«Clear the sky», sagte er am Mittwochmorgen um halb vier in der Flugsicherungszentrale von Skyguide. Mehrere Stunden lang durfte kein Flugzeug die Schweiz überfliegen. Rund 100 Flüge mussten umgeleitet, gestrichen oder verspätet werden. Tausende Passagiere saßen stundenlang an Schweizer Flughäfen fest.
Ursache des Chaos: Fehlerhafter Netzwerk-Switch, wichtige Hardwarekomponente. Ersatzschalter störten auch nicht. Im Moment ist auch bei Skyguide nicht klar, warum das System nicht funktioniert.
Die Schnitte garantieren Sicherheit
Ein modernes Netz gilt als solide, wenn Überschüsse vorhanden sind. Das bedeutet bewusste Mehrfachinterpretationen technischer Komponenten. Im Normalbetrieb redundante Geräte sind dafür ausgelegt, beschädigte Komponenten zu ersetzen. Netzwerk-Switches müssen nicht nur mit Computern, sondern auch untereinander verbunden werden. Der Schalter muss in der Lage sein, Schäden an einem anderen zu erkennen – und das defekte Teil auszutauschen.
Um den gleichen Fehler auf mehreren Geräten zu vermeiden, müssen Produkte unterschiedlicher Hersteller verwendet werden. Auch zusätzliche Managementsysteme sind möglich, die die Netzwerkapplikationen ständig überprüfen. Aber es ist teuer, sagt Laurent Vanbever, 36, ausserordentlicher Professor für Netzwerksysteme an der ETH Zürich: «Je höher die Reservierung eines Systems, desto höher die Kosten für Komponenten, Wartung und Service.»
Der erste Fehler im System seit fünf Jahren
Der defekte Skyguide-Netzschalter hatte sogar drei Ersatzschalter. Einer von ihnen habe in der Nacht zuvor eine Warnung gesendet, sagte Klaus Meyer, 57, Chief Information Officer von Skyguide beim SonntagsBlick. “Das war kein Problem, weil die anderen beiden Schalter normal funktionierten.” Doch nach einer zweiten Fehlermeldung am nächsten Morgen wurde der Datenfluss abrupt gestoppt, ohne auf einen der Backup-Switches umgeleitet zu werden – obwohl diese reibungslos liefen.
Das System ist abgestürzt. Mayer sagt: „Wir verstehen das nicht. Die Geräte arbeiten seit fünf Jahren zusammen. Es hat noch nie einen Fehler gegeben.”
Alle Netzwerk-Switches sind vom selben Hersteller. Chef-IT-Spezialist Meyer betont, dass die Suche nach der Ursache auf Hochtouren laufe. „In vielen Fällen nutzen wir verschiedene Anbieter, um Entlassungen zu erhöhen. Netzwerk-Switches sind jedoch, obwohl sie in ihrer Funktion von entscheidender Bedeutung sind, relativ einfach im Design. Deshalb unterscheiden sich die Komponenten von Hersteller zu Hersteller kaum“, erklärt er.
Im übrigen Netz wird verstärkt auf Risikostreuung geachtet: Das Unternehmen betreibt drei physisch voneinander völlig unabhängige Linien, die den Hauptsitz in Genf und Dübendorf ZH verbinden. Zur Übermittlung von Informationen werden verschiedene Technologien eingesetzt, von einem dualen IP-Netz für digitale Datensätze bis hin zu einem analogen Notfallnetz.
Die letzte Sicherheitskontrolle war im April
Das Eidgenössische Luftfahrtamt (BAZL) überprüft regelmässig die Sicherheit der IT-Systeme von skyguide. Die letzte Untersuchung wurde im April durchgeführt, so die Anfragestelle von SonntagsBlick: “Die IT-Systeme von Skyguide für die Flugsicherung erfüllen internationale und nationale Standards und regulatorische Anforderungen.”
Dass es dennoch zu Schäden kommen kann, liegt an der hohen Komplexität moderner Netze, sagt Laurent Vanbever. „Das redundanteste System kann ausfallen. Das lässt sich nicht verhindern.“ Umso wichtiger ist es für Skyguide, die Ursache zu finden und zukünftige Fehler durch den Einsatz geeigneter Managementsysteme zu vermeiden.
Skyguide agiert in einem kritischen Umfeld – deshalb muss das System höchsten Ansprüchen genügen, verlangt einen Informatiker. Denn im Notfall gehe es um Leben und Tod: „Die Zuverlässigkeit der Netzinfrastruktur ist entscheidend für die Sicherheit der Menschen.“
Add Comment