Manfred Kloiber: Welche Bedeutung hat dieses Jahrestreffen der Informatiker denn, Peter Welchering?
Peter Welchering: Ich denke, man muss der Jahrestagung der Gesellschaft für Informatik gleich drei Bedeutungen zu sprechen. Es ist zum einen natürlich so eine Art Familientreffen der Informatiker und Computerwissenschaftler. Dann ist da aber der Tag der Informatik, das war am Mittwoch, auch noch immer so ein Stück weit Außenwirkung. Der da soll die Relevanz der Informatik führt die Gesellschaft in die Politik und in die Öffentlichkeit getragen werden. Und die Jahrestagung ist auch nach wie vor immer noch so eine Art Börse zum Austausch von Forschungsergebnissen.
Kloiber: Welche Bedeutungen haben denn die unterschiedlichen Schwerpunktthemen?
Welchering: Diesmal stand die Jahrestagung unter dem Motto "beherrschbare Systeme", übrigens dann auch mit dem Zusatz "dank Informatik", das weist schon darauf hin, dass es nicht nur um Informatik geht, sondern um alle Informatiksysteme, die auch so genannt "eingebettet" sind. Und mit diesem Tagungsmotto wollten die Informatiker auf ein Problem hinweisen, dass eben für unsere Gesellschaft ganz wichtig ist. Und das heißt in diesem Jahr, je komplexer die Systeme werden, umso wichtiger ist es eben auch, dass ihre Beherrschbarkeit sichergestellt ist. Und da haben sie zunächst einmal eine Bestandsaufnahme gemacht, wo stehen wir denn in Sachen Beherrschbarkeit, und sie haben einen Ausblick gegeben, wo müssen wir noch Hausaufgaben machen, damit Systeme sicher und beherrschbar sind.
Kloiber: Beherrschbarkeit von Informationstechnik war in dieser Woche das Thema der Gesellschaft für Informatik. Immer wieder sind wir mit schweren Softwarefehlern konfrontiert, die zu unbeherrschbaren Stromausfällen, zu stillgelegten Autos oder ausgebremsten U-Bahnen führen. Professor Stefan Jähnichen, Präsident der Gesellschaft für Informatik hat denn auch anlässlich der Jahrestagung in München warnend den Finger gehoben.
"Software lässt sich eben nicht so einfach programmieren, sondern man muss sich schon immer ein bisschen Gedanken machen, wie man eine Software vernünftig strukturiert, wie man eine Architektur für eine Software entwickelt, so dass man dann ein System hat, das macht, was es tun soll und nicht ganz was anderes."
Wenn Computer und Steuerungssysteme etwas ganz anderes machen als sie sollen, dann sind sie nicht mehr beherrschbar. Wie aber komplexe Systeme beherrschbar bleiben, das haben rund 1000 Computerwissenschaftler auf der Jahrestagung der Gesellschaft für Informatik in München, die in diesem Stunden zu Ende geht, intensiv diskutiert. Ein Ergebnis dieser Diskussion erstaunt vielleicht zunächst ein wenig: Wir müssen uns zunächst darüber verständigen, was wir genau meinen, wenn wir von "beherrschbaren Systemen" sprechen, meint der Informatik-Professor Axel Lehmann von der Universität der Bundeswehr in München
"Es ist ja sehr vielfältig, was wir unter Beherrschbarkeit verstehen. Es ist der Aspekt beispielsweise Sicherheit selbst, Zuverlässigkeit, Vertrauenswürdigkeit, aber auch Aspekte wie Wirtschaftlichkeit, Energieeffizienz. Also das alles zählt zum Aspekt der Beherrschbarkeit."
Beherrschbare Systeme müssen sich genauso verhalten, wie wir das von ihnen erwarten. Sie dürfen nicht von Unberechtigten missbraucht werden. Und sie müssen im Unterhalt erschwinglich bleiben. Denn was nützt eine vollkommen sichere Software für die Motorsteuerung eines PKW, wenn sie niemand bezahlen kann. Robust und transparent müssen solche informationstechnischen Systeme sein. Weil aber kein Softwareentwickler zum Beispiel bei den Programmen für einen Autopiloten das gesamte Programmsystem mehr überblicken kann, müssen Computer selbst für die notwendige Transparenz sorgen. Supercomputerentwickler zeigen, wie das funktionieren könnte, meint der Großrechnerexperte Professor Heinz-Gerd Hegering.
"In der Tat ist es so, dass wir Systeme bauen können, wo noch nicht alle Fragestellungen geklärt sind. Das ist wahr. Das Zweite ist, dass wir uns zunehmend damit beschäftigen müssen, dass wir Teile des Managements solcher Systeme automatisieren. Das bedeutet aber, dass die dahinter liegenden Prozesse gut verstanden werden, so dass wir dann Ausschnitte nehmen können, die wir dann durch die Maschine selbst wieder automatisieren lassen können."
Computer sorgen dafür, dass informationstechnische Systeme beherrschbar bleiben. Doch dann muss auch dafür gesorgt werden, dass diese Computer nicht missbraucht werden können. Kriminelle wollen Rechnernetze und Systeme kapern, um sich zu bereichern. Hacker wollen zeigen, dass nur sie ein System wirklich beherrschen. Deshalb muss der Systemadministrator dafür sorgen, dass sein System nicht missbraucht wird. Eine schwierige Aufgabe sei das, meint der Algorithmiker Christian Scheideler.
"Im Prinzip ist es schon ein Rüstungswettlauf. Denn wenn sie eine formale Analyse des Missbrauchs betreiben wollen, müssen Sie natürlich Modelle bilden, Missbrauchsmodelle formulieren und Sie werden nie in der Lage sein, sämtliche theoretische Möglichkeiten da unter einen Hut zu bekommen. Sie werden sich immer nur auf bestimmte Aspekte des Missbrauchs beziehen können und hierfür dann Lösungen entwickeln können."
Ganz wichtig ist es deshalb, aus vergangenen Pannen und Missbrauchsattacken zu lernen - um für die Zukunft gewappnet zu sein. Denn nur dann können Computerwissenschaftler und Entwickler Modelle für beherrschbare Systeme bilden.
Absturzgefahr
Warum IT-Gross-Projekte wie Gesundheitskarte oder Steueridentifikationsnummer zu scheitern drohen
Die Beherrschung über IT-Systeme verlieren viele Entwickler nicht erst im wirklichen Betrieb. Etliche IT-Projekte, besonders die ganz großen der öffentlichen Hand geraten schon in der Planungs- und Umsetzungsphase völlig außer Kontrolle. LKW-Maut, Hartz-IV-Software oder der Digitalfunk für Behörden und Sicherheitsorgane – überall gab es Verzögerungen, Softwareabstürze, Fehler in der Projektsteuerung und politische Querelen.
Auch das Projekt Steueridentifikationsnummer ist zwischen einigen Bundesländern und der Bundesregierung heftig umstritten. Georg Fahrenschon, Staatssekretär im bayerischen Finanzministerium merkte auf der Informatiker-Tagung in München bezüglich der Steuer-ID an:
"Da müssen wir Ängste abbauen. Wir müssen aber auch sauber arbeiten. Ich will mal an dieser Stelle sehr deutlich sagen, dass es für uns schon ein Ärgernis ist, in einem Projekt, das der Bund zu verantworten hat, dass wir jetzt mannigfach das Problem haben, dass Menschen, die vor 1945 geboren wurden, auf einmal mit falschen Daten versorgt werden."
Manfred Kloiber: Auch das Projekt Gesundheitskarte ist auf der GI-Tagung heftig und kontrovers diskutiert worden. Die Informatiker machen der Politik kräftige Vorwürfe. Was genau wurde denn an der Gesundheitskarte bemängelt, Peter Welchering?
Peter Welchering: Naja, ganz klar auf den Punkt gebracht: Sie ist einfach noch nicht praxistauglich. Das hätte aber vermieden werden können. Die Informatiker haben in München einen regelrechten Politiker-Tourismus beklagt. Alle möglichen Konferenzen zur Gesundheitskarte würden derzeit veranstaltet und besucht werden von den Politikern, nur die Fachleute, die fühlen sich ein wenig außen vor. Und das hat damit zu tun, dass die ursprünglich einmal geplanten "100.000er Tests", also Feldtests unter wirklich realen Bedingungen für die Gesundheitskarte, eben nicht stattgefunden haben. Im Augenblick kann niemand sagen, ob die Gesundheitskarte überhaupt praxistauglich ist. Auch die Online-Anbindung von Ärzten, Apotheken und Krankenkassen, das ist ja für die Gesundheitskarte unverzichtbare Vorraussetzung, diese Anbindung ist überhaupt noch nicht sichergestellt. Und damit ist auch eines der Kernelemente der Gesundheitskarte, nämlich das elektronische Rezept, noch nicht einsatzbereit.
Kloiber: Und gab es überhaupt keine Simulation, um auszuprobieren, ob elektronische Rezepte denn funktionieren?
Welchering: Es gab lediglich theoretische Simulationen, mehr oder weniger theoretisches Simulationen, aber eben keine belastbaren und ausreichend großen Feldtests, kleinere indes schon, die sind schnell nachgeschoben worden. Und das ist eben auch in München heftig kritisiert worden. Jedes IT-System muss umfangreich und unter echten Betriebsbedingungen getestet werden. Das ist aber bei der Gesundheitskarte eben nicht passiert. Verschärft wird die Situation noch dadurch, dass auch das Anforderungsmanagement bei der Gesundheitskarte nicht stimmte zu Beginn des Projektes. Die Anforderungen an das IT-System Gesundheitskarte waren völlig unzureichend und diese Anforderungen sind im Laufe der politischen Diskussion immer wieder erweitert worden. Die Chancen stehen deshalb nicht schlecht, weil da jetzt unterschiedliche Anforderungen nebeneinander stehen, dass dann auch das IT-Projekt Gesundheitskarte richtig schön floppen wird.
Kloiber: Staatssekretär Fahrenschon hat bemängelt, dass bei der Steuer-Identifikationsnummer mit falschen Daten gearbeitet wurde. Was ist den da passiert?
Welchering: Da wurden Bürger mit falschen Geburtsnamen oder falschen Vornamen versehen oder das Geburtsdatum stimmte vielfach nicht. Geburtsorte wurden ins Ausland verlegt, so liegt Hamburg etwa laut dem Bundeszentralamt für Steuern in Kasachstan. Unter Steuernummern sind haufenweise falsch zugeordnet worden, teilweise auch mehrfach vergeben worden. Das Bundesfinanzministerium schweigt zu diesen Vorwürfen bisher hartnäckig, gibt sie zu, will aber nicht sagen, was da schief gelaufen ist. Man prüft noch. Immerhin konnte man so viel heraus bekommen, dass die Daten-Übergabeprozeduren von den Melderegistern der Kommunen, das sind 5300, an das Bundeszentralamt fehlerhaft waren. Die werden jetzt auch korrigiert, und auch das wurde übrigens ganz übereilt gemacht. Da wurde übereilt ein Projekt aufgesetzt, wie diese Korrektur dann im einzelnen vonstatten gehen soll. Das ist nicht in allen Punkten klar. Die Anforderungen waren und bei dieser Steueridee - und sind sie jetzt auch bei den Datenprozeduren - nicht ganz klar und ausreichend formuliert und die Datenübergabeprozeduren sind vor allen Dingen auch nicht ausreichend getestet worden. Also das sind eigentlich typische Anfängerfehler, die ein Informatiker eigentlich spätestens ab dem zweiten Semester vermeiden sollte. Und das ist dann natürlich ganz heftig bei den alten Fahrenleuten, die da in München auf der Jahrestagung versammelt waren, kritisiert worden.
Zukunftssicher
Online-Algorithmen rechnen mit dem Unerwarteten
In der klassischen Softwareentwicklung gehen die Programmierer meist davon aus, dass ihr Entwurf alle relevanten Daten berücksichtigt, und setzen voraus, dass sie alle Zustände bereits kennen, mit denen das System fertig werden muss. In der Praxis führt das dann oft zu Programmabstürzen, im schlimmsten Fall sogar zum Zusammenbruch der Systeme. Online-Algorithmen können hier Abhilfe schaffen.
