Single point of failure: Dübendorf

Im vergangenen Juni war der Schweizer Luft­raum wegen einer technischen Panne für 5 Stunden komplett gesperrt. Nun zeigen Recherchen der Republik: Die Probleme bei der Flug­sicherungs­firma Sky­guide sind gravierender als bisher bekannt.

Eine Recherche von Adrienne Fichter, Thomas Preusse (Text) und Alexander Glandien (Illustration), 08.11.2022

Vorgelesen von Miriam Japp

Journalismus, der Ihnen hilft, Entscheidungen zu treffen. Und der das Gemeinsame stärkt: die Freiheit, den Rechtsstaat, die Demokratie. Lernen Sie uns jetzt 21 Tage lang kostenlos und unverbindlich kennen:

«Big Bang» wird der Vorfall intern genannt. Eine Premiere sei das Ereignis in der 100-jährigen Geschichte der Schweizer Flug­sicherung gewesen. Oder «einfach nur peinlich». In der Nacht auf den 15. Juni 2022 leitete das Schweizer Flug­sicherungs­unternehmen Sky­guide wegen einer technischen Störung eine ebenso ungewöhnliche wie einschneidende Mass­nahme ein: Clear the Sky. Keine Flüge mehr im Schweizer Luftraum. 5 Stunden lang.

«Safety first» lautet die oberste Maxime im Flug­geschäft. Da die Flug­lotsen das Sicherheits­protokoll einhielten, konnte Schlimmeres verhindert werden. Eine Gefahr für Passagiere habe zu keiner Zeit bestanden, betont Sky­guide.

Doch was ist eigentlich genau passiert? Derzeit beschäftigen sich gleich zwei Aufsichts­behörden – das Bundesamt für Zivil­luftfahrt (Bazl) und das Departe­ment für Verkehr, Umwelt, Energie und Kommunikation (Uvek) – mit der gravierenden technischen Panne. Und damit auch mit den IT-Systemen von Sky­guide. Die Resultate liegen voraussichtlich im Dezember vor.

Dass sich die Untersuchungen hinziehen, deutet darauf hin, dass die Störung gröbere Probleme bei Sky­guide offenlegte. Und tatsächlich: Recherchen der Republik zeigen, dass die Schweizer Flug­sicherung bei der Informations­technik nicht einmal die Minimal­anforderungen des Bundes für kritische Infra­struktur erfüllt.

Ausserdem ist der Vorfall anders abgelaufen, als bisher medial dargestellt wurde. Diesen Schluss legen Gespräche mit Mitarbeitern des technischen Personals, Einblicke in interne Korrespondenz bei Sky­guide sowie der Zu­gang zu Prüf­berichten von Bundes­behörden via Öffentlichkeits­gesetz nahe.

Die aufgedeckten technischen und politischen Missstände in aller Kürze:

  1. Was wirklich geschah: Ein Netzwerk­computer war defekt und leitete den Daten­verkehr nicht weiter. Der Netzwerk­computer musste, anders als bisher dargestellt, nicht ersetzt, sondern bloss neu gestartet werden. Ein Software-Update des Herstellers wäre bereits vorgelegen, war aber noch nicht aufgespielt worden. Warnungen des Systems waren zwei Tage zuvor als Fehl­alarm taxiert worden. Die Panne passierte nicht am Genfer Standort, wie Sky­guide in den Medien sagte, sondern in Düben­dorf.

  2. Fehlendes Wartungs­personal: Bis die Systeme nach dem Ausfall neu gestartet und das Problem behoben wurde, verging viel Zeit. Kein Zufall: Für Wartungs­arbeiten fehlt es bei Sky­guide an befugtem Personal. Allgemein wurde der Bereich Wartung in den letzten Jahren vernachlässigt.

  3. Fehlende Datenfluss­überwachung: Bis der Grund für die Panne identifiziert wurde, verstrichen mehrere Tage. Die Aufsichts­behörde kritisierte bereits Monate vor dem Total­ausfall, dass es bei den Monitoring­tools unnötige Doppel­spurigkeiten gebe und ein «Gesamtbild aus allen verfügbaren Daten» fehle.

  4. Fehlende Geo­redundanz: Mit dem Projekt Virtual Centre will Sky­guide die IT-Systeme modernisieren. Doch alle Server, die dafür nötig sind, stehen neu am gleichen Standort: in Düben­dorf. Das heisst: Tritt dort ein Problem auf, geht im gesamten Schweizer Luft­raum nichts mehr.

