«Clear the sky», sagte er am Mittwochmorgen um 14.45 Uhr im Skyguide Air Traffic Control Center. Kein einziges Flugzeug konnte mehrere Stunden über die Schweiz fliegen. Etwa 100 Flüge mussten umgeleitet, gestrichen oder verspätet gestartet werden. Tausende Passagiere saßen stundenlang an Schweizer Flughäfen fest.
Ursache des Chaos: Ein Netzwerk-Switch, eine grundlegende Hardwarekomponente, ist ausgefallen. Auch Sicherheitsschalter griffen nicht ein. Bisher konnte niemand die perfekte Lösung einsenden, was nicht verwunderlich ist.
Kündigungen sorgen für Sicherheit
Ein modernes Netzwerk gilt als solide, wenn es über Redundanz verfügt. Gemeint ist damit die bewusste Mehrfachinterpretation der technischen Komponenten. Nicht benötigte Einheiten im Normalbetrieb sollen ausgefallene Komponenten ersetzen. Netzwerk-Switches müssen nicht nur mit Computern, sondern auch untereinander verbunden werden. Ein Schalter muss in der Lage sein, den Ausfall eines anderen zu erkennen und das defekte Teil zu ersetzen.
Um zu verhindern, dass mehrere Geräte den gleichen Fehler haben, sollten Produkte verschiedener Hersteller verwendet werden. Auch zusätzliche Steuerungssysteme, die Netzwerkanwendungen kontinuierlich überwachen, sind möglich. Doch das sei teuer, sagt Laurent Vanbever (36), ausserordentlicher Professor für vernetzte Systeme an der ETH Zürich: «Je höher die Redundanz eines Systems, desto höher die Kosten für Komponenten, Wartung und Service.»
Erster Systemfehler seit fünf Jahren
Der defekte Netzwerk-Switch von Skyguide hatte sogar drei Security-Switches. Einer von ihnen habe in der Nacht zuvor eine Warnung gesendet, sagte Skyguide-Nachrichtenchef Klaus Meier, 57, gegenüber SonntagsBlick. “Das war kein Problem, weil die anderen beiden Schalter normal funktionierten.” Doch nach einer zweiten Fehlermeldung am nächsten Morgen brach der Datenfluss abrupt ab, ohne auf einen der Backup-Switches umgeleitet zu werden, obwohl diese reibungslos liefen.
Das System ist zusammengebrochen. Meier sagt: „Wir kapieren es nicht. Die Geräte arbeiten seit fünf Jahren zusammen.
Alle Netzschalter sind vom gleichen Hersteller. Chefinformatiker Meier weist darauf hin, dass die Suche nach der Ursache auf Hochtouren laufe. „In vielen Fällen verwenden wir verschiedene Anbieter, um die Redundanz zu erhöhen. Netzwerk-Switches sind jedoch, obwohl sie für ihre Funktion entscheidend sind, relativ unkompliziert im Aufbau. Deshalb unterscheiden sich die Komponenten von Hersteller zu Hersteller kaum“, erklärt er.
Im übrigen Netz wird verstärkt auf Risikostreuung geachtet: Das Unternehmen betreibt drei physisch voneinander völlig unabhängige Linien, die Genf mit dem Hauptsitz in Dübendorf ZH verbinden. Zur Übermittlung von Informationen werden verschiedene Technologien eingesetzt: vom dualen IP-Netz für digitale Datensätze bis hin zum analogen Notrufnetz.
Die letzte Sicherheitskontrolle war im April
Das Bundesamt für Zivilluftfahrt (BAZL) überprüft regelmässig die Sicherheit der Computersysteme von skyguide. Die letzte Untersuchung habe im April stattgefunden, schrieb die Behörde auf Anfrage von SonntagsBlick: „Die Flugsicherungs-Computersysteme von Skyguide erfüllen internationale und nationale Standards und behördliche Anforderungen.“
Dass es trotzdem zu Ausfällen kommen kann, liegt an der hohen Komplexität moderner Netzwerke, sagt Laurent Vanbever. „Das redundanteste System kann ausfallen. Das lässt sich nicht vermeiden.“ Umso wichtiger ist es nun, dass Skyguide die Ursache findet und Fehler in Zukunft durch den Einsatz geeigneter Kontrollsysteme vermeidet.
Skyguide ist in einem kritischen Umfeld tätig; Daher muss das System die höchsten Anforderungen erfüllen, die Computeranforderungen stellen. Denn im Ernstfall gehe es um Leben und Tod: „Die Zuverlässigkeit der Netzinfrastruktur ist entscheidend für die Sicherheit von Menschen.“