Clear the Sky
Ein leerer Himmel und eine Fülle an Fragen
Im Juni erlebte die Schweizer Flugsicherung den absoluten GAU: Sie musste den Luftraum schließen. Was Skyguide daraus gelernt hat. Und welche Probleme sich nicht so einfach lösen lassen.
Anzeigetafel in Zürich am 15. Juni 2022: Nichts ging mehr.
Anzeigetafel in Zürich am 15. Juni 2022: Nichts ging mehr.
Als Klaus Meier am 15. Juni um 3:30 Uhr aus dem Schlaf gerissen wurde, wehrte sich sein ganzer Körper und Geist gegen das, was er da hörte. «Ich dachte, das muss eine Übung sein», erinnert sich der Technologiechef von Skyguide. Doch es dauerte nur ein paar Sekunden, und dann passierte das, was Meier und seine Kolleginnen und Kollegen der Schweizer Flugsicherung in genau diesen Übungen einstudiert hatten. Er funktionierte im absoluten Ernstfall.
«Clear the sky» heißt dieser Ernstfall. Wegen eines Systemausfalls bei Skyguide musste die Schweiz ihren Luftraum sperren. Starts, Landungen, Überflüge – nicht ging mehr. Tagelang spürten Airlines und Reisende die Auswirkungen der Störung. Doch als alles wieder lief, begann für Meier und seine Mitarbeitenden erst die größte Arbeit, die Aufarbeitung. Und mit der sind sie auch über ein halbes Jahr später noch beschäftigt.
Luftraumschließung war gerechtfertigt
«Erst am Wochenende nach dem Zwischenfall hatte ich Zeit, mich zu fragen: Gibt es vielleicht grobe Fehler in der Systemarchitektur? Oder handelt es sich einfach um ein einzelnes und isoliertes Ereignis?», so Meier. Ihm sei schnell klar gewesen: Die Systemarchitektur sei so in Ordnung. Dabei bleibt er auch. Und darin wurde er auch im Abschlussbericht des zuständigen Schweizer Ministeriums, dem Eidgenössischen Departement für Verkehr, Umwelt, Energie und Kommunikation (Uvek) bestätigt.
Der Bericht, der sich auf eine externe Untersuchung der Beratungsfirma Accenture beruft, kommt zum Schluss, dass Skyguide «ein umfassendes Krisenmanagement etabliert hat und dieses am 15. Juni 2022 effizient und effektiv angewandt wurde.» Die Entscheidung, den Schweizer Luftraum zu schließen sei angemessen gewesen.
Mit einem Softwareupdate zu lange gewartet
Die Untersuchung zeige auch, dass Skyguide den Vorfall intern detailliert aufgearbeitet hat. «Die in ihrem internen Bericht identifizierten Punkte und Empfehlungen sind valide und sinnvoll», attestiert das Ministerium der Flugsicherung.
Blick aus dem Kontrollturm von Zürich. Bild: Skyguide
Es übt aber auch Kritik. Denn: Ein früheres Softwareupdate hätte vielleicht verhindern können, dass es zum Ausfall kam. Skyguide hatte das – in Absprache mit dem Softwareanbieter – aber erst später durchgeführt. Der Grund laut Klaus Meier: Man hatte beim selben Prozess vor zwei Jahren kritische Fehler in einem Update entdeckt. Um Probleme zu vermeiden, wartete man also noch ab.
Keine lückenlose Überwachung des Netzwerkes
«Skyguide hat zwar einen funktionierenden Prozess für die Aktualisierung der Netzwerkkomponenten. Dieser Prozess ist aus Sicht der unabhängigen Prüfer aber zu risikoorientiert und zu konservativ», heißt es im Bericht. Meier sagt, man werde sich Gedanken machen, wie man diese Empfehlung in Einklang mit der für die Flugsicherheit relevanten Vorsicht umsetzen kann.
In einem anderen Kritikpunkt stimmt er mit dem Bericht überein. Der Flugsicherung fehle eine lückenlose Überwachung des Netzwerkes. Das heißt: Die Datenflüsse und Systeme werden ganzheitlich überwacht, um Fehler und deren Zustandekommen nachvollziehen zu können. Skyguide hat bereits erste Schritte in die Richtung unternommen.
«Hätten von Anfang an unsere Datenflüsse besser überwachen können»
«Wir hätten von Anfang an unsere Datenflüsse besser überwachen können», sagt auch Meier. Die Möglichkeit sei da gewesen. Und jetzt tue man es auch. Auch deshalb sei das Risiko eines Zwischenfalles wie am 15. Juni jetzt geringer. Und mit der zunehmenden Digitalisierung, die gerade im vollen Gange sei, werde es weiter sinken.
Skyguide steckt mitten in einem Riesenprogramm, welches die Flugsicherung in der Schweiz vereinfachen und auf einen statt zwei Standorte reduzieren soll. «Virtual Centre» heißt das Projekt. Aktuell kontrolliert man aus Genf die Westschweiz und aus Dübendorf bei Zürich den Rest des Landes. Eine Ausnahme ist Basel, dort ist die französische Flugsicherung verantwortlich. Skyguide schafft jetzt einen gemeinsamen virtuellen Raum, in den immer mehr Funktionen migriert werden.