  5. Lücken in der Regulierung: Das Bundes­amt für Zivilluft­fahrt macht keine Vorgaben, wie viele Daten­zentren betrieben werden müssen. Dies sei ein wirtschaftlicher Entscheid von Sky­guide, so das Bundes­amt. «Dass bei der Schweizer Flug­sicherung wirtschaftliche Interessen stärker gewichtet werden als minimale Sicherheits­standards, ist erschreckend», sagt dazu der grüne National­rat und Digital­politiker Balthasar Glättli.

1. Was wirklich geschah

15. Juni 2022, nachts um 3.07 Uhr: Am Schweizer Himmel ist um diese Uhr­zeit nicht viel los. Gerade mal 5 Flug­zeuge überfliegen die Schweiz. Die Flug­lotsen im Area Control Center in Düben­dorf überwachen mithilfe von Radar­daten, Flug­plänen und Konflikt­warn­systemen den Flug­verkehr und lenken Flieger via Funk und direkte Daten­übermittlung sicher aneinander vorbei.

Dann passiert es: Plötzlich können die Flugplan­daten der Flieger von den Flug­lotsen nicht mehr abgerufen werden. Die Warn­systeme, die Konflikte zwischen Flug­zeugen anzeigen, fallen aus. Der Pikett­mitarbeiter der Technik wird informiert.

Weil der Fern­zugriff auf die Systeme nicht funktioniert, fährt der alarmierte Pikett­mitarbeiter nach Düben­dorf vor Ort. Als sich um 3.50 Uhr immer noch keine Lösung für das Problem abzeichnet, müssen die Flug­lotsen den Befehl geben, den Himmel «leerzuräumen». Sie lösen den Notfall­plan Clear the Sky aus. Geplante Landungen von Jets auf dem Weg in die Schweiz müssen ins Ausland verschoben, der Schweizer Luft­raum komplett umflogen werden, und Linien­flüge dürfen nicht mehr starten.

Der Ablauf folgt der obersten Maxime der Flug­sicherung: «Safety first». «Ein Clear the Sky ist ein Notfall­prozedere, das regel­mässig im Simulator geübt wird», sagt Benjamin Fichtner, Sprecher des Fluglotsen­verbands Helvetica.

Die Suche nach dem Grund für die Panne geht in jener Nacht bis in die frü­hen Morgen­stunden weiter. Techniker vermuten zuerst ein Problem mit Switch 1 und Switch 2. Switches sind wichtige Knoten­punkte eines Computer­netzwerkes, die wie eine Weiche den Daten­verkehr umlenken können. An diese beiden Switches sind wiederum die Computer der Flug­lotsen angeschlossen. Jene Geräte also, die seit 3.07 Uhr keine Flug­daten mehr anzeigen.

Der gestaffelte Neu­start der Geräte um 5.20 und 5.42 Uhr zeigt keine Wir­kung. Die Bild­schirme der Lotsen bleiben unvoll­ständig.

Die Techniker untersuchen weitere Netzwerk­schalter: Switch Nummer 9 und 10. Mittels einer Netzwerk­analyse entdecken sie schliesslich Unregelmässig­keiten bei Nummer 9. Um 7 Uhr startet ein Mitarbeiter den entsprechenden Switch in Düben­dorf neu. Und siehe da: Das Problem scheint gelöst. Die Flugdaten erscheinen wieder auf den Bild­schirmen der Fluglotsen.

Eine Hardware-Komponente in Genf habe «ausgetauscht» werden müssen, teilte ein Sprecher von Sky­guide später den Medien mit. Tatsächlich genügte ein Neu­start einer Komponente in Düben­dorf. Korrigiert wird das später nie.

Um 8.30 Uhr sind die Flugsicherungs­systeme von Sky­guide wieder einsatz­fähig. Die Flug­leiterinnen nehmen den Betrieb Schritt für Schritt wieder auf. Insgesamt mussten rund 100 Flüge annulliert oder umgeleitet werden. An den Flughäfen Zürich und Genf ging im Linien­verkehr stunden­lang gar nichts mehr. Tausende Passagiere waren vom Total­ausfall betroffen. Selbst der Stand­ort Basel-Mulhouse funktionierte nur eingeschränkt, obwohl dort die französische Flug­sicherung den Verkehr regelt.