Susanne Albers von der Universität Freiburg erklärt, was es mit den Online-Algorithmen auf sich hat:
"Man sollte zunächst einmal vorausschicken, dass Algorithmen Verfahren sind, die angeben, wie man ein gegebenes Problem mit einem Computer lösen kann – praktisch so ein Kochrezept für einen Computer. Online-Algorithmen sind hier Strategien, die mit dem Handikap fertig werden müssen, die Zukunft nicht zu kennen. Das heißt man kennt eigentlich den gesamten Input, auf dem ein Algorithmus arbeitet, nicht im Vorhinein, sondern relevante Eingaben treffen nach und nach im Laufe der Zeit ein. Und so ein Algorithmus, eine Strategie muss mit dem Handicap fertig werden, eben die Zukunft nicht zu kennen."
Online-Algorithmen bewältigen auch Situationen, die beim Entwurf der Software von den Entwicklern noch gar nicht vorgesehen waren. Deshalb kalkulieren diese Algorithmen auch ständig mit dem größten anzunehmenden Unfall. Worst-Case-Szenarien nennen die Informatiker das. Dahinter steckt die Überlegung, dass Computer- und hochkomplexe Softwaresysteme dann beherrschbar bleiben, wenn sie in der Lage sind, völlig unvorhergesehene Ereignisse und Systemzustände einzuordnen und zu bearbeiten, sie "abzufangen", wie die Softwareingenieure das auch gern nennen. Online-Algorithmen müssen deshalb lernfähig sein. Susanne Albers.
"Man kann sagen, alle Strategien oder sagen wir mal so, sehr viele Strategien im Online-Bereich versuchen aus der Vergangenheit zu lernen. Dabei ist es so, dass man eher aus der nahen Vergangenheit lernt, also eigentlich das was gerade unmittelbar war. Man zeichnet keine Historie von Tagen oder Wochen auf, sondern es geht um Sekunden, um den Millisekundenbereich. Es stimmt, die sehr guten Strategien in der Praxis ziehen im Prinzip Kenntnis aus der unmittelbaren Vergangenheit, das kann man im Prinzip als lernen auffassen."
Deshalb sind Online-Algorithmen auch in fast allen Anwendungsbereichen einsetzbar. In der Software für die Unternehmenssteuerung genauso wie in der Robotik, in der Verwaltung großer Data Warehouses und im Betrieb sehr großer Netzwerke, wie zum Beispiel des Internets.
"Dort ist das Anliegen, den Datenfluss so gut wie möglich aufrecht zu erhalten. Ein Router und ein Switch leitet Datenpakete, die in einem Netzwerk versandt werden, zu den korrekten Zieladressen, und wenn das Datenaufkommen, man kennt das vielleicht, sehr groß ist, dann kann so ein Switch nicht alle Datenpakete zeitgerecht verarbeiten. Es kommt zum Paketverlust, und diesen Paketverlust möchte man reduzieren."
Online-Algorithmen entwickeln dabei Strategien, die sicherstellen, dass möglichst wenig Datenpäckchen verloren gehen und dass möglichst wenig Daten neu versendet werden müssen. Sie nutzen dabei die Router- und Switch-Ressourcen, die in einem Netzwerk zur Verfügung stehen, so dass Datenpäckchen möglichst schnell vom Sender zum Empfänger gelangen. Gleichzeitig haben Online-Algorithmen auch Strategien auf Lager, um den Betrieb selbst bei Netzwerkausfällen weiterhin aufrecht erhalten zu können.
Als im April dieses Jahres am neu gebauten Terminal fünf des Flughafens London Heathrow die Gepäckanlage versagte, waren Softwareprobleme dafür verantwortlich. Um die riesigen Kofferberge abzuarbeiten, die sich durch die Panne auftürmten, brauchten Flughafenmitarbeiter einige Wochen. Peter Trautmann vom Flughafen München hat auf der Jahrestagung der GI die komplexen Anforderungen an Softwaresysteme in Flughäfen genau beschrieben. Zur Gepäckkatastrophe in London meint er:
"Hundertprozentig auszuschließen sind diese Dinge nicht. Man versucht es auszuschließen, aber selbst bei der Inbetriebnahme von unserem Terminal zwei mit der sehr modernen Gepäckanlage hier am Münchner Flughafen hatten wir Rückfallstufen und hatten entsprechendes Personal beigestellt, um sicherzustellen, wenn am ersten Tag die Anlage ausfallen sollte, dass der Betreib entsprechend weitergehen sollte. Das wurde in London nicht gemacht. Aber die Ausfallsicherheit hundertprozentig bei den Systemen darstellen zu könne, ist nach wie vor unmöglich."
Zwei bis drei Mal im Jahr kommt es auch am Flughafen in München zu Ausfällen. Peter Trautmann hat nachgeforscht, was genau zu den Systemabstürzen geführt hat.
"Unserer Erfahrung nach hat es immer nur Probleme dann gegeben, wenn neue Softwaresysteme eingespielt wurde, das heißt, wenn am System gearbeitet wurde, dann war immer die Gefahr am größten , dass irgendwas kippt oder umfällt, denn bei der Neuinstallierung an gewisse Dinge nicht gedacht wurde, die irgendwo Auswirkungen haben."
Daraus leiten die Experten drei Forderungen ab: Die Anforderungsanalyse muss auch bei so genannten Software-Updates genauer werden. Die Testverfahren für Programme müssen unbedingt um wirklichkeitsnahe Simulationen ergänzt werden. Und die Softwaretechnologie muss viel stärker als Querschnittstechnologie verstanden werden, die exakt definierte Schnittstellen zu den anderen Ingenieurdisziplinen anbietet. Gerade hier aber zeichnet sich bei den Softwaretechnologen ein Problem am Arbeitsmarkt ab. Es gibt nicht mehr genügend Spezialisten. Und aktuell werden viel zu wenig Softwareingenieure ausgebildet. Hier haben die Informatiker von ihrer Jahrestagung in München einen klaren Hilferuf an die Bildungspolitiker losgeschickt. Ob er dort ankommen wird, ist eine andere Frage.
