Standpunkte Was können wir von der Luftfahrtindustrie lernen?

Zunächst denkt man vielleicht daran, dass moderne Luftfahrzeuge fliegende Computer sind. Das ist aber nicht der Punkt, auf den es mir ankommt. Sowohl in der kommerziellen Luftfahrt als auch in der IT-Branche ist die Technik nur Mittel zum Zweck. Sie dient allein dazu, die eigentliche Aufgabe möglichst effektiv und effizient zu erfüllen. In der Luftfahrt ist das Ziel, mit dem Transport von Menschen und Gütern Gewinne zu erzielen. In anderen Bereichen ist die Gewinnschöpfung und -maximierung Ziel, sofern es sich nicht um Aufgaben des Gemeinwohls handelt, wie zum Beispiel bei staatlichen Einrichtungen oder Kommunen.

Die dafür erforderlichen (IT-)Sachmittel kosten Geld, binden Kapital und erfordern qualifiziertes Personal. Organisationstheoretisch handelt es sich bei den damit verbundenen Prozessen um Stützleistungen. Investitionen in diese bringen zunächst keinen unmittelbaren Vorteil in der Leistungserbringung – im Gegenteil, sie kosten Geld und die Einführung Zeit. Das Reduzieren dieser Aufwände ist, zumindest in der Luftfahrt, Ziel der Luftfahrzeughersteller. Sie versuchen, die Luftfahrzeuge so zu gestalten und zuzulassen, dass sie von möglichst vielen Piloten geflogen werden können – die Fluggesellschaften die Crews also je nach Bedarf zwischen den einzelnen Typen wechseln können. Sowohl in der Luftfahrt als auch der IT erfordern jedoch unterschiedliche Systeme unterschiedliche Trainings und gegebenenfalls unterschiedliches Personal.

Wenn Technik versagt – potenziell fatale Folgen

Auch wenn bislang in Deutschland kein Todesfall direkt auf den Ausfall eines IT-Systems zurückgeführt wurde, bleibt der Gedanke erschreckend real. Während des Angriffs auf das Lukas-Krankenhaus in Neuss diskutierte ich als polizeilicher Einsatzleiter mit meinem Team ein bedrückendes Szenario: Was, wenn ein Rettungswagen mit telemedizinischer Ausstattung aufgrund eines IT-Ausfalls ein entferntes Krankenhaus ansteuern muss, das die Patientendaten nicht empfangen kann? Die verlorene Zeit könnte für den Patienten lebensbedrohlich sein.

Der Verlust von Menschenleben durch technische oder organisatorische Fehler ist besonders tragisch. Dabei spielt es keine Rolle, ob die Ursachen technischer Natur sind oder auf Fehlentscheidungen beruhen.

Luftfahrt: Lernen aus Fehlern

Aus diesem Grund werden in der Luftfahrt Flugunfälle international gründlich untersucht. Die Ergebnisse fließen in umfassende Sicherheitsempfehlungen für unterschiedliche Beteiligte – Fluggesellschaft, Flugzeughersteller, Flugsicherung – und ganz häufig auch in das Training ein.

Als Ergebnis vieler Unfälle hat sich ein System etabliert, das – wenn auch nicht fehlerfrei – zuallererst der Sicherheit dient. Das Training der Piloten beinhaltet auch nach bestandener Prüfung jährlich zweimal eine Überprüfung im Simulator. Hier werden Notverfahren überprüft und erforderlichenfalls geübt.

Besonderes Augenmerk wird dabei auf die standardisierte Zusammenarbeit der Crew gelegt. Durch Crew-Resource-Management (CRM) werden die Handlungen der Besatzung optimiert und klare Rollenverteilungen und Aufgabenbereiche gewährleistet – entscheidend in stressigen Situationen: Unabhängig vom Rang (Kapitän oder Erster Offizier) werden die Rollen als fliegender und beobachtender Pilot festgelegt. Diesen Rollen sind feste Aufgaben zugeordnet. Die Rollen werden dabei nur gewechselt, wenn dies aufgrund unvorhergesehener Ereignisse oder zum Beispiel Besonderheiten eines Anfluges notwendig ist. Dadurch werden die klare Rollenverteilung und die Aufgabenzuweisung sichergestellt.

Checklisten und Memory Items – strukturierte Sicherheit

In Luftfahrzeugen ist (fast) alles in Checklisten geregelt. Bestimmte Parameter und Aktionen müssen laut angesagt und bestätigt werden. Als Privatpilot habe ich mir dies auch zu eigen gemacht und Dinge laut ausgesprochen, auch wenn ich allein unterwegs war. Es fokussierte mich auf genau auf die wichtigen Dinge. Funktionieren die wichtigen Instrumente? Sind alle Schalter richtig gesetzt? In einem Team ist dies noch einmal um vieles wichtiger, um ein gemeinsames Bild und die gleichen Informationen zu haben.

In besonders kritischen Situationen ist sofortiges Handeln ohne das Lesen von Checklisten zwingend notwendig. Aus diesem Grund gibt es hier eine begrenzte Anzahl sogenannter Memory Items – Handlungen, die sofort aus dem Gedächtnis ausgeführt werden müssen. Auch hier ist wichtig, dass zunächst die Situation von beiden Piloten analysiert und bewertet wird – das Abstellen des falschen Triebwerks bei einem Triebwerksbrand könnte sich als fataler Irrtum erweisen. Erst nach dem Bewerten der Situation und dem Erledigen dieser Schritte wird die Checkliste abgearbeitet. Dies ist genau einer der Abläufe, die im Simulator überprüft werden. Der wichtigste Grundsatz der Priorisierung steht dabei aber über allem: Aviate – Navigate – Communicate! Das Luftfahrzeug sicher in der Luft zu halten, um die Lage zu bewältigen, ist oberstes Gebot. Erst dann wird mit der Bearbeitung des Fehlers begonnen.