Bei Sky­guide bemühte man sich alsbald um Schadens­begrenzung. Hätte die Störung länger gedauert, hätte die militärische Flug­sicherung übernommen, behauptete Sky­guide-CEO Alex Bristol noch gleichen­tags in einem Interview. Doch trifft das wirklich zu?

Die Suche nach der Ursache der «historischen Panne», wie Bristol den Ausfall in den Medien bezeichnete, beschäftigte nun die Skyguide-Verantwortlichen.

Eine erste vorläufige technische Analyse vom 22. Juni 2022, die der Republik vorliegt, brachte ein erstes pikantes Detail ans Licht: Der «kaputte» Netzwerk­computer setzte bereits zwei Tage zuvor eine Warnung ab. Die damals anwesenden Technikerinnen stuften die Warnung als Fehl­alarm ein. Auch die eingesetzten Überwachungs­werkzeuge erkannten kein Problem.

In der internen Analyse wird der Ausfall auf eine defekte Routing­tabelle zurück­geführt. Diese Tabelle steuert den Daten­verkehr und ist dafür zuständig, Daten möglichst schnell an den richtigen Ort weiter­zuleiten.

Ebenfalls im Bericht vermerkt ist ein weiteres pikantes Detail: Es existierte schon seit längerem ein Software-Update für jenen Netzwerk­computer Nr. 9, das der Hersteller Extreme Networks zur Verfügung gestellt hatte. Das Update hätte auch die Routing­tabelle verbessert – und die Panne vielleicht verhindert.

Doch die Flugsicherungs­techniker hatten bis zu diesem Zeit­punkt das Software-Update bewusst noch nicht aufgespielt. Sie fürchteten, das Update würde neue, nicht vorhersehbare Probleme auslösen. Sie waren erst an den Vorbereitungen für die Aktualisierung. Das offenbart ein Dilemma im Alltag der Skyguide-IT: Die Flugsicherungs­firma will innovativ sein und muss ihre Systeme immer auf dem neusten Stand halten. Doch Flug­sicherheit ist eine Welt mit strengsten Vorgaben. Software­aktualisierungen kollidieren mit dem Anspruch, das System jederzeit zuverlässig ohne Unter­brüche zu betreiben.

Das Management bestätigt gegenüber der Republik, dass das Update derzeit aufgespielt wird: «Aktuell führen wir ein Firmware-Update durch, das bis Ende November abgeschlossen sein wird.»

Aber warum benötigte Sky­guide in jener Nacht vom 15. Juni so lange, um die Systeme neu zu starten und die Probleme zu beheben? Die Antwort: Nur wenige Mitarbeiter sind überhaupt befugt, Wartungs­arbeiten durchzuführen.

2. Fehlendes Wartungs­personal

Das Regel­werk in der Flug­sicherung ist streng: Nur zertifiziertes Personal darf Systeme betreiben und Wartungs­arbeiten durchführen. Bei Skyguide arbeiten nach Firmen­angaben rund 150 zertifizierte Techniker. Die ATSEP-Zertifizierung, ein Akronym für «Air Traffic Safety Electronics Personnel», findet berufs­begleitend und zusätzlich zur technischen Grund­ausbildung statt.

Rund die Hälfte der Mitarbeiterinnen arbeiten laut einem Sky­guide-Sprecher auch im Pikett­dienst. Allerdings ist die Zertifizierung in fünf Bereiche aufgeteilt und einzelne Techniker sind nur zur Bearbeitung spezifischer Systeme befugt. Das heisst, es dürfen jeweils nur einige wenige Spezialistinnen an einem System arbeiten, die zudem auch noch auf zwei Standorte – Genf und Dübendorf – verteilt sind. Die Konsequenz davon in der Pannen­nacht: Weil kein befugtes Fach­personal in Zürich Pikett­dienst leistet, wird das Problem erst rund 4 Stunden später von einem Techniker mit regulären Arbeits­zeiten gelöst.

Die Personal­verbände bezeichnen in einem internen Brief vom 14. Septem­ber, der an den Employee Manager von Sky­guide adressiert ist und der Republik vorliegt, dieses «understaffing» als ein grosses Problem.

