Mit dem Programm "Virtual Center" von Skyguide wird ein harmonisiertes Schweizer Flugverkehrsmanagementsystem und eine gemeinsame Plattform zwischen den wichtigen Standorten Wangen und Genf geschaffen. Das Programm hat ein Budget von 262 Millionen Franken und ist für die Jahre 2011 bis 2024 in drei Etappen aufgeteilt. Nach einer Überprüfung der zweiten Etappe ("VCT2") durch die Eidgenössische Finanzkontrolle (EFK) im Jahr 2019 folgte nun eine Nachprüfung der damals ausgesprochenen Empfehlungen.

Grundsätzlich zeigt sich die EFK nach der erneuten Prüfung zufrieden. Ein Teil der Empfehlungen sei bereits umgesetzt worden. Dazu gehören insbesondere verbesserte Kommunikationsmassnahmen und eine effizientere Arbeit mit dem externen Dienstleister. Es gebe einen regelmässigen Austausch, potenzielle Probleme könnten rechtzeitig angesprochen werden, so die EFK. Es sei aber wichtig, diese Anstrengungen aufrechtzuerhalten.

Im letzten Bericht hat die EFK festgehalten, dass sich mit dem Programm auch der IT-Betrieb wandelt. Dies ist offenbar nicht immer problemlos verlaufen.

Es seien neue Arbeitsmethoden eingeführt und gewisse Arbeiten ausgelagert worden, heisst es von der EFK. Vorfallsberichte hätten damals auf problematische Situationen in den Arbeitsabläufen hingewiesen, insbesondere an der Schnittstelle zwischen Dienstleister und internen Teams. Abläufe seien nur teilweise integriert gewesen, sodass gewisse Informationen manuell weitergeleitet werden mussten. Dies wiederum habe die Kontrolle erschwert. Auch habe es Unsicherheiten bei den Verantwortlichkeiten gegeben.

Die EFK habe Skyguide deshalb ferner empfohlen, ein Tool einzuführen, um Änderungen zu protokollieren, auch solche, die von Usern mit Admin-Rechten direkt an den produktiven Systemen vorgenommen werden. Diese Protokolle sollten in regelmässigen Abständen von den Leitern des IT-Betriebs überprüft werden. Skyguide "anerkennt, dass die Verwaltung der privilegierten Zugriffe einen wichtigen Beitrag zur Sicherheit des Betriebs" darstelle, so die Organisation in ihrer Stellungnahme im letzten Bericht. Die Empfehlung werde in der Security-Roadmap berücksichtigt.

Viele Massnahmen seien mittlerweile in die Wege geleitet worden, heisst es im Bericht zur Nachprüfung. Die Integration sämtlicher Komponenten in das Cyberabwehr-Zentrum sowie das Monitoring der Änderungen sind demnach auf gutem Wege. Doch die Arbeiten seien noch nicht abgeschlossen, halten die Prüfer fest.

Für die Überwachung von Änderungen hat Skyguide das "WAC-Verfahren" definiert, das den Arbeitsablauf definiert und verwaltet. Es solle sicherstellen, dass alle Beteiligten über Ereignisse informiert werden und der gesamte Lebenszyklus abgedeckt ist. Tests seien mittlerweile in diesen Prozess einbezogen, so die EFK. Fortschritte habe Skyguide auch bei der automatischen Protokollierung der Änderungen gemacht, die von Usern mit Admin-Rechten an den produktiven Systemen gemacht werden. Dasselbe gelte für die Überprüfung durch die Leiter des IT-Betriebs.

Aber bei der Integration der repetitiven Interventionen am Management-Tool für die Kontinuität der ICT, sprich dem IT Service Continuity Management, bleibe noch viel zu tun. Trotz der Fortschritte, so das Fazit der EFK, könne man nicht davon ausgehen, dass die Empfehlungen vollständig umgesetzt worden seien.

Aufgrund einer technischen Störung bei Skyguide war vergangenen Sommer der Schweizer Luftraum gesperrt worden. Ein anschliessender Bericht, der vom Uvek in den Auftrag gegeben wurde, kam zu ähnlichen Schlüssen wie die EFK.

Der Bericht listet mehrere Empfehlungen, wozu auch der Ausbau des Business Continuity Managements (BCM) gehörte, um die für die Flugsicherung kritischen Prozesse und Systeme besser zu schützen oder alternative Abläufe zu ermöglichen. Auch das Thema Kommunikation und Zusammenarbeit mit Externen findet sich in diesem Bericht wieder.