatwirtschaftlich agieren und andererseits einen Service public erbringen. Die Tarife, die Skyguide den Fluggesellschaften in Rechnung stellt, werden, gestützt auf das Luftverkehrsabkommen mit der Schweiz, grundsätzlich von der EU-Kommission bestimmt. Die Schweizer Firma Skyguide gilt als eine der teuersten in Europa, die Fluglotsen erhalten ein Durchschnittssalär von 180’000 Franken pro Jahr. Eine Flugstunde kostet 810 Euro. Dies begründet Skyguide mit der Komplexität des Luftraums, den hohen Lohnkosten und fehlenden Subventionen des Staats.
Um das Projekt Virtual Centre umzusetzen, baute Skyguide eine virtualisierte Serverinfrastruktur auf – im Fachjargon auch Cloud genannt. Das Management beauftragte dafür eine externe Firma, den globalen Tech-Konzern DXC. Die DXC-Server stehen in der Flugsicherungszentrale in Dübendorf. Sie werden aus der Ferne von einem Team in der bulgarischen Hauptstadt Sofia überwacht. Grund: Kostenreduktion und Spezialisierung.
Seit 2018 migriert Skyguide immer mehr Applikationen in diese neue Skyguide-Cloud.
Doch es gibt ein Problem bei der Umsetzung: Die Cloud hat nur einen einzigen Standort, nämlich den Serverraum in Dübendorf. Bei Tech-Giganten wie Amazon oder Microsoft ist es üblich, dass eine Cloud, selbst in einer Region, in mehreren verschiedenen Datenzentren betrieben wird. Damit soll die Verfügbarkeit der Daten und Applikationen im Fall von einzelnen Ausfällen gewährleistet werden.
Bei Skyguide laufen jedoch heute viele Applikationen nur noch in Dübendorf. Das heisst: Essenzielle Daten zur Flugraumüberwachung sind bei einem Ausfall in Dübendorf gesamtschweizerisch nicht mehr verfügbar. Der Fachjargon kennt dafür den Begriff fehlende Georedundanz.
Die Folgen davon werden am 15. Juni 2022 auf fatale Weise sichtbar: Die Daten konnten auch nicht mehr in die Romandie ausgeliefert werden.
Die Personalverbandsvertreter spotteten in ihrem internen Schreiben über diese IT-Architektur: Vielleicht sei der Kommunikationsfehler der Skyguide-Mediensprecher, der Ursprung der Panne liege in Genf, bewusst öffentlich nicht korrigiert worden. Denn die Öffentlichkeit würde dann erfahren, dass die gesamte virtualisierte Flugsicherung von einem einzigen Serverraum in Zürich abhängt. In der Gossip-Rubrik spricht die anonyme Autorin Heidy von einem «Albtraum». Die «Richter» würden fragen: «Warum haben Sie alle Daten und Server in einem einzigen Rechenzentrum untergebracht?»
Weniger lustig findet das die angesprochene Finanzkontrolle EFK, die in ihrem Bericht die IT-Infrastruktur als eines der grössten Risiken ausmacht. Der Serverraum in Dübendorf wird darin als «single point of failure» bezeichnet. Durch ein lokales Ereignis werde der gesamte Flugverkehr verunmöglicht. Denkbare Szenarien wären etwa ein Brand oder auch allfällige gezielte Sabotage.
Fast schon hellseherisch prognostizierte die Aufsichtsbehörde bereits im Februar 2022, dass es zu grösseren Ausfällen kommen könnte. Auf Geheiss der EFK muss Skyguide nun neue Pläne erarbeiten, wie auf einen physischen Ausfall der «Minicloud» in Dübendorf schnell reagiert werden könnte.
In ihrem internen Schreiben von September 2022 fordern die Personal- und Berufsverbände deswegen einen Stopp des Projektfahrplans. Es sollen keine Server und Systeme auf die virtuelle Plattform verlagert werden, solange der interne Untersuchungsbericht noch nicht publiziert und die daraus nötigen Lehren gezogen worden seien. Kommt Skyguide dieser Forderung nach? Die Firma bestätigt das indirekt: Der Fokus liege zurzeit «auf Systemrobustheit».