Damit die Systeme beherrschbar bleiben, müssen sie sicher sein. Darauf hat auch GI-Präsident Stefan Jähnichen hingewiesen. Allerdings stellt sich dann auch sofort die Frage, welcher Grad der Sicherheit erreicht werden kann. Professor Jähnichen sieht das so.
"Ob man dahin kommt, dass man solche Systeme hundert Prozent sicher macht, na ja, möchte ich vielleicht bezweifeln. Aber sie sollten eben im Rahmen auch unserer anderen technischen Systeme so sicher sein, dass ich nicht nur aus statistischen Überlegungen heraus solch ein System noch benutze, sondern auch überzeugt davon bin, dass die Funktionalität einfach stimmt."
Schutzlos in Europa
Kritische Infrastrukturen sind leicht zu manipulieren
Damit die Funktionalität stimmt, darf sie nicht missbraucht werden. Das ist insbesondere bei so genannten kritischen Infrastrukturen, wie der Verkehrssteuerung, der Stormversorgung oder den Bankensystemen ganz wichtig. Mit Trojanischen Pferden, Hackerangriffen und anderer Schadsoftware finden hier allein in Deutschland jedes Jahr rund 60.000 Angriffe auf kritische Infrastruktur statt.
Manfred Kloiber: Wichtige elektronische Infrastruktur soll nun besser geschützt werden, hat die Bundesregierung entschieden. Wie ist dieser Kabinettsbeschluss denn in München diskutiert worden, Peter Welchering?
Peter Welchering: Ausgesprochen zwiespältig wurde er diskutiert. Insgesamt beherrschte natürlich so ein bisschen die Diskussion, es ist gut, dass die Politik sich dieser Problematik endlich einmal annimmt, da muss etwas geschehen, hier sind wir teilweise doch wirklich sehr schutzlos einfach den Dingen ausgeliefert. Aber wenn es dann in das Detail geht, da ist dann doch sehr kritisch bewertet worden. Denn die Beherrschbarkeit von kritischen Infrastrukturen ist ja eine interdisziplinäre Angelegenheit. In den Regierungspapieren vermissen die Experten genau diese Interdisziplinarität und sie bemängeln, dass die einzelnen Systeme und dass die kritischen Infrastrukturen, also Bankensysteme, Stromnetz, Telekommunikationsnetze, Verkehrssteuerung, dass die jeweils isoliert betrachtet werden in den Papieren. Und so sind dann auch die berühmten Domino-Effekte gerade nicht beherrschbar. Und so ein Domino-Effekt entsteht, wenn etwa ein Anschlag auf das Telekommunikationsnetzen bewirkt, dass die Steuerungsbefehle für das Stromnetz nicht mehr weitergegeben werden können. Daraufhin steigt dann das Stromnetz aus und das führt dazu, dass die Bankensysteme dann beispielsweise mangels Strom über viele Stunden einfach nicht funktionieren. Die Leute können dann kein Bargeld mehr abheben, die Geldautomaten sind ausgefallen, und genau dieser Domino-Effekt muss ausgeschlossen werden. Oder insgesamt, diese Domino-Effekte müssen beherrschbar bleiben. Und das lässt sich nur mit einer vernetzten Sichtweise lösen und die ist in den Regierungsplänen eben deutlich unterentwickelt.
Kloiber: Beschreiben Sie doch einmal die größten Gefahren bei Angriffen auf kritische Infrastrukturen.
Welchering: Die ganz großen Gefahren liegen eindeutig an den Schnittstellen. Die verschiedenen Infrastrukturen wie zum Beispiel Verkehrssystem, Telekommunikationssystem, Energie, die sind ja alle miteinander vernetzt. Aber die sind eben nicht durchgängig vernetzt, sondern immer an so einer Schnittstelle - also es gibt Austauschstellen, die Daten und Informationen übergeben. Und wenn an so einer Schnittstelle, an der zwei oder mehreren dieser Infrastruktursysteme aufeinander treffen, wo die vernetzt sind, ein Angriff stattfindet, dann werden auch mehrere Systeme auf einmal lahm gelegt. Deshalb müssen diese Schnittstellen besonders geschützt werden und hier müssen auch Frühwarnsysteme her. Diese Frühwarnsysteme müssen schon bei einer ganz auffälligen Häufung von irgendwelchen merkwürdigen Vorkommnissen, etwa Denial of Service-Attacken oder Virenangriffen, sofort Alarm schlagen. Und sie müssen so früh Alarm schlagen, dass dann auch eingegriffen werden kann, bevor diese Attacken sozusagen eine kritische Größe erreichen und dann eben wirklich gefährlich werden.
Kloiber: Wie kann denn der Balanceakt zwischen Sicherheitsanforderungen wie der Überwachung und elementaren Grundrechten wie der Privatsphäre im Netz oder dem Recht auf informationelle Selbstbestimmung ohne Absturz gelingen?
Welchering: Indem beispielsweise Frühwarnsysteme und Überwachungssysteme transparent bleiben. Das klingt zunächst einmal ein bisschen theoretisch, hat aber sehr praktische Konsequenzen. Und das ist auch die große Lehre, die aus der gesamten Open-Source-Bewegung gezogen werden kann. Denn eine wesentliche Voraussetzung von Beherrschbarkeit ist wirklich Transparenz. Nur dann nämlich, wenn kritische Infrastrukturen auch transparent sind, dann kontrollieren viele Leute, viele Entwickler sie. Und dann sinkt die Wahrscheinlichkeit von Angriffen. Und in der Politik wird gegenwärtig so das krasse Gegenteil probiert: Online-Durchsuchung, Vorratsdatenspeicherung, biometrische Gesichtsbilder zur Gefahrenabwehr - das sind alles hochgradig intransparente Maßnahmen. Und hier kontrollieren eben nur wenige Behördenvertreter und damit sind diese Maßnahmen dann, wenn es einmal schlecht läuft, technisch eben nur sehr unzureichend beherrschbar.
