Schweizer Luftraumkontrolle: Medienbericht nennt Gründe für Zusammenbruch
Im Juni 2022 war der komplette Schweizer Luftraum stundenlang gesperrt. Ursache war laut einem Bericht unter anderem ein nicht ausgeführtes Firmware-Update.
Das Schweizer Digitalmagazin "Republik" veröffentlichte jetzt neue Recherche-Ergebnisse zu der stundenlangen Komplettsperrung des Schweizer Luftraums am 15. Juni dieses Jahres, welche die Flughäfen Zürich und Genf lahmlegte oder wie in Basel schwer im Betrieb beeinträchtigte. Tausende Passagiere waren teilweise den ganzen Tag über in Mitleidenschaft gezogen.
Ein "technisches Problem", sagte der Sprecher der Schweizer Flugsicherung Skyguide seinerzeit, war der Grund für die aus Sicherheitsgründen erfolgte Sperrung des gesamten Luftraums. Aber, wie die Republik nun herausfand, liegt in der Schweizer Luftüberwachung viel mehr im Argen als eine Störung in der technischen Infrastruktur. Laut dem Onlinemagazin "erfüllt die Schweizer Flugsicherung bei der Informationstechnik nicht einmal die Minimalanforderungen des Bundes für kritische Infrastruktur".
Fehlfunktion bei einem Switch
Es war "eine Premiere" in der hundertjährigen Geschichte der für die Schweiz zuständigen Flugsicherungsgesellschaft Skyguide. Vor allem aber war es "eine peinliche und historische Panne", so nannte es damals Skyguide-Chef Alex Bristol in einem Interview mit Watson. Ein Switch, der für die Datensendung vom einen zum anderen Computer zuständig ist, habe nicht funktioniert, formulierte es Bristol in dem Interview. "Der zweite, redundante Switch hat dies nicht realisiert und die Daten immer wieder zurückgeschickt", fasste es der Skyguide-CEO damals vorläufig und vereinfacht zusammen.
In Konsequenz konnte wegen des Switch-Vorfalls die Bodenkontrolle keine Flugplandaten der Flugzeuge mehr abrufen. Die Warnsysteme, die Konflikte zwischen Jets anzeigen, fielen aus. Der Notfallplan für einen solchen Fall lautet "Clear the Sky": Geplante Landungen von Maschinen in der Schweiz müssen im Ausland stattfinden, dabei muss der Schweizer Luftraum komplett umflogen werden, vorgesehene Linienflüge dürfen nicht mehr starten.
Was damals bei der Technik schiefging, ist immer noch Gegenstand einer laufenden Untersuchung seitens der Behörden, deren Resultate im Dezember vorliegen sollen, schreibt Republik in dem Bericht. Gleich zwei Aufsichtsbehörden – das Bundesamt für Zivilluftfahrt (Bazl) und das Departement für Verkehr, Umwelt, Energie und Kommunikation (Uvek) – befassen sich laut Republik immer noch mit der gravierenden technischen Panne. Und damit auch mit den IT-Systemen von Skyguide. Welche jedoch nur ein Bestandteil von insgesamt fünf Punkten der Gesamtmisere sind, die Republik jetzt aufzeigt.
Querelen um ein Firmware-Update
So war der angeblich kaputte Switch Nr. 9 des Herstellers Extreme Networks nicht wirklich kaputt, heißt es in dem Bericht, sondern es fehlte ihm lediglich ein Firmware-Update. Dem Magazin liegt eine vorläufige interne technische Analyse vom Juni 2022 vor, in der es pikanterweise heißt, dass der "defekte" Switch bereits zwei Tage zuvor eine Warnung anzeigte. Republik vermeldet: "Die damals anwesenden Technikerinnen stuften die Warnung als Fehlalarm ein. Auch die eingesetzten Überwachungswerkzeuge erkannten kein Problem."
Schuld am Ausfall des Switches soll laut der internen Analyse eine defekte Routing-Tabelle gewesen sein, welche eine aktuelle Beschreibung der Wege enthält, die Datenpakete durch ein IP-Netzwerk nehmen sollen. Das Firmware-Update hätte, so vermutet Republik, auch die Routing-Tabelle verbessert – und die Panne vielleicht verhindert. Wenigstens erfolgt – erst jetzt – das Update: Republik erhielt vom Skyguide-Management eine Bestätigung, dass das Update derzeit installiert werde: "Aktuell führen wir ein Firmware-Update durch, das bis Ende November abgeschlossen sein wird."
Ein unterbrechungsfreies Update einer Software im hochsensiblen Bereich der Flugsicherheit ist eine heikle Angelegenheit. So schreibt Republik, dass die Techniker der Flugsicherung das Firmware-Update bewusst noch nicht aufgespielt hatten. Sie bereiteten zwar die Aktualisierung vor, doch brauche diese in diesem Umfeld gehörige Zeit und bestehe aus einer Reihe komplexer Prozeduren.
Ein Dilemma im Alltag der Skyguide-IT, meint Republik: Einerseits will und muss die Flugsicherungsgesellschaft technisch auf voller Höhe sein. "Doch Softwareaktualisierungen kollidieren mit dem Anspruch, das System jederzeit zuverlässig ohne Unterbrüche zu betreiben."