5. Lücken in der Regulierung
Das Thema Georedundanz legt ein eklatantes Regulierungsdefizit offen. Und auch eine Diskrepanz in der Haltung der Bundesbehörden: Für die Prüferin EFK ist sie unabdingbar, für die Aufsichtsbehörde Bazl lediglich optional. Es sei Sache der Eigentümer, wie sie die IT-Sicherheitsinfrastruktur umsetzen würden, schreibt Bazl-Sprecherin Christina Caron: «Der Entscheid, wie umfassend die Georedundanz ausgelegt sein muss, ist ein wirtschaftlicher.»
Welche Vorgaben gibt es dazu von der EU? Eurocontrol – die Europäische Organisation zur Sicherung der Luftfahrt – antwortet darauf vage: «Georedundanz und Backups sind entscheidende Elemente, wenn es darum geht, die Kontinuität des Flugverkehrs zu gewährleisten», schreibt die Medienabteilung. Die entsprechende Richtlinie für die Air Navigation Services hält fest, dass bei den eingesetzten Tools unter anderem die «Verfügbarkeit, Kontinuität, Genauigkeit und Integrität ihrer Services» sichergestellt werden müssten.
Genauere Angaben bezüglich einer geografischen Verteilung der Serverstandorte und Datenzentren fehlen jedoch. Georedundanz wird zwar von der EU als «entscheidend» betitelt, die konkrete Umsetzung obliegt jedoch den nationalen Flugsicherungsunternehmen. Eine «physische Redundanz kann nicht durch die Aufsichtsbehörde verfügt werden» sagt ein Sprecher des Uvek. Das Departement begründet dies damit, dass Skyguide in heiklen Fällen «verbindliche Prozesse» anwendet. Also zum Beispiel: Clear the Sky.
Eine gewagte Begründung: Selbstverständlich stimmt es, dass Fluglotsen für alle möglichen Vorfälle vorbereitet und trainiert worden sind. Doch wenn sich technische Fehler häufen, die wegen der zunehmenden digitalen Vernetzung eine Kettenreaktion auslösen und Ersatzsysteme ausfallen, müssten ständig Notfallszenarien und Sicherheitsprotokolle aktiviert werden. Das kostet auf die Dauer viel Geld. Skyguide selbst schliesst künftige ähnliche Ereignisse wie das vom 15. Juni, «die mehrere Anwendungen betreffen und auf verschiedene Ursachen zurückgeführt werden können», nicht aus, wie ein weiterer interner Untersuchungsbericht vom 13. Oktober zeigt.
Das Flugsicherungsunternehmen scheint von der EFK-Forderung nach mehr Datenzentren überrumpelt worden zu sein: «Dies ist eine neue nationale Empfehlung, deren Umsetzung und Finanzierung wir derzeit prüfen.» Solange die EU Georedundanz nicht explizit fordert, bleibt für Skyguide wohl unklar, wie die Kosten dafür gestemmt werden sollen.
Von der Republik auf das Problem angesprochene Bundesparlamentarier können nicht nachvollziehen, warum ein derart wichtiges Sicherheitsthema alleine aus betriebswirtschaftlichen Gesichtspunkten betrachtet wird: «Wer will schon nach einem Vorfall vor die Kamera stehen und sagen: ‹Ja, das war uns wirtschaftlich halt zu teuer.› Das wäre ein Hohn gegenüber allen Betroffenen», sagt Grünliberalen-Nationalrat und Digitalpolitiker Jörg Mäder.
Auch Grünen-Präsident Balthasar Glättli hat dafür null Verständnis: «Dass in Fragen der Flugsicherung wirtschaftliche Interessen stärker gewichtet werden als minimale Sicherheitsstandards, ist erschreckend.»
Ich will es genauer wissen: Wie wird die Auslagerung der Flugsicherungsinfrastruktur nach Bulgarien beurteilt?