Peter Welchering: Ich denke, man muss der Jahrestagung der Gesellschaft für Informatik gleich drei Bedeutungen zu sprechen. Es ist zum einen natürlich so eine Art Familientreffen der Informatiker und Computerwissenschaftler. Dann ist da aber der Tag der Informatik, das war am Mittwoch, auch noch immer so ein Stück weit Außenwirkung. Der da soll die Relevanz der Informatik führt die Gesellschaft in die Politik und in die Öffentlichkeit getragen werden. Und die Jahrestagung ist auch nach wie vor immer noch so eine Art Börse zum Austausch von Forschungsergebnissen.
Kloiber: Welche Bedeutungen haben denn die unterschiedlichen Schwerpunktthemen?
Welchering: Diesmal stand die Jahrestagung unter dem Motto "beherrschbare Systeme", übrigens dann auch mit dem Zusatz "dank Informatik", das weist schon darauf hin, dass es nicht nur um Informatik geht, sondern um alle Informatiksysteme, die auch so genannt "eingebettet" sind. Und mit diesem Tagungsmotto wollten die Informatiker auf ein Problem hinweisen, dass eben für unsere Gesellschaft ganz wichtig ist. Und das heißt in diesem Jahr, je komplexer die Systeme werden, umso wichtiger ist es eben auch, dass ihre Beherrschbarkeit sichergestellt ist. Und da haben sie zunächst einmal eine Bestandsaufnahme gemacht, wo stehen wir denn in Sachen Beherrschbarkeit, und sie haben einen Ausblick gegeben, wo müssen wir noch Hausaufgaben machen, damit Systeme sicher und beherrschbar sind.
Kloiber: Beherrschbarkeit von Informationstechnik war in dieser Woche das Thema der Gesellschaft für Informatik. Immer wieder sind wir mit schweren Softwarefehlern konfrontiert, die zu unbeherrschbaren Stromausfällen, zu stillgelegten Autos oder ausgebremsten U-Bahnen führen. Professor Stefan Jähnichen, Präsident der Gesellschaft für Informatik hat denn auch anlässlich der Jahrestagung in München warnend den Finger gehoben.
"Software lässt sich eben nicht so einfach programmieren, sondern man muss sich schon immer ein bisschen Gedanken machen, wie man eine Software vernünftig strukturiert, wie man eine Architektur für eine Software entwickelt, so dass man dann ein System hat, das macht, was es tun soll und nicht ganz was anderes."
Wenn Computer und Steuerungssysteme etwas ganz anderes machen als sie sollen, dann sind sie nicht mehr beherrschbar. Wie aber komplexe Systeme beherrschbar bleiben, das haben rund 1000 Computerwissenschaftler auf der Jahrestagung der Gesellschaft für Informatik in München, die in diesem Stunden zu Ende geht, intensiv diskutiert. Ein Ergebnis dieser Diskussion erstaunt vielleicht zunächst ein wenig: Wir müssen uns zunächst darüber verständigen, was wir genau meinen, wenn wir von "beherrschbaren Systemen" sprechen, meint der Informatik-Professor Axel Lehmann von der Universität der Bundeswehr in München
"Es ist ja sehr vielfältig, was wir unter Beherrschbarkeit verstehen. Es ist der Aspekt beispielsweise Sicherheit selbst, Zuverlässigkeit, Vertrauenswürdigkeit, aber auch Aspekte wie Wirtschaftlichkeit, Energieeffizienz. Also das alles zählt zum Aspekt der Beherrschbarkeit."
Beherrschbare Systeme müssen sich genauso verhalten, wie wir das von ihnen erwarten. Sie dürfen nicht von Unberechtigten missbraucht werden. Und sie müssen im Unterhalt erschwinglich bleiben. Denn was nützt eine vollkommen sichere Software für die Motorsteuerung eines PKW, wenn sie niemand bezahlen kann. Robust und transparent müssen solche informationstechnischen Systeme sein. Weil aber kein Softwareentwickler zum Beispiel bei den Programmen für einen Autopiloten das gesamte Programmsystem mehr überblicken kann, müssen Computer selbst für die notwendige Transparenz sorgen. Supercomputerentwickler zeigen, wie das funktionieren könnte, meint der Großrechnerexperte Professor Heinz-Gerd Hegering.
"In der Tat ist es so, dass wir Systeme bauen können, wo noch nicht alle Fragestellungen geklärt sind. Das ist wahr. Das Zweite ist, dass wir uns zunehmend damit beschäftigen müssen, dass wir Teile des Managements solcher Systeme automatisieren. Das bedeutet aber, dass die dahinter liegenden Prozesse gut verstanden werden, so dass wir dann Ausschnitte nehmen können, die wir dann durch die Maschine selbst wieder automatisieren lassen können."
Computer sorgen dafür, dass informationstechnische Systeme beherrschbar bleiben. Doch dann muss auch dafür gesorgt werden, dass diese Computer nicht missbraucht werden können. Kriminelle wollen Rechnernetze und Systeme kapern, um sich zu bereichern. Hacker wollen zeigen, dass nur sie ein System wirklich beherrschen. Deshalb muss der Systemadministrator dafür sorgen, dass sein System nicht missbraucht wird. Eine schwierige Aufgabe sei das, meint der Algorithmiker Christian Scheideler.
"Im Prinzip ist es schon ein Rüstungswettlauf. Denn wenn sie eine formale Analyse des Missbrauchs betreiben wollen, müssen Sie natürlich Modelle bilden, Missbrauchsmodelle formulieren und Sie werden nie in der Lage sein, sämtliche theoretische Möglichkeiten da unter einen Hut zu bekommen. Sie werden sich immer nur auf bestimmte Aspekte des Missbrauchs beziehen können und hierfür dann Lösungen entwickeln können."
Ganz wichtig ist es deshalb, aus vergangenen Pannen und Missbrauchsattacken zu lernen - um für die Zukunft gewappnet zu sein. Denn nur dann können Computerwissenschaftler und Entwickler Modelle für beherrschbare Systeme bilden.