In den letzten Jahren wurde die Wartung allgemein stark herunter­gefahren, bestätigen Sky­guide-Mitarbeiter in Gesprächen mit der Republik. Das hängt mit anstehenden Pensionierungen von erfahrenen Technikerinnen und dem allgegen­wärtigen Fachkräfte­mangel in der IT-Branche zusammen. Aber auch damit, dass den Technikern eine staatlich anerkannte Lizenzierung wie bei den Flug­lotsen fehlt. Der Personal­verband Satta fordert diese schon seit Jahren. «Eine Lizenzierung hätte zudem den Effekt, dass Sky­guide europa­weit leichter Personal rekrutieren könnte», so Satta-Präsident Roger Suter.

Das fehlende lizenzierte Personal und der Umstand, dass Pikett­mitarbeiter inzwischen gar nicht mehr vor Ort sein müssen, sondern eine Stunde von Düben­dorf entfernt sein dürfen und per Fern­zugriff arbeiten können, erklärt wohl, warum die Flug­sperre über der Schweiz ganze 5 Stunden dauerte.

Dass dann in diesem spezifischen Fall der Fern­zugriff nicht wie vorgesehen funktionierte, tat sein Übriges. Doch weshalb wurden erste Anzeichen für Probleme (wie der Alarm bei Netzwerk­computer Nr. 9 am 13. Juni – also zwei Tage vor dem Ausfall) falsch interpretiert? Die Antwort: weil bei Sky­guide bisher eine vollständige Datenfluss­überwachung der IT-Systeme fehlte.

3. Fehlende Datenfluss­überwachung

Sky­guide beschloss vor 10 Jahren, die Digitalisierung der Flugsicherungs­systeme voranzutreiben. Der technische Direktor Klaus Meier behauptete 2018 in einem «Le Temps»-Artikel, dass damit die Arbeit der Flug­lotsen und Technikerinnen einfacher werden würde. Denn mit der Einführung neuer Technologien liessen sich gleichzeitig auch viele Aufgaben automatisieren.

Kritische Stimmen bemängeln allerdings schon länger, dass die Skyguide-Leitung zu technologie­gläubig sei. In einer Präsentation des Berufs­verbands Aerocontrol Switzerland vom 7. Februar 2019 wird diese Vereinfachungs­these denn auch angezweifelt. «Ignoring reality» lautet der Kommentar.

Die Digitalisierung und Zusammen­führung verschiedener Systeme wird von den meisten Mitarbeiterinnen grundsätzlich befürwortet. Doch damit erhöht sich auch die Komplexität, und die Fehler- und Störungs­anfälligkeit steigt. «Vor 20 Jahren war alles isolierter, ein Ausfall eines technischen Systems hatte keine direkten Folgen für den Rest­betrieb», so Satta-Präsident Suter.

Der Ausfall einer Komponente wie des Switchs Nummer 9 hat also heute viel grössere Auswirkungen als früher. Die Ereignisse am 15. Juni waren bloss ein Symptom. Nach dem Total­ausfall äussert das Personal seine Bedenken noch lauter als zuvor: «Die Zahl der gemeldeten technischen Probleme ist sehr besorgnis­erregend», halten die Berufs- und Personal­verbände in einem internen Schreiben an das Management am 14. September fest.

Gleichen­tags schicken die Verbände auch einen Brief an das Departement für Verkehr, Energie und Kommunikation (Uvek) und wählen deutliche Worte: «Schon seit längerem beobachten wir Signale, welche in technischer und operationeller Hinsicht beunruhigende Schwächen im System aufzeigen.» Beide Briefe wurden von Vertretern der Berufs­verbände der Flug­lotsen und Technikerinnen Helvetica und Satta sowie den Gewerkschaften Syndicom und Si-TrA unterzeichnet. Ausdrücklich halten sie gegenüber dem Uvek fest: «Sky­guide wurde von uns schon mehrmals darauf hingewiesen.»

Suter bestätigt die Kritik, präzisiert jedoch: «Wir haben eine ‹just culture›, das heisst, eine Kultur des Meldens aller Vorfälle. Auch wenn es sich um scheinbar unbedeutende Vorfälle handelt, sollen diese gemeldet werden. Dadurch werden natürlich auch mehr Vorfälle dokumentiert als früher.»

Die Verbände hinter­fragen in ihrem Brief auch die von Sky­guide aufgestellte Behauptung, dass das Militär bei einem noch längeren Ausfall übernommen hätte. «Die Frage ist: Wie hätte eine solche Hilfe konkret ausgesehen?»