Ungenaues Monitoring
Als zweiten problematischen Punkt in jener Nacht des leeren Himmels sehen die Republik-Autoren das fehlende Wartungspersonal – respektive Mangel an befugtem Personal. Deshalb dauerte wohl auch der Ausfall des Luftüberwachungssystems so lange. Ohne lizenziertes Fachpersonal in Zürich, das Nachtschichtdienst leistete, konnte das Problem mit einem Neustart verschiedener Switches erst gut vier Stunden später von einem lizenzierten Techniker mit regulären Arbeitszeiten gelöst werden.
Als dritte Problematik analysiert Republik eine fehlende Überwachung des Datenflusses. Es dauerte mehrere Tage, bis laut Republik der genaue Grund für die Panne identifiziert wurde. Schon Monate vor dem Systemzusammenbruch kritisierte eine Aufsichtsbehörde, die Eidgenössische Finanzkontrolle (EFK), dass es bei den Monitoringtools Ungenauigkeiten gebe und ein "Gesamtbild aus allen verfügbaren Daten" fehle, so Republik. Zwar fänden die meisten Mitarbeiter bei Skyguide die Digitalisierung und Zusammenführung verschiedener Systeme prinzipiell gut. Freilich erhöhe sich auch die Komplexität, und die Fehler- und Störanfälligkeit steige. "Vor 20 Jahren war alles isolierter, ein Ausfall eines technischen Systems hatte keine direkten Folgen für den Restbetrieb", hält der Präsident eines Berufsverbandes fest.
"Schwer durchschaubare IT-Überwachung"
Wie Republik schreibt, schlugen im September 2022 verschiedene Berufs- und Personalverbände sowie Gewerkschaften erneut Alarm: "Die Zahl der gemeldeten technischen Probleme ist sehr besorgniserregend", so die Verbände in einem internen Schreiben an das Management. Gleichentags verschickten die Verbände auch einen Brief an das Departement für Verkehr, Energie und Kommunikation (Uvek) und warnten erneut: "Schon seit längerem beobachten wir Signale, welche in technischer und operationeller Hinsicht beunruhigende Schwächen im System aufzeigen".
Dicke Post kam schon Monate zuvor von der erwähnten EFK, die sich bereits mehrfach kritisch zur IT-Infrastruktur von Skyguide äußerte. Die Republik konnte den bisher unveröffentlichten Bericht der Aufsichtsbehörde dank dem Öffentlichkeitsgesetz ungeschwärzt erhalten. Auch die EFK stellt darin zum Beispiel fest, dass in der "historisch gewachsenen Tool-Landschaft" zu viele verschiedene Monitoringtools verwendet würden. Was die Republik so interpretiert: Die Überwachung der IT-Systeme war schwer durchschaubar und im Notfall eher untauglich, da sie kein vollständiges Bild ergeben hat.
Fehlende Georedundanz – und die Cloud
Als weiteren wichtigen Punkt – der vierte – sieht der Republik-Report eine fehlende Georedundanz in der Schweizer Luftraumüberwachung, welche für die Westschweiz in Genf koordiniert wird, Zürich übernimmt die restliche Schweiz (der Flughafen Basel ist unter der Kontrolle von Frankreich). Nun sollen die beiden separaten Flugräume zu einem gemeinsamen virtuellen Raum zusammengeführt werden. Doch alle Server, die dafür nötig sind, stehen am gleichen Standort: in der Skyguide-Cloud in Dübendorf. Tritt dort aber ein Problem auf, geht im gesamten Schweizer Luftraum nichts mehr. Was am 15. Juni 2022 dramatisch deutlich wurde, denn die Daten konnten auch nicht mehr in die Romandie geroutet werden. Die Aufsichtsbehörde EFK bezeichnete in ihrem erwähnten Bericht die IT-Infrastruktur als eines der größten Risiken. Der Serverraum in Dübendorf wird darin als "single point of failure" bezeichnet.
Schließlich macht die Republik anhand des Themas Georedundanz ein gründliches Regulierungsdefizit aus. Schwierig auch, wenn sich die Aufsichtsbehörden selbst untereinander uneins sind. So ist für die Finanzkontrolle EFK die Georedundanz unabdingbar, für das Bundesamt für Zivilluftfahrt (Bazl) lediglich optional, schreibt Republik. Es sei Sache der Eigentümer, wie sie die IT-Sicherheitsinfrastruktur umsetzen würden, so eine Sprecherin des Bazl. "Der Entscheid, wie umfassend die Georedundanz ausgelegt sein muss, ist ein wirtschaftlicher", wird sie von Republik zitiert.
Verschiedene Politiker in Bern sind nun aufgeschreckt und wollen laut Republik nicht, dass ein derart wichtiges Sicherheitsthema alleine aus betriebswirtschaftlichen Gesichtspunkten betrachtet wird: "Wer will schon nach einem Vorfall vor die Kamera stehen und sagen: Ja, das war uns wirtschaftlich halt zu teuer."
(tiw)