Absturzgefahr
Warum IT-Gross-Projekte wie Gesundheitskarte oder Steueridentifikationsnummer zu scheitern drohen
Die Beherrschung über IT-Systeme verlieren viele Entwickler nicht erst im wirklichen Betrieb. Etliche IT-Projekte, besonders die ganz großen der öffentlichen Hand geraten schon in der Planungs- und Umsetzungsphase völlig außer Kontrolle. LKW-Maut, Hartz-IV-Software oder der Digitalfunk für Behörden und Sicherheitsorgane – überall gab es Verzögerungen, Softwareabstürze, Fehler in der Projektsteuerung und politische Querelen.
Auch das Projekt Steueridentifikationsnummer ist zwischen einigen Bundesländern und der Bundesregierung heftig umstritten. Georg Fahrenschon, Staatssekretär im bayerischen Finanzministerium merkte auf der Informatiker-Tagung in München bezüglich der Steuer-ID an:
"Da müssen wir Ängste abbauen. Wir müssen aber auch sauber arbeiten. Ich will mal an dieser Stelle sehr deutlich sagen, dass es für uns schon ein Ärgernis ist, in einem Projekt, das der Bund zu verantworten hat, dass wir jetzt mannigfach das Problem haben, dass Menschen, die vor 1945 geboren wurden, auf einmal mit falschen Daten versorgt werden."
Manfred Kloiber: Auch das Projekt Gesundheitskarte ist auf der GI-Tagung heftig und kontrovers diskutiert worden. Die Informatiker machen der Politik kräftige Vorwürfe. Was genau wurde denn an der Gesundheitskarte bemängelt, Peter Welchering?
Peter Welchering: Naja, ganz klar auf den Punkt gebracht: Sie ist einfach noch nicht praxistauglich. Das hätte aber vermieden werden können. Die Informatiker haben in München einen regelrechten Politiker-Tourismus beklagt. Alle möglichen Konferenzen zur Gesundheitskarte würden derzeit veranstaltet und besucht werden von den Politikern, nur die Fachleute, die fühlen sich ein wenig außen vor. Und das hat damit zu tun, dass die ursprünglich einmal geplanten "100.000er Tests", also Feldtests unter wirklich realen Bedingungen für die Gesundheitskarte, eben nicht stattgefunden haben. Im Augenblick kann niemand sagen, ob die Gesundheitskarte überhaupt praxistauglich ist. Auch die Online-Anbindung von Ärzten, Apotheken und Krankenkassen, das ist ja für die Gesundheitskarte unverzichtbare Vorraussetzung, diese Anbindung ist überhaupt noch nicht sichergestellt. Und damit ist auch eines der Kernelemente der Gesundheitskarte, nämlich das elektronische Rezept, noch nicht einsatzbereit.
Kloiber: Und gab es überhaupt keine Simulation, um auszuprobieren, ob elektronische Rezepte denn funktionieren?
Welchering: Es gab lediglich theoretische Simulationen, mehr oder weniger theoretisches Simulationen, aber eben keine belastbaren und ausreichend großen Feldtests, kleinere indes schon, die sind schnell nachgeschoben worden. Und das ist eben auch in München heftig kritisiert worden. Jedes IT-System muss umfangreich und unter echten Betriebsbedingungen getestet werden. Das ist aber bei der Gesundheitskarte eben nicht passiert. Verschärft wird die Situation noch dadurch, dass auch das Anforderungsmanagement bei der Gesundheitskarte nicht stimmte zu Beginn des Projektes. Die Anforderungen an das IT-System Gesundheitskarte waren völlig unzureichend und diese Anforderungen sind im Laufe der politischen Diskussion immer wieder erweitert worden. Die Chancen stehen deshalb nicht schlecht, weil da jetzt unterschiedliche Anforderungen nebeneinander stehen, dass dann auch das IT-Projekt Gesundheitskarte richtig schön floppen wird.
Kloiber: Staatssekretär Fahrenschon hat bemängelt, dass bei der Steuer-Identifikationsnummer mit falschen Daten gearbeitet wurde. Was ist den da passiert?
Welchering: Da wurden Bürger mit falschen Geburtsnamen oder falschen Vornamen versehen oder das Geburtsdatum stimmte vielfach nicht. Geburtsorte wurden ins Ausland verlegt, so liegt Hamburg etwa laut dem Bundeszentralamt für Steuern in Kasachstan. Unter Steuernummern sind haufenweise falsch zugeordnet worden, teilweise auch mehrfach vergeben worden. Das Bundesfinanzministerium schweigt zu diesen Vorwürfen bisher hartnäckig, gibt sie zu, will aber nicht sagen, was da schief gelaufen ist. Man prüft noch. Immerhin konnte man so viel heraus bekommen, dass die Daten-Übergabeprozeduren von den Melderegistern der Kommunen, das sind 5300, an das Bundeszentralamt fehlerhaft waren. Die werden jetzt auch korrigiert, und auch das wurde übrigens ganz übereilt gemacht. Da wurde übereilt ein Projekt aufgesetzt, wie diese Korrektur dann im einzelnen vonstatten gehen soll. Das ist nicht in allen Punkten klar. Die Anforderungen waren und bei dieser Steueridee - und sind sie jetzt auch bei den Datenprozeduren - nicht ganz klar und ausreichend formuliert und die Datenübergabeprozeduren sind vor allen Dingen auch nicht ausreichend getestet worden. Also das sind eigentlich typische Anfängerfehler, die ein Informatiker eigentlich spätestens ab dem zweiten Semester vermeiden sollte. Und das ist dann natürlich ganz heftig bei den alten Fahrenleuten, die da in München auf der Jahrestagung versammelt waren, kritisiert worden.
Zukunftssicher
Online-Algorithmen rechnen mit dem Unerwarteten
In der klassischen Softwareentwicklung gehen die Programmierer meist davon aus, dass ihr Entwurf alle relevanten Daten berücksichtigt, und setzen voraus, dass sie alle Zustände bereits kennen, mit denen das System fertig werden muss. In der Praxis führt das dann oft zu Programmabstürzen, im schlimmsten Fall sogar zum Zusammenbruch der Systeme. Online-Algorithmen können hier Abhilfe schaffen.