Selbst in der «Gossip and Go»-Rubrik des internen Magazins «Helvetica Broadcast» von Sky­guide wird inzwischen über die Pannen und Probleme hergezogen. Die Autorin Heidy (wer sich hinter diesem Pseudonym verbirgt, ist im Unternehmen ein lang­jähriges Geheimnis) schrieb in der August-Ausgabe, dass sie seit dem Vorfall vom 15. Juni Albträume habe:

Besonders besorgt bin ich über all die Warnungen, die wir seit 2018 von unseren IT-Mitarbeitern erhalten haben und die so ziemlich alle Punkte aufgreifen, die die Richter mit ihren schrecklichen Hüten ansprechen.

Im Oktober 2018 kam es schon einmal zu einer IT-Panne: Die Bild­schirme der Lotsen froren damals an zwei aufeinander­folgenden Tagen kurz ein. Mit dem Ausdruck «Richter mit ihren schrecklichen Hüten» spielt die Autorin indirekt auf die Arbeit der Eidgenössischen Finanz­kontrolle (EFK) an, die in den letzten Jahren kritische Berichte zur IT-Infra­struktur von Sky­guide vorgelegt hat.

Der brisanteste Report stammt vom Februar 2022, also vier Monate vor dem Total­ausfall. Die Republik hat den bisher unveröffentlichten Bericht der Auf­sichtsbehörde dank dem Öffentlichkeits­gesetz ungeschwärzt erhalten. Er bestätigt viele Kritik­punkte des Personals. So hält die EFK zum Beispiel fest, dass in der «historisch gewachsenen Tool-Landschaft» zu viele verschiedene Monitoring­tools verwendet würden. Heisst: Die Überwachung der IT-Systeme war ein Dickicht, das im Notfall kein vollständiges Bild ergeben hat.

Sky­guide hält auf Anfrage fest, dass das «bisher existierende Monitoring genügte». Dennoch reagierte die Firma auf den Ausfall: «Die Verkettung der Fehler führte im Juni nun zur Erkenntnis, das Monitoring über den Daten­fluss zu erhöhen.» Eine neue regelmässige Überwachung des Daten­flusses wurde noch am selben Tag eingeführt.

Allerdings ortet die Aufsichts­behörde das gravierendste Sicherheits­risiko woanders: in der Server­infrastruktur von Sky­guide.

4. Fehlende Geo­redundanz

Eine öffentliche Aussage von Sky­guide nach dem Vorfall vom 15. Juni hat einen Teil der Mitarbeiter besonders verärgert. Wäre das Prestige­projekt Virtual Centre schon in Betrieb gewesen, spekulierte ein Unternehmens­sprecher, hätte sich das Aus­mass des Ausfalls limitieren lassen.

Doch die Recherchen der Republik legen nahe, dass das Gegen­teil stimmt.

Zunächst: Was genau ist das Virtual Centre?

Historisch bedingt ist die Flugraum­überwachung in der Schweiz zweigeteilt: Genf koordiniert die West­schweiz, Zürich die Rest­schweiz (der Flughafen Basel ist unter der Kontrolle von Frank­reich). Eine Genfer Flug­lotsin konnte bis anhin zum Beispiel keine Flüge über der Ost­schweiz überwachen.

Mit dem Projekt Virtual Centre, wofür 266 Millionen Franken budgetiert worden sind, soll das künftig möglich werden. Die beiden separaten Flug­räume werden zu einem gemeinsamen virtuellen Raum zusammen­geführt. Es ist die technologische Antwort von Sky­guide auf Kosten­vorgaben der Europäischen Union, denn damit soll auch Personal eingespart werden.

Für die EU mit 68 Flugsicherungs­zentren ist das Schweizer Vorhaben ein Vorzeige­projekt. Brüssel versucht seit Jahrzehnten, mit der Initiative «Single European Sky» den Luftraum zu vereinheitlichen – erfolglos. Alle nationalen Flug­sicherungen pochen auf Souveränität und Autonomie.

Ein System, das funktioniert. Doch aus Sicht der EU ist es zu teuer und zu ineffizient. Die Lobby der Airlines, die in Brüssel sehr stark vertreten ist, macht grossen Druck, um die Gebühren der Flug­sicherung niedrig zu halten.

Ich will es genauer wissen: Wie wird Sky­guide finanziert?

