Nachdem Computerprobleme auf dem Börsenparkett schon häufiger für Pannen gesorgt haben, legte dieser Tage ein Softwarefehler für fast vier Stunden die New Yorker Börse lahm. Das neue Beispiel zeigt: Software ist ungemein komplex geworden und Unternehmen, die an Wartung und Modernisierung sparen, setzen sich einem hohen Risiko aus.Foto: AFP
Für gewöhnlich gleicht das Parkett der Aktienbörse New York Stock Exchange (NYSE) einem Bienenstock, am 8. Juli 2015 blieb es an der Traditionsbörse allerdings ungewöhnlich still. Um 11.32 Uhr New Yorker Zeit war der Handel der weltweit ältesten und renommiertesten Börse komplett zusammengebrochen. Mit drei Stunden und 38 Minuten verzeichnete die NYSE, an der insgesamt 2.300 Firmen mit einem Wert von insgesamt 27.000 Milliarden US-Dollar gehandelt werden, die längste Panne ihrer Geschichte. Über mehr als die Hälfte des Handelstages konnten Investoren keine Aktien kaufen oder verkaufen. Glück im Unglück: Nur die New Yorker Börse war betroffen, an anderen Handelsplätzen konnte weiter gehandelt werden.
Die NYSE war Opfer eines eklatanten Softwarefehlers geworden, nannte "größere technische Schwierigkeiten" und "ein Problem mit der Konfiguration" der Computersysteme als Ursache. Als Grund für den Kollaps vermutete Tom Farley, Präsident der Wertpapierbörse, eine fehlerhafte Systemkonfiguration, die nach einem System-Update zustande gekommen war. Beim Installieren neuer Programmteile war folglich ein Software-Fehler aufgetreten, der den mehrstündigen Ausfall der Aktienbörse nach sich gezogen hatte. (Eine grafische Darstellung, die den schlagartigen Abbruch des Aktienhandels aufzeigt findet sich hier).
Die Folgen des eklatanten Ausfalls waren entsprechend weitreichend: US-Präsident Barack Obama musste über die Handelsunterbrechung informiert werden, das U.S. Department of Homeland prüfte die Möglichkeit eines Cyberangriffs, das Finanzministerium und die Bundespolizei FBI wurden eingeschaltet und die US-amerikanische Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) nahm sich des Vorgangs an. Dennoch reagierten die betroffenen Börsianer relativ gelassen auf den Ausfall und versuchten ihre Geschäfte zu verlagern. Dass der Ausfall nicht in einer wirtschaftlichen Katastrophe oder gar einem Marktkollaps mündete, war nur dem komplexen Entwicklungsverlauf des Börsengeschäfts zu verdanken.
Ironischerweise war es ausgerechnet die Komplexität des US-amerikanischen Aktienhandels sowie dessen zunehmende Deregulierung und Fragmentierung, die dafür gesorgt haben, dass sich mit dem Totalausfall der NYSE keine wirtschaftliche Katastrophe verband. Das Gesicht der Börsenlandschaft hat sich schlichtweg verändert: Vereinte die New York Stock Exchange zum Ende der 1990er Jahre noch rund 80 Prozent der Marktanteile auf sich, ist dieser Wert mittlerweile auf 20 bis 25 Prozent gesunken. Immer mehr Handelsplätze konnten sich in den letzten Jahren etablieren und während mittlerweile rund 40 Prozent des Aktienhandels in sogenannten "Dark Pools" (bank- und börseninterne Handelsplattformen für den anonymen Handel mit Finanzprodukten) und auf alternativen Handelsplattformen stattfindet, teilen sich insgesamt elf Börsen den Rest des Handelsvolumens. (Eine grafische Darstellung, die die Umverteilung auf andere Handelsplätze zeigt, findet sich hier).