Nach und nach werden die Systeme erneuert
2018 hatte man begonnen, die ersten modernen Systeme einzusetzen. Seither werden immer mehr Funktionen in das Virtual Centre migriert. Nebenher laufen aber auch noch die alten Systeme weiter. Und dabei handelt es sich um Software, die ein paar Jahrzehnte auf dem Buckel haben kann. Das verkompliziert zumindest für eine Weile die Prozesse.
Klaus Meier. Bild: Skyguide
Die neue Infrastruktur aufzubauen und dann mit einem großen Knall aufs neue System zu wechseln, sei aber keine Alternative, so Meier. «Wir sind in einem sicherheitsrelevanten Bereich aktiv. Wenn beim Umschalten irgendetwas schiefgehen würde, hätten wir ein großes Problem.»
Wie verletzlich ist das Virtual Centre?
Daher entschied man sich für den langsamen Wechsel. Stand jetzt sollte das Projekt Virtual Centre 2027 vollendet sein, so Meier. Es könne aber sein, dass es durch die Aufarbeitung des 15. Juni noch eine Verzögerung gibt.
Kritik am Virtual Centre gibt es von den Gewerkschaften. Die Digitalisierung berge auch Risiken. Wenn alles derart miteinander vernetzt ist, könne der Ausfall einer digitalen Schaltstelle – wie am 15. Juni geschehen – gravierendere Folgen haben als früher.
Single Point of Failure
Das sieht Meier nicht ganz so. Es sei schlicht eine andere Verletzlichkeit, der man ausgesetzt sei. Jetzt gehe es darum, in Sachen Cybersicherheit gut aufgestellt zu sein. Gleichzeitig habe man aber durch die Digitalisierung eine höhere Resilienz gegenüber Fehlern. «Das klingt paradox, ist aber Teil der Digitalisierung», so der Skyguide-Technologiechef, der an der ETH Zürich Elektrotechnik studiert hat.
Verletzlich ist das System auch durch die Tatsache, dass die Server für das Virtual Centre sich alle in einem Raum in Dübendorf befinden. Das heißt: Stimmt dort etwas nicht, oder gibt es einen Brand oder andere externe Faktoren sorgen für Schäden, gibt es keine Redundanzen, die einen Ausfall verhindern.
Keine regulatorischen Vorgaben
Das bemängelte unter anderem die Eidgenössische Finanzkontrolle, eine unabhängige Prüfungsstelle der Schweizer Regierung, in einem Bericht im Februar (hier als PDF ). «Single point of failure» und «Mangelnde Georedundanz» sind Begriff, die dort das Problem umschreiben.
Radarüberwachung bei Skyguide. Bild: Skyguide
Das sei so, sagt Meier. Und in einer idealen Welt würde es natürlich bei Skyguide Backup-Server an anderen Orten geben. Doch das sei aktuell bei keiner der 68 Flugsicherungen in Europa der Fall. «Es gibt keine regulatorischen Vorgaben betreffend Georedundanz», so Meier. Und nur, wenn es die gebe, könne Skyguide die hohen Ausgaben, die damit verbunden seien, finanzieren.
Schweiz als «effiziente Bürokratie»
Der Grund für die fehlenden Vorgaben: Die Georedundanz gilt nicht als direktes Sicherheitsthema, sondern als Thema der Betriebsökonomie. Und die Regulierung, die Flugsicherungen betrifft, bezieht sich ausschließlich auf das Thema Sicherheit. Das heißt: Fällt das System aus, dann gibt es Szenarien, wie die Flugsicherheit aufrechterhalten wird – im Ernstfall mit «Clear the sky».
Dennoch ist Meier zuversichtlich, dass die Flugsicherung künftig effizienter wird. Das sei auch ein Vorteil in der Schweiz. «Zehn Jahre für einen Systemwechsel klingen lang, sind aber im Vergleich mit anderen Ländern noch agil», erklärt er. In Deutschland baue man gerade auch ein neues System auf. Aber auf der alten Architektur. Die Schweiz denke unternehmerischer und habe vergleichsweise eine «effiziente Bürokratie».
Innovation in Europa einbringen
Daher hat Skyguide auch eine Art Vorbildfunktion in Europa eingenommen. Das Virtual Center nehmen sich viele Flugsicherungen als Beispiel, wie man den Luftraum vereinfachen kann. Auch in Deutschland und Frankreich wird der Luftverkehr von mehreren Standorten aus geregelt. Auch das ist ineffizient.
Meier verbringt daher auch viel Zeit in Brüssel, um seinen Kollegen aus anderen Ländern von den Fortschritten zu berichten. Und um gemeinsam mit ihnen Wege zu finden, wie man die neue Technologie auch grenzübergreifend einsetzen kann. Die Schweiz, so der Manager, der seine Luftfahrt-Laufbahn bei der Swissair begann, sei ein kleines Land. «Politisch ist unser Einfluss in Europa begrenzt. Daher müssen wir uns mit Innovation einbringen, und das gelingt uns auch.»