In normalen Zeiten (also bei einem Verkehrs­aufkommen ausserhalb einer Pandemie) überwacht Sky­guide rund eine Million Flüge pro Jahr. Skyguide ist ein privates Unternehmen mit Bundes­auftrag und finanziert sich über die Gebühren der Airlines. Die Kosten der Flug­sicherung sind in den Flug­tickets eingepreist. Skyguide ergeht es dabei wie anderen bundesnahen Betrieben: Das Unternehmen muss einerseits effizient, kosten­sparend und privat­wirtschaftlich agieren und andererseits einen Service public erbringen. Die Tarife, die Sky­guide den Flug­gesellschaften in Rechnung stellt, werden, gestützt auf das Luftverkehrs­abkommen mit der Schweiz, grundsätzlich von der EU-Kommission bestimmt. Die Schweizer Firma Sky­guide gilt als eine der teuersten in Europa, die Flug­lotsen erhalten ein Durchschnitts­salär von 180’000 Franken pro Jahr. Eine Flugstunde kostet 810 Euro. Dies begründet Sky­guide mit der Komplexität des Luft­raums, den hohen Lohn­kosten und fehlenden Subventionen des Staats.

Um das Projekt Virtual Centre umzusetzen, baute Sky­guide eine virtuali­sierte Server­infrastruktur auf – im Fach­jargon auch Cloud genannt. Das Management beauftragte dafür eine externe Firma, den globalen Tech-Konzern DXC. Die DXC-Server stehen in der Flugsicherungs­zentrale in Düben­dorf. Sie werden aus der Ferne von einem Team in der bulgarischen Hauptstadt Sofia überwacht. Grund: Kosten­reduktion und Spezialisierung.

Seit 2018 migriert Sky­guide immer mehr Applikationen in diese neue Skyguide-Cloud.

Doch es gibt ein Problem bei der Umsetzung: Die Cloud hat nur einen einzigen Stand­ort, nämlich den Server­raum in Dübendorf. Bei Tech-Giganten wie Amazon oder Micro­soft ist es üblich, dass eine Cloud, selbst in einer Region, in mehreren verschiedenen Daten­zentren betrieben wird. Damit soll die Verfügbarkeit der Daten und Applikationen im Fall von einzelnen Ausfällen gewährleistet werden.

Bei Sky­guide laufen jedoch heute viele Applikationen nur noch in Dübendorf. Das heisst: Essenzielle Daten zur Flugraum­überwachung sind bei einem Ausfall in Dübendorf gesamt­schweizerisch nicht mehr verfügbar. Der Fach­jargon kennt dafür den Begriff fehlende Geo­redundanz.

Die Folgen davon werden am 15. Juni 2022 auf fatale Weise sichtbar: Die Daten konnten auch nicht mehr in die Romandie ausgeliefert werden.

Die Personalverbands­vertreter spotteten in ihrem internen Schreiben über diese IT-Architektur: Vielleicht sei der Kommunikations­fehler der Skyguide-Medien­sprecher, der Ursprung der Panne liege in Genf, bewusst öffentlich nicht korrigiert worden. Denn die Öffentlichkeit würde dann erfahren, dass die gesamte virtualisierte Flug­sicherung von einem einzigen Server­raum in Zürich abhängt. In der Gossip-Rubrik spricht die anonyme Autorin Heidy von einem «Albtraum». Die «Richter» würden fragen: «Warum haben Sie alle Daten und Server in einem einzigen Rechen­zentrum untergebracht?»

Weniger lustig findet das die angesprochene Finanz­kontrolle EFK, die in ihrem Bericht die IT-Infrastruktur als eines der grössten Risiken ausmacht. Der Server­raum in Dübendorf wird darin als «single point of failure» bezeichnet. Durch ein lokales Ereignis werde der gesamte Flug­verkehr verunmöglicht. Denkbare Szenarien wären etwa ein Brand oder auch allfällige gezielte Sabotage.

Fast schon hell­seherisch prognostizierte die Aufsichts­behörde bereits im Februar 2022, dass es zu grösseren Ausfällen kommen könnte. Auf Geheiss der EFK muss Sky­guide nun neue Pläne erarbeiten, wie auf einen physischen Ausfall der «Minicloud» in Dübendorf schnell reagiert werden könnte.

