Wir leben im digitalen Zeitalter, denken aber noch immer in den Organisationsstrukturen des vergangenen Jahrhunderts. Der Bahnstillstand zeigt: Nicht die Technologie ist unser Problem, sondern die Architektur dahinter.
Was die Deutsche Bahn von Hochverfügbarkeitssystemen lernen könnte
Als ich vor Jahren fehlertolerante Rechnersysteme für Investmentfirmen aufbaute, galt ein eiserner Grundsatz: Kein einzelner Fehler durfte jemals das Gesamtsystem zum Stillstand bringen. Wir arbeiteten mit virtuellen Serverfarmen, redundanten Netzwerken und permanent verfügbaren Reservekapazitäten. Einzelne Server fielen regelmäßig aus. Software-Updates schlugen gelegentlich fehl. Hardware musste ersetzt werden. Doch das war nie ein Problem. Denn genau dafür waren diese Systeme ja gebaut worden. Der Anwender bemerkte davon nichts. Umso erstaunter war ich, als ich erfuhr, dass ein mutmaßlich fehlerhaftes Software-Update den gesamten Bahnverkehr eines der größten Industrieländer lahmgelegt haben soll.
Dabei geht es gar nicht primär um die Deutsche Bahn. Es geht um eine viel größere Frage: Wie robust sind die kritischen Infrastrukturen unseres Landes überhaupt noch?
Digitalisierung ist nicht das Problem – sie ist die Lösung
Gerade deshalb darf diese Diskussion nicht in die falsche Richtung abdriften. Diese Bahnproblematik ist kein Versagen der Digitalisierung. Im Gegenteil: Eine hochentwickelte Industrienation ist heute mehr denn je auf Digitalisierung angewiesen. Ohne sie wären moderne Energieversorgung, Verkehrssysteme, Krankenhäuser, Telekommunikation, Verwaltung oder Finanzmärkte überhaupt nicht mehr denkbar. Die Digitalisierung besitzt höchste Priorität. Die eigentliche Frage lautet deshalb nicht, ob wir digitalisieren, sondern wie wir digitalisieren. Denn moderne Technologien ermöglichen heute eine Stabilität, die vor wenigen Jahrzehnten noch undenkbar gewesen wäre. Das Problem liegt nicht in der Technologie. Das Problem liegt vielmehr in der Architektur.
Wir bauen digitale Werkzeuge in analoge Denkmuster ein
Bis heute werden viele kritische Infrastrukturen nach einem jahrhundertealten Organisationsprinzip aufgebaut: der Hierarchie. Informationen laufen nach oben, Entscheidungen laufen nach unten. Dadurch entstehen Pyramiden. Dieses Prinzip mag über Jahrzehnte funktioniert haben. Für hochdynamische, fehlertolerante Systeme des 21. Jahrhunderts ist es jedoch nur bedingt geeignet. Denn jede Pyramide besitzt einen empfindlichen Punkt (Single point of failure) . Je stärker die Zentralisierung, desto größer werden die Auswirkungen eines Fehlers. Vielleicht besteht hier sogar der eigentliche Denkfehler unserer Zeit:
Wir haben digitale Werkzeuge des 21. Jahrhunderts in Organisationsstrukturen des 20. Jahrhunderts eingebaut.
Das eigentliche Problem heißt Architektur
Ich spreche dabei ausdrücklich nicht von der Technologie selbst. Auch Mainframes sind bis heute unverzichtbar und gehören nach wie vor zu den zuverlässigsten Computersystemen der Welt. Problematisch wird es erst, wenn die dahinterstehende Architektur nach folgendem Prinzip funktioniert: Eine zentrale Intelligenz steuert alles. Fällt sie aus, steht alles still. Diese Denkweise ist längst nicht mehr zeitgemäß. Moderne kritische Infrastrukturen dürfen nicht mehr wie eine Pyramide aufgebaut sein. Sie müssen wie lebende Systeme funktionieren.
Von der Pyramide zum neuronalen Netzwerk
Für kritische Infrastrukturen des 21. Jahrhunderts brauchen wir eine neue Denkweise. Nicht pyramidenförmig, sondern neuronal. Ein neuronales System funktioniert völlig anders. Es besitzt:
- viele autonome Knoten
- lokale Entscheidungsfähigkeit
- alternative Kommunikationswege
- Selbstorganisation
- Fehlertoleranz
- begrenzte Schadensradien
Das menschliche Gehirn ist dafür ein hervorragendes Beispiel. Täglich sterben Tausende von Nervenzellen ab ohne das wir es bemerken. Und warum merken wir es nicht? Weil das Gehirn nicht auf einer zentralen Steuerung beruht. Es ist ein Netzwerk. Genau diese Denkweise muss auf kritische Infrastrukturen übertragen werden. Denn eine moderne Gesellschaft darf nicht mehr wie eine Behörde des vergangenen Jahrhunderts organisiert sein. Sie muss wie ein lebender Organismus funktionieren. Das bedeutet nicht weniger Digitalisierung. Es bedeutet mehr Digitalisierung, aber mit einer völlig anderen Architektur.
Redundanz ist keine Verschwendung
Oft wird argumentiert, dass Redundanz unendlich teuer sei. Diese Argumentation ist völlig verkürzt und grundsätzlich falsch. Wer ausschließlich die Investitionskosten betrachtet, vergisst die Kosten des Ausfalls. Gerade die Finanzbranche beweist seit Jahrzehnten das Gegenteil. Dort sind Redundanz, Backup-Systeme und Reservekapazitäten keine Verschwendung, sondern elementare Bestandteile des Geschäftsmodells. Verfügbarkeit ist dort kein Nebeneffekt. Vielmehr ist sie das Produkt selbst. Ein modernes System darf deshalb nicht davon abhängen, dass keine Fehler passieren. Es muss davon ausgehen, dass Fehler täglich passieren, und dass es trotzdem ungestört weiter funktionieren muss.
Die entscheidende Frage unserer Zeit
Es mag sein, dass in den vergangenen Jahrzehnten Effizienz höher bewertet wurde als Resilienz. Systeme wurden darauf optimiert, möglichst störungsfrei zu funktionieren, anstatt darauf, Störungen zu überleben. Doch genau das ist die eigentliche Aufgabe kritischer Infrastruktur. Eine moderne Gesellschaft zeichnet sich nicht dadurch aus, dass alles digital funktioniert. Sie zeichnet sich dadurch aus, dass sie auch dann noch funktioniert, wenn die Digitalisierung einmal versagt. Die Frage ist deshalb nicht: „Wie konnte ein Software-Update alles lahmlegen?“ Die eigentliche, zentrale Frage lautet: „Warum war es überhaupt möglich, dass ein einzelner Fehler die Infrastruktur eines ganzen Landes beeinflussen konnte?“
Die Frage ist letztendlich nicht, ob Fehler passieren, sondern ob ein System darauf vorbereitet wurde, sie zu überleben. Hierin liegt wohl die wichtigste Erkenntnis unserer Zeit: Die Zukunft kritischer Infrastruktur liegt nicht in pyramidenförmigen Hierarchien, sondern in neuronalen Netzwerken.
zwischendenzeiten.org 