Ein tragisches Beispiel: Lion Air Flug 610

Welchen Unterschied es macht, das Gelernte verinnerlicht zu haben und anzuwenden, zeigt der Absturz des Fluges Lion Air 610 am 29. Oktober 2018. 189 Menschen verloren dabei ihr Leben. Dieser Unfall hatte – wie die meisten Unfälle – mehrere Ursachen und mehrere Punkte im Ablauf, in denen die Kette hätte unterbrochen werden können. Diese Frage beleuchte ich in einem anderen Artikel.

Das sehr neue Fluggerät hatte einen technischen Defekt, der bereits vor dem verunfallten Flug mehrfach auftrat. Dabei stellte der als Pilot Flying fungierende Kapitän fest, dass seine Instrumente unzuverlässige Werte anzeigten. Gemeinsam mit dem ersten Offizier analysierte er die Situation und identifizierte seine Anzeige als die defekte. Er übertrug dem ersten Offizier die Führung der Maschine und übernahm die Rolle des Pilot Monitoring. Die Memory Items für dieses Ereignis (insgesamt vier) wurden ausgeführt und anschließend die erforderlichen Checklisten abgearbeitet. Aufgrund zusätzlich auftretender Symptome eines nicht dokumentierten Systems traten andere Symptome hinzu, die durch die Crew identifiziert und entsprechend bearbeitet wurden. In allen Fällen landete die Maschine sicher und wurde der Wartung zugeführt. Das CRM funktionierte hier.

Beim letzten Flug der Maschine erfolgte das Identifizieren des Fehlers ebenfalls, jedoch wurden die erforderlichen Schritte nicht in der erforderlichen Konsequenz eingeleitet: Die Übergabe der Steuerung erfolgte nicht eindeutig. Memory Items wurden nicht richtig abgearbeitet. Das waren Defizite, die sich bei einzelnen Crewmitgliedern bereits im Training manifestiert hatten.

IT-Sicherheit: Die Lehren der Luftfahrt

Was hat das nun mit der IT-Sicherheit zu tun? In der Luftfahrt werden Unfälle untersucht, um für die Zukunft Lehren zu ziehen und die Sicherheit zu verbessern. Die Berichte werden veröffentlicht, sodass sie allgemein zugänglich sind und ausgewertet werden können. Dabei werden diese Unfälle von einer unabhängigen Stelle untersucht, um die Ereignisse möglichst neutral zu erfassen. Es werden Ursachen dargestellt und Empfehlungen ausgesprochen. Was diese Unfallberichte nicht feststellen, ist die Schuld von Beteiligten.

Bei IT-Sicherheitsvorfällen ist häufig eine der schnell gestellten Fragen nicht die nach dem „Warum?“, also der Ursache, sondern dem „Wer ist schuld?“. Dadurch ist oft die Versuchung groß, Sicherheitsvorfälle unter den Teppich zu kehren und auch das Management oder Verantwortliche erst zu informieren, wenn es eigentlich schon (fast) zu spät ist. Eine lernende Organisation und eine gute Fehlerkultur sind hier besonders wichtig. Sie bereiten den Boden für eine vertrauensvolle Zusammenarbeit. Sicherlich gibt es auch Fehler, die letztendlich personelle Konsequenzen haben können und müssen. Aber diese Konsequenzen können auch heißen: Training, Weiterbildung, Förderung.

Die Bewältigung von kritischen Situationen basiert im Cockpit auf einer klaren Rollenverteilung und Aufgabenzuweisung. Diese Vorbereitung erfolgt systematisch bereits in der Ausbildung und im Training. Der Wissensstand wird regelmäßig im Simulator überprüft.

Sind Sie vorbereitet?

Haben Sie einen Notfallplan? Kennen Sie Ihre kritischen Prozesse? Kennen Sie Ihre Kronjuwelen? Wissen Sie, welche Aufgabe Sie in einer kritischen Situation oder in einem Krisenfall haben, welche Mittel und Personen Sie dafür brauchen und wie Sie diese erreichen? Wann haben Sie das letzte Mal einen kritischen Ausfall oder eine Krisensituation geübt?

In Behörden mit Ordnungs- und Sicherheitsaufgaben (BOS) werden solche Szenarien kalendermäßig vorbereitet. Es gibt Einsatzakten, Alarmierungslisten und sogenannte Planentscheide – das heißt Entscheidungen, die basierend auf Annahmen und Erfahrungen vorbereitet sind und nur noch an die jeweilige Situation angepasst werden müssen. Dies schafft für die handelnden Personen Handlungssicherheit und Zeit, da sie auf in ruhigen Zeiten erarbeitetes Wissen zurückgreifen können.

Zum Abschluss ein Gedanke, der mir immer in Erinnerung bleibt: FEHLER sind HELFER, nur anders buchstabiert!

Dirk Kunze ist seit 2015 Leiter der Ermittlungen Cybercrime Landeskriminalamt Nordrhein-Westfalen. Sein Interesse gilt auch außerhalb des Dienstes der Cybersicherheitsforschung. In verschiedenen Publikationen beleuchtete er unterschiedliche Themenfelder und unterstützt als Gründer des Cyber Resilience Lab Unternehmen und Kommunen mit seinen Erfahrungen, Workshops und Forschungsergebnissen.