In ihrem internen Schreiben von September 2022 fordern die Personal- und Berufs­verbände deswegen einen Stopp des Projekt­fahrplans. Es sollen keine Server und Systeme auf die virtuelle Platt­form verlagert werden, solange der interne Untersuchungs­bericht noch nicht publiziert und die daraus nötigen Lehren gezogen worden seien. Kommt Sky­guide dieser Forderung nach? Die Firma bestätigt das indirekt: Der Fokus liege zurzeit «auf System­robustheit».

5. Lücken in der Regulierung

Das Thema Geo­redundanz legt ein eklatantes Regulierungs­defizit offen. Und auch eine Diskrepanz in der Haltung der Bundes­behörden: Für die Prüferin EFK ist sie unabdingbar, für die Aufsichts­behörde Bazl lediglich optional. Es sei Sache der Eigentümer, wie sie die IT-Sicherheits­infrastruktur umsetzen würden, schreibt Bazl-Sprecherin Christina Caron: «Der Entscheid, wie umfassend die Geo­redundanz ausgelegt sein muss, ist ein wirtschaftlicher.»

Welche Vorgaben gibt es dazu von der EU? Euro­control – die Europäische Organisation zur Sicherung der Luft­fahrt – antwortet darauf vage: «Geo­redundanz und Back­ups sind entscheidende Elemente, wenn es darum geht, die Kontinuität des Flug­verkehrs zu gewährleisten», schreibt die Medien­abteilung. Die entsprechende Richt­linie für die Air Navigation Services hält fest, dass bei den eingesetzten Tools unter anderem die «Verfügbarkeit, Kontinuität, Genauigkeit und Integrität ihrer Services» sicher­gestellt werden müssten.

Genauere Angaben bezüglich einer geografischen Verteilung der Server­stand­orte und Daten­zentren fehlen jedoch. Geo­redundanz wird zwar von der EU als «entscheidend» betitelt, die konkrete Umsetzung obliegt jedoch den nationalen Flugsicherungs­unternehmen. Eine «physische Redundanz kann nicht durch die Aufsichts­behörde verfügt werden» sagt ein Sprecher des Uvek. Das Departement begründet dies damit, dass Sky­guide in heiklen Fällen «verbindliche Prozesse» anwendet. Also zum Beispiel: Clear the Sky.

Eine gewagte Begründung: Selbst­verständlich stimmt es, dass Flug­lotsen für alle möglichen Vorfälle vorbereitet und trainiert worden sind. Doch wenn sich technische Fehler häufen, die wegen der zunehmenden digitalen Ver­netzung eine Ketten­reaktion auslösen und Ersatz­systeme ausfallen, müssten ständig Notfall­szenarien und Sicherheits­protokolle aktiviert werden. Das kostet auf die Dauer viel Geld. Sky­guide selbst schliesst künftige ähnliche Ereignisse wie das vom 15. Juni, «die mehrere Anwendungen betreffen und auf verschiedene Ursachen zurück­geführt werden können», nicht aus, wie ein weiterer interner Untersuchungs­bericht vom 13. Oktober zeigt.

Das Flugsicherungs­unternehmen scheint von der EFK-Forderung nach mehr Daten­zentren überrumpelt worden zu sein: «Dies ist eine neue nationale Empfehlung, deren Umsetzung und Finanzierung wir derzeit prüfen.» Solange die EU Geo­redundanz nicht explizit fordert, bleibt für Sky­guide wohl unklar, wie die Kosten dafür gestemmt werden sollen.

Von der Republik auf das Problem angesprochene Bundes­parlamentarier können nicht nachvoll­ziehen, warum ein derart wichtiges Sicherheits­thema alleine aus betriebs­wirtschaftlichen Gesichts­punkten betrachtet wird: «Wer will schon nach einem Vorfall vor die Kamera stehen und sagen: ‹Ja, das war uns wirtschaftlich halt zu teuer.› Das wäre ein Hohn gegenüber allen Betroffenen», sagt Grünliberalen-Nationalrat und Digital­politiker Jörg Mäder.

Auch Grünen-Präsident Balthasar Glättli hat dafür null Verständnis: «Dass in Fragen der Flug­sicherung wirtschaftliche Interessen stärker gewichtet werden als minimale Sicherheits­standards, ist erschreckend.»

Ich will es genauer wissen: Wie wird die Auslagerung der Flugsicherungs­infrastruktur nach Bulgarien beurteilt?