Oder anders ausgedrückt: Eine durch den gravierenden Softwarefehler leicht denkbare wirtschaftliche Katastrophe wurde vor allem deshalb verhindert, weil die Geschäfte an anderen großen Handelsplätzen wie gewohnt weiterliefen und sich seit einiger Zeit die Möglichkeit bietet, NYSE-Aktien auch an anderen Börsen und alternativen Handelsplätzen zu handeln. Für die NYSE dürfte dies ein schwacher Trost gewesen sein: Welcher Händler ist schon erfreut, wenn seine Kunden zur Konkurrenz abwandern, weil die Software streikt? Und auch wenn die Komplexität des modernen Aktienhandelns einmal ihr gutes Gesicht gezeigt hat, ist der Aktienmarkt nichtsdestotrotz aufgrund gestiegener Fragmentierung und dem zugenommenen Anteil des Hochfrequenzhandels, bei dem Computersysteme im Millisekundentakt zahlreiche Transaktionen ausführen, heutzutage sehr viel komplexer und brachte bereits zahlreiche Softwarepannen im Börsenumfeld mit sich.
Und dabei stellt der beinahe vierstündige Ausfall der NYSE - erschreckenderweise - beileibe nicht den ersten Vorfall dar, bei dem ein Software-Problem für Kopfzerbrechen auf dem für die Wirtschaft relevanten Börsenparkett gesorgt hat. Zuletzt war es der Börsenhändler Knight Capital, der solcherart Schlagzeilen produzierte: Eine fehlerhafte Handelssoftware zwang am 31. Juli 2012 das solide, milliardenschwere Unternehmen beinahe in die Insolvenz, nachdem ein Softwareupdate dazu geführt hatte, dass die vollautomatisierten Handels-Softwaresysteme des Unternehmens einen falschen Algorithmus nutzten, um Aktien überteuert zu kaufen und Verluste im Mikrosekundentakt zu erwirtschaften.
Der kritische Vorfall vernichtete pro Minute zehn Millionen Dollar und nachdem das System nach 40 Minuten verzweifelt vom Netz genommen wurde, standen rund 440 Millionen Dollar Verlust zu Buche. Knight Capital saß laut Wall Street Journal anschließend auf einem Berg ungewollt zu teuer gekaufter Aktien im Wert von rund sieben Milliarden Dollar, die man mit Abschlag an Goldman Sachs verkaufen musste, um einer Pleite zu entgehen. Ein eklatantes Beispiel dafür, wie Software die Unternehmensabläufe bis ins Innerste durchdringt und in diesem Fall das Wortspiel "Knightmare on Wall Street" zur Folge hatte. Knight Capital war gezwungen, einer Gruppe von Investoren Schuldpapiere im Austausch gegen rund 400 Millionen Dollar zur Verfügung zu stellen, die das Unternehmen zwar vor dem Ruin retteten, aber dazu führten, dass der Aktienpreis ins Bodenlose und das Unternehmen zu rund 75 Prozent in Investorenhand fiel.
Und Knight Capital ist beileibe nicht das einzige prominente Opfer fehlerhafter Software in diesem Umfeld - die Liste kurioser Börsenpannen ist leider noch deutlich länger:Flash-Crash durch Hochfrequenzhandel: Im Mai 2010 ließ ein "Flash Crash", ein heftiger Einbruch der Aktienmärkte, innerhalb von Minuten die Kurse abstürzen - der Dow Jones verlor beinahe 1.000 Punkte und rund eine Billion Dollar wurde vernichtet. Als Ursache wurde im Nachhinein der durch Computer gesteuerte Hochfrequenzhandel ausgemacht.
Angesichts solch eklatanter wirtschaftlicher Bedrohungen, die sich mit fehlerhafter Software verbinden, stellt sich schnell die Frage nach Ursachen und Behandlungsmöglichkeiten, die im Falle der NYSE wohl vor allem im Zusammenhang mit der Wartung von Software stehen dürften.