Die Auslagerung der Flugsicherungsinfrastruktur an das Unternehmen DXC und die Überwachung dieser Infrastruktur von Bulgarien aus ist vom Bund abgesegnet. Die jährlichen Kosten dafür belaufen sich auf einen tiefen einstelligen Millionenbetrag, wie ein Skyguide-Sprecher sagt.
«Eine Auslagerung kann durchaus Sinn machen, sofern der Betrieb gemäss der Durchführungsverordnung (EU) 2017/373 gewährleistet wird, das heisst, zu gleich hohem Qualitätsstandard wie intern erbracht wird», sagt Roger Suter, Präsident des Personalverbands Satta.
Die Finanzkontrolle EFK beobachtet die Auslagerung jedoch durchaus kritisch: «Die Zusammenarbeit mit zwei weiteren Parteien bei einem Vorfall erhöht die Komplexität erheblich.» Allgemein kommt die Aufsicht in einem Bericht zu einem gemischten Ergebnis: Die Zusammenarbeit mit DXC, einem als kritisch eingestuften Lieferanten, sei ein «guter Ansatz». Doch die Aufsichtsbehörde kritisiert die lockere Handhabung der Zugriffsrechte. So existierten im Frühjahr 2021 über 87 Benutzerkonten für DXC-Angestellte. Die EFK schreibt dazu: «Wie viele davon sich im Bereich der Luftverkehrsüberwachung wirklich auskennen, ist nicht klar.»
Fazit
Der Vorfall vom 15. Juni 2022 ist glimpflich ausgegangen. Weil die Fluglotsen routiniert sind – und: weil sich die Panne in der Nacht ereignete. «Tatsächlich wäre ein Ausfall bei hohem Verkehrsaufkommen sehr viel anspruchsvoller gewesen», sagt Fluglotsensprecher Benjamin Fichtner zur Republik.
Das von Skyguide vorangetriebene Projekt Virtual Centre erhöht die Störungsanfälligkeit der IT-Systeme in der Flugsicherung. Denn Softwareaussetzer in Dübendorf betreffen auch Genf und damit den gesamten Schweizer Luftraum. Ausfälle bei der kritischen Flugsicherungsinfrastruktur verursachen nicht nur wirtschaftliche, sondern auch Reputationsschäden.
Die Eidgenössische Finanzkontrolle hält schwarz auf weiss fest, was bei Skyguide auch interne Kritikerinnen schon lange monieren: «Das minimale Sicherheitsniveau (…) wird aktuell noch nicht vollständig erreicht.» Doch für regulatorische Forderungen hat die Aufsichtsbehörde keine Handhabe.
Zuständig dafür ist das Departement Uvek von Bundesrätin Simonetta Sommaruga. Teile des Skyguide-Personals sehen die aktuelle Aufarbeitung zum 15. Juni durch das Departement als Chance: Sie begrüssen die aktuelle Uvek-Untersuchung und wünschen sich «eine unabhängige Prüfung auf Herz und Nieren» durch den Bund, wie es ein Mitarbeiter formulierte. Und sie loben auch die gründlichen Analysen des Vorfalls durch ihre Arbeitgeberin.
Die Firma Skyguide, die sich über Gebühren der Airlines finanziert, befindet sich in einer absurden Situation: Der Flugsicherungskonzern betreibt kritische Infrastruktur und übernimmt damit eine hoheitliche Aufgabe. Gleichzeitig gibt es auf Bundes- und EU-Ebene nur veraltete technische und rechtliche Vorgaben, wie diese Aufgaben zu erfüllen sind. Nötig wäre also ein Upgrade. Denn ansonsten werden IT-Sicherheitsrisiken privatisiert. Das Thema Georedundanz ist für Skyguide vor allem eine «Kostenfrage».
Immerhin: Auf Anfrage der Republik signalisiert das Uvek Anfang Oktober Bereitschaft, das Thema Georedundanz anzugehen: «Der Bund klärt momentan den Nutzen und die Kosten einer Georedundanz.» Die politische Debatte zum Thema Flugsicherung dürfte in Bundesbern wohl bald neu lanciert werden.