Die Auslagerung der Flugsicherungs­infrastruktur an das Unternehmen DXC und die Überwachung dieser Infra­struktur von Bulgarien aus ist vom Bund abgesegnet. Die jährlichen Kosten dafür belaufen sich auf einen tiefen einstelligen Millionen­betrag, wie ein Skyguide-Sprecher sagt.

«Eine Auslagerung kann durchaus Sinn machen, sofern der Betrieb gemäss der Durchführungs­verordnung (EU) 2017/373 gewährleistet wird, das heisst, zu gleich hohem Qualitäts­standard wie intern erbracht wird», sagt Roger Suter, Präsident des Personalverbands Satta.

Die Finanz­kontrolle EFK beobachtet die Auslagerung jedoch durchaus kritisch: «Die Zusammen­arbeit mit zwei weiteren Parteien bei einem Vorfall erhöht die Komplexität erheblich.» Allgemein kommt die Aufsicht in einem Bericht zu einem gemischten Ergebnis: Die Zusammen­arbeit mit DXC, einem als kritisch eingestuften Lieferanten, sei ein «guter Ansatz». Doch die Aufsichts­behörde kritisiert die lockere Handhabung der Zugriffs­rechte. So existierten im Frühjahr 2021 über 87 Benutzer­konten für DXC-Angestellte. Die EFK schreibt dazu: «Wie viele davon sich im Bereich der Luftverkehrs­überwachung wirklich auskennen, ist nicht klar.»

Fazit

Der Vorfall vom 15. Juni 2022 ist glimpflich ausgegangen. Weil die Flug­lotsen routiniert sind – und: weil sich die Panne in der Nacht ereignete. «Tatsächlich wäre ein Ausfall bei hohem Verkehrs­aufkommen sehr viel anspruchs­voller gewesen», sagt Fluglotsen­sprecher Benjamin Fichtner zur Republik.

Das von Sky­guide vorangetriebene Projekt Virtual Centre erhöht die Störungs­anfälligkeit der IT-Systeme in der Flug­sicherung. Denn Software­aussetzer in Düben­dorf betreffen auch Genf und damit den gesamten Schweizer Luft­raum. Ausfälle bei der kritischen Flugsicherungs­infrastruktur verursachen nicht nur wirtschaftliche, sondern auch Reputations­schäden.

Die Eidgenössische Finanz­kontrolle hält schwarz auf weiss fest, was bei Sky­guide auch interne Kritikerinnen schon lange monieren: «Das minimale Sicherheits­niveau (…) wird aktuell noch nicht vollständig erreicht.» Doch für regulatorische Forderungen hat die Aufsichts­behörde keine Hand­habe.

Zuständig dafür ist das Departement Uvek von Bundesrätin Simonetta Sommaruga. Teile des Skyguide-Personals sehen die aktuelle Aufarbeitung zum 15. Juni durch das Departement als Chance: Sie begrüssen die aktuelle Uvek-Untersuchung und wünschen sich «eine unabhängige Prüfung auf Herz und Nieren» durch den Bund, wie es ein Mitarbeiter formulierte. Und sie loben auch die gründlichen Analysen des Vorfalls durch ihre Arbeitgeberin.

Die Firma Sky­guide, die sich über Gebühren der Airlines finanziert, befindet sich in einer absurden Situation: Der Flugsicherungs­konzern betreibt kritische Infra­struktur und übernimmt damit eine hoheitliche Aufgabe. Gleichzeitig gibt es auf Bundes- und EU-Ebene nur veraltete technische und rechtliche Vorgaben, wie diese Aufgaben zu erfüllen sind. Nötig wäre also ein Upgrade. Denn ansonsten werden IT-Sicherheits­risiken privatisiert. Das Thema Geo­redundanz ist für Sky­guide vor allem eine «Kosten­frage».

Immerhin: Auf Anfrage der Republik signalisiert das Uvek Anfang Oktober Bereitschaft, das Thema Geo­redundanz anzugehen: «Der Bund klärt momentan den Nutzen und die Kosten einer Geo­redundanz.» Die politische Debatte zum Thema Flug­sicherung dürfte in Bundes­bern wohl bald neu lanciert werden.

Über 28'000 Menschen machen die Republik heute schon möglich. Lernen Sie uns jetzt auch kennen – 21 Tage lang, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source