Susanne Albers von der Universität Freiburg erklärt, was es mit den Online-Algorithmen auf sich hat:
"Man sollte zunächst einmal vorausschicken, dass Algorithmen Verfahren sind, die angeben, wie man ein gegebenes Problem mit einem Computer lösen kann – praktisch so ein Kochrezept für einen Computer. Online-Algorithmen sind hier Strategien, die mit dem Handikap fertig werden müssen, die Zukunft nicht zu kennen. Das heißt man kennt eigentlich den gesamten Input, auf dem ein Algorithmus arbeitet, nicht im Vorhinein, sondern relevante Eingaben treffen nach und nach im Laufe der Zeit ein. Und so ein Algorithmus, eine Strategie muss mit dem Handicap fertig werden, eben die Zukunft nicht zu kennen."
Online-Algorithmen bewältigen auch Situationen, die beim Entwurf der Software von den Entwicklern noch gar nicht vorgesehen waren. Deshalb kalkulieren diese Algorithmen auch ständig mit dem größten anzunehmenden Unfall. Worst-Case-Szenarien nennen die Informatiker das. Dahinter steckt die Überlegung, dass Computer- und hochkomplexe Softwaresysteme dann beherrschbar bleiben, wenn sie in der Lage sind, völlig unvorhergesehene Ereignisse und Systemzustände einzuordnen und zu bearbeiten, sie "abzufangen", wie die Softwareingenieure das auch gern nennen. Online-Algorithmen müssen deshalb lernfähig sein. Susanne Albers.
"Man kann sagen, alle Strategien oder sagen wir mal so, sehr viele Strategien im Online-Bereich versuchen aus der Vergangenheit zu lernen. Dabei ist es so, dass man eher aus der nahen Vergangenheit lernt, also eigentlich das was gerade unmittelbar war. Man zeichnet keine Historie von Tagen oder Wochen auf, sondern es geht um Sekunden, um den Millisekundenbereich. Es stimmt, die sehr guten Strategien in der Praxis ziehen im Prinzip Kenntnis aus der unmittelbaren Vergangenheit, das kann man im Prinzip als lernen auffassen."
Deshalb sind Online-Algorithmen auch in fast allen Anwendungsbereichen einsetzbar. In der Software für die Unternehmenssteuerung genauso wie in der Robotik, in der Verwaltung großer Data Warehouses und im Betrieb sehr großer Netzwerke, wie zum Beispiel des Internets.
"Dort ist das Anliegen, den Datenfluss so gut wie möglich aufrecht zu erhalten. Ein Router und ein Switch leitet Datenpakete, die in einem Netzwerk versandt werden, zu den korrekten Zieladressen, und wenn das Datenaufkommen, man kennt das vielleicht, sehr groß ist, dann kann so ein Switch nicht alle Datenpakete zeitgerecht verarbeiten. Es kommt zum Paketverlust, und diesen Paketverlust möchte man reduzieren."
Online-Algorithmen entwickeln dabei Strategien, die sicherstellen, dass möglichst wenig Datenpäckchen verloren gehen und dass möglichst wenig Daten neu versendet werden müssen. Sie nutzen dabei die Router- und Switch-Ressourcen, die in einem Netzwerk zur Verfügung stehen, so dass Datenpäckchen möglichst schnell vom Sender zum Empfänger gelangen. Gleichzeitig haben Online-Algorithmen auch Strategien auf Lager, um den Betrieb selbst bei Netzwerkausfällen weiterhin aufrecht erhalten zu können.
Als im April dieses Jahres am neu gebauten Terminal fünf des Flughafens London Heathrow die Gepäckanlage versagte, waren Softwareprobleme dafür verantwortlich. Um die riesigen Kofferberge abzuarbeiten, die sich durch die Panne auftürmten, brauchten Flughafenmitarbeiter einige Wochen. Peter Trautmann vom Flughafen München hat auf der Jahrestagung der GI die komplexen Anforderungen an Softwaresysteme in Flughäfen genau beschrieben. Zur Gepäckkatastrophe in London meint er:
"Hundertprozentig auszuschließen sind diese Dinge nicht. Man versucht es auszuschließen, aber selbst bei der Inbetriebnahme von unserem Terminal zwei mit der sehr modernen Gepäckanlage hier am Münchner Flughafen hatten wir Rückfallstufen und hatten entsprechendes Personal beigestellt, um sicherzustellen, wenn am ersten Tag die Anlage ausfallen sollte, dass der Betreib entsprechend weitergehen sollte. Das wurde in London nicht gemacht. Aber die Ausfallsicherheit hundertprozentig bei den Systemen darstellen zu könne, ist nach wie vor unmöglich."
Zwei bis drei Mal im Jahr kommt es auch am Flughafen in München zu Ausfällen. Peter Trautmann hat nachgeforscht, was genau zu den Systemabstürzen geführt hat.
"Unserer Erfahrung nach hat es immer nur Probleme dann gegeben, wenn neue Softwaresysteme eingespielt wurde, das heißt, wenn am System gearbeitet wurde, dann war immer die Gefahr am größten , dass irgendwas kippt oder umfällt, denn bei der Neuinstallierung an gewisse Dinge nicht gedacht wurde, die irgendwo Auswirkungen haben."
Daraus leiten die Experten drei Forderungen ab: Die Anforderungsanalyse muss auch bei so genannten Software-Updates genauer werden. Die Testverfahren für Programme müssen unbedingt um wirklichkeitsnahe Simulationen ergänzt werden. Und die Softwaretechnologie muss viel stärker als Querschnittstechnologie verstanden werden, die exakt definierte Schnittstellen zu den anderen Ingenieurdisziplinen anbietet. Gerade hier aber zeichnet sich bei den Softwaretechnologen ein Problem am Arbeitsmarkt ab. Es gibt nicht mehr genügend Spezialisten. Und aktuell werden viel zu wenig Softwareingenieure ausgebildet. Hier haben die Informatiker von ihrer Jahrestagung in München einen klaren Hilferuf an die Bildungspolitiker losgeschickt. Ob er dort ankommen wird, ist eine andere Frage.