Unter dem Strich wirft der Ausfall der NYSE also vor allem ein schlechtes Licht auf dessen Betreiber Intercontinental Exchange (ICE), welcher die Traditionsbörse 2012 für 8,2 Milliarden US-Dollar übernommen und mit der Akquisition wohl vor allem auf Kostensynergien spekuliert hatte. Auch wenn ICE entsprechende Vorwürfe bereits kurz nach dem Ausfall zurückgewiesen hat, entsteht leicht der Eindruck, dass das Unternehmen aus Georgia im Zuge von Kostenkürzungen schlichtweg an der falschen Stelle gespart und in seiner Software so Schwachstellen provoziert hat, die dann zu jenem Software-Fehler führten, der den Totalausfall verursachte.
Und mit einer solchen Sparhaltung gegenüber der Wartung und Modernisierung von IT und Software wäre ICE sicher beileibe nicht allein. Aus Managementsicht besteht ein Zielkonflikt zwischen einem schnellen Time-to-Market mit umfangreichen Funktionen und der Investition in die Qualitätssicherung und Wartbarkeit von Software. Um Missverständnisse zu vermeiden: Natürlich investieren Unternehmen in Software-Qualität, sonst gäbe es noch viel mehr Sicherheitslücken. Rückt allerdings die Deadline näher oder erhöht sich der Druck, werden in der Hitze des Gefechts regelmäßig die Prioritäten in Richtung von mehr Funktionalität verschoben. Dies ist paradox, da die nachträgliche Schließung von Sicherheitslücken und der potenzielle (Image-)Schaden von Softwarefehlern viel teurer sind, als von Beginn an auf Softwarequalität zu setzen.
Der Preis für die schnelle Erzeugung neuer Funktionen ist die Aufnahme von "Qualitätsschulden", deren möglichst rascher Abbau immens wichtig ist, da sie über die Zeit steigende Kosten produzieren. Denn es ist vor allem die abstrakte, "unsichtbare" Natur von Software, die es Managern erschwert, gering- und hochwertige Software voneinander zu unterscheiden. Und da Bugs und Fehlfunktionen erst mit der Zeit auftreten, ist es teuer und aufwändig, diese Fehler zu einem solch späten Zeitpunkt zu entdecken und zu korrigieren. Im schlimmsten Fall droht - wie im Fall der NYSE - ein Totalausfall aufgrund eines Softwarefehlers.
Die Bedeutung von Software-Modernisierung hat angesichts der massiv gestiegenen Komplexität von Software also signifikant zugenommen. Gleichzeitig lässt sich die unmittelbare Relevanz von Modernisierungs- und Instandhaltungsmaßnahmen aber häufig nicht ohne weiteres abbilden - insbesondere zumal es in den Führungsetagen zumeist an einem tieferen technischen IT-Verständnis fehlt. "Sorry before Save" ist folglich ein beliebtes Vorgehen, wenn es um die Modernisierung von Software geht und entsprechend schwierig ist es für technische Verantwortliche, Budgets hierfür zu erhalten. Doch wie können diese ihre Budgetgeber, Entscheider und internen Kunden von der Notwendigkeit zu qualitäts- und produktivitätssteigernden Maßnahmen überzeugen, wenn Softwarequalität weitgehend unsichtbar bleibt?
Um beide Standpunkte - die aus technischer Sicht wichtige Software-Qualität und das vom Management angestrebte schnelle Time-to-Market - vereinen zu können, bedarf es der Schaffung eines gemeinsamen Verständnisses auch für hoch technische Themen. Um vom Management genügend Zeit vorgesehen zu bekommen, muss ein Technikleiter letztlich die Nicht-Techniker davon überzeugen, Geld in Modernisierung und Nachhaltigkeit der Anwendungen zu investieren. Dies kann er durch die auch für Nicht-Techniker intuitive Sichtbarmachung technischer Risiken erreichen, wie es etwa durch automatisiertes Data-Driven Software-Management möglich ist. Solche Software-Analytics-Verfahren können Software-Schwachstellen in einer halbautomatischen Weise erkennen und Entscheidungsvorschläge unterbreiten. So werden Fehler und Sicherheitslücken beseitigt und wertvolle Ressourcen können reorganisiert werden, um das Time-to-Market zu erfüllen.
Daneben sollten Software-Manager von Anfang an den Fