Qualitätsmanagement

Fehlerhafte Software tötet Menschen

Von Christian Raum · 2019

Abgestürzte Flugzeuge, Beinaheunglücke von Schiffen, Angriffe auf Infrastrukturen und Netzwerke – Kritiker sagen, Politik und Wirtschaft unterschätzten die Gefahren, die von schlecht programmierter Software ausgehen. Die Folge seien mehrere hunderte Tote allein im Flugverkehr.

Binärer Code mit Error-Meldung
Foto: iStock/Suebsiri

Die Zahl der Toten im Luftverkehr ist seit dem vergangenem Jahr in die Höhe geschossen. Grund hierfür waren laut Medienberichten vor allem Softwarefehler in den Flugsystemen eines Herstellers. Die betroffenen Flugzeuge dürften erst nach einer „rigorosen Sicherheitsüberprüfung“ der Software wieder Menschen transportieren.

Schon lange warnen IT-Sicherheitsexperten vor Fehlern in den Systemen und vor schlecht oder „schlampig“ entwickelten Programmen. Sie erklären, dass mit der Digitalisierung die Anzahl der Unglücksfälle zwar kleiner werde – dafür aber die einzelnen Katastrophen selbst viel schlimmer würden. 

Dies hat sich in den vergangenen Monaten bestätigt. Nicht nur die Zahl der Toten ist exorbitant gestiegen. Ganze Flotten, der als unsicher geltenden Flugzeuge, wurden stillgelegt – mindestens solange, bis die Softwareprobleme behoben sind.

Dahinter steht auch ein unternehmerisches Fiasko, das zu einem Umdenken in den Chefetagen geführt hat. Bei vielen Konzernmanagern beginnt jetzt und häufig auch erstmals das Nachdenken über die Sicherheit der produzierten oder auch der eingesetzten Software. 

Agile Methoden folgen der Logik des Webs 

Besonders kritisch befragen sie ihre IT-Experten über die Programme, die mit den sogenannten „Agilen Methoden“ entwickelt werden: Agile Methoden sind im Moment der große Hype der IT-Industrie. Die Branche verspricht bessere Programme, die schneller entwickelt werden und fortlaufend neue oder aktualisierte Angebote und Funktionen anbieten. 

Vor allem Cloudanbieter und Startups folgen mithilfe der agilen Programmierung der Logik ihrer Geschäftsmodelle: In möglichst kurzen Intervallen sollen neue Software und neue Dienstleistungen online stehen. Dies führt dazu, dass Software nie wirklich „fertig“ oder zu Ende programmiert ist. Kritiker weisen auf die Kehrseite dieser Hochgeschwindigkeitsentwicklung hin; die Hersteller der Systeme könnten womöglich die Sicherheit aus den Augen verlieren. Vor allem das Tempo beim Stressen, Testen und Zertifizieren der neuen Software halte schon lange nicht mehr mit den wöchentlichen oder sogar täglichen Rollouts Schritt. 

„Secure by Design“ wird bald verbindlich

Ein Grund hierfür sei, dass die bislang üblichen Softwaretests die agilen Softwareentwickler ausbremsten. Deshalb würden sie gerne mal umgangen werden. 

Denn typisch für Softwaretests sind eine lange Downtime, verbunden mit hohen Kosten: Unternehmen beschäftigen typischerweise Sicherheitsspezialisten, die sie dafür bezahlen, neue Systeme nach einer Liste bestimmter Kriterien über einen festgelegten Zeitraum zu testen. Sie werden häufig nach Tagessätzen bezahlt, nicht nach den tatsächlich entdeckten Fehlern.

Und auch beim Schreiben der Software seien Programmierer manchmal nachlässig, um schneller ans Ziel zu kommen. Und bei „schlampig“ entwickeltem Code sind die Folgen ungleich schlimmer – oder sogar tödlich – als bei typischen IT-Sicherheitsfehlern wie verratenen Passworten oder dem Öffnen verseuchter Mails.

Die Politik hat diese Probleme erkannt und versucht mit einem neuen Gedanken, die Industrie in die Pflicht zu nehmen – in Großbritannien arbeiten die Politiker an einem „Secure by Design“-Gesetz, das nach Meinung der Experten bald auch in Europa neue Maßstäbe für die Softwareentwicklung setzen wird.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)