Damit die Systeme beherrschbar bleiben, müssen sie sicher sein. Darauf hat auch GI-Präsident Stefan Jähnichen hingewiesen. Allerdings stellt sich dann auch sofort die Frage, welcher Grad der Sicherheit erreicht werden kann. Professor Jähnichen sieht das so.
"Ob man dahin kommt, dass man solche Systeme hundert Prozent sicher macht, na ja, möchte ich vielleicht bezweifeln. Aber sie sollten eben im Rahmen auch unserer anderen technischen Systeme so sicher sein, dass ich nicht nur aus statistischen Überlegungen heraus solch ein System noch benutze, sondern auch überzeugt davon bin, dass die Funktionalität einfach stimmt."
Schutzlos in Europa
Kritische Infrastrukturen sind leicht zu manipulieren
Damit die Funktionalität stimmt, darf sie nicht missbraucht werden. Das ist insbesondere bei so genannten kritischen Infrastrukturen, wie der Verkehrssteuerung, der Stormversorgung oder den Bankensystemen ganz wichtig. Mit Trojanischen Pferden, Hackerangriffen und anderer Schadsoftware finden hier allein in Deutschland jedes Jahr rund 60.000 Angriffe auf kritische Infrastruktur statt.
Manfred Kloiber: Wichtige elektronische Infrastruktur soll nun besser geschützt werden, hat die Bundesregierung entschieden. Wie ist dieser Kabinettsbeschluss denn in München diskutiert worden, Peter Welchering?
Peter Welchering: Ausgesprochen zwiespältig wurde er diskutiert. Insgesamt beherrschte natürlich so ein bisschen die Diskussion, es ist gut, dass die Politik sich dieser Problematik endlich einmal annimmt, da muss etwas geschehen, hier sind wir teilweise doch wirklich sehr schutzlos einfach den Dingen ausgeliefert. Aber wenn es dann in das Detail geht, da ist dann doch sehr kritisch bewertet worden. Denn die Beherrschbarkeit von kritischen Infrastrukturen ist ja eine interdisziplinäre Angelegenheit. In den Regierungspapieren vermissen die Experten genau diese Interdisziplinarität und sie bemängeln, dass die einzelnen Systeme und dass die kritischen Infrastrukturen, also Bankensysteme, Stromnetz, Telekommunikationsnetze, Verkehrssteuerung, dass die jeweils isoliert betrachtet werden in den Papieren. Und so sind dann auch die berühmten Domino-Effekte gerade nicht beherrschbar. Und so ein Domino-Effekt entsteht, wenn etwa ein Anschlag auf das Telekommunikationsnetzen bewirkt, dass die Steuerungsbefehle für das Stromnetz nicht mehr weitergegeben werden können. Daraufhin steigt dann das Stromnetz aus und das führt dazu, dass die Bankensysteme dann beispielsweise mangels Strom über viele Stunden einfach nicht funktionieren. Die Leute können dann kein Bargeld mehr abheben, die Geldautomaten sind ausgefallen, und genau dieser Domino-Effekt muss ausgeschlossen werden. Oder insgesamt, diese Domino-Effekte müssen beherrschbar bleiben. Und das lässt sich nur mit einer vernetzten Sichtweise lösen und die ist in den Regierungsplänen eben deutlich unterentwickelt.
Kloiber: Beschreiben Sie doch einmal die größten Gefahren bei Angriffen auf kritische Infrastrukturen.
Welchering: Die ganz großen Gefahren liegen eindeutig an den Schnittstellen. Die verschiedenen Infrastrukturen wie zum Beispiel Verkehrssystem, Telekommunikationssystem, Energie, die sind ja alle miteinander vernetzt. Aber die sind eben nicht durchgängig vernetzt, sondern immer an so einer Schnittstelle - also es gibt Austauschstellen, die Daten und Informationen übergeben. Und wenn an so einer Schnittstelle, an der zwei oder mehreren dieser Infrastruktursysteme aufeinander treffen, wo die vernetzt sind, ein Angriff stattfindet, dann werden auch mehrere Systeme auf einmal lahm gelegt. Deshalb müssen diese Schnittstellen besonders geschützt werden und hier müssen auch Frühwarnsysteme her. Diese Frühwarnsysteme müssen schon bei einer ganz auffälligen Häufung von irgendwelchen merkwürdigen Vorkommnissen, etwa Denial of Service-Attacken oder Virenangriffen, sofort Alarm schlagen. Und sie müssen so früh Alarm schlagen, dass dann auch eingegriffen werden kann, bevor diese Attacken sozusagen eine kritische Größe erreichen und dann eben wirklich gefährlich werden.
Kloiber: Wie kann denn der Balanceakt zwischen Sicherheitsanforderungen wie der Überwachung und elementaren Grundrechten wie der Privatsphäre im Netz oder dem Recht auf informationelle Selbstbestimmung ohne Absturz gelingen?
Welchering: Indem beispielsweise Frühwarnsysteme und Überwachungssysteme transparent bleiben. Das klingt zunächst einmal ein bisschen theoretisch, hat aber sehr praktische Konsequenzen. Und das ist auch die große Lehre, die aus der gesamten Open-Source-Bewegung gezogen werden kann. Denn eine wesentliche Voraussetzung von Beherrschbarkeit ist wirklich Transparenz. Nur dann nämlich, wenn kritische Infrastrukturen auch transparent sind, dann kontrollieren viele Leute, viele Entwickler sie. Und dann sinkt die Wahrscheinlichkeit von Angriffen. Und in der Politik wird gegenwärtig so das krasse Gegenteil probiert: Online-Durchsuchung, Vorratsdatenspeicherung, biometrische Gesichtsbilder zur Gefahrenabwehr - das sind alles hochgradig intransparente Maßnahmen. Und hier kontrollieren eben nur wenige Behördenvertreter und damit sind diese Maßnahmen dann, wenn es einmal schlecht läuft, technisch eben nur sehr unzureichend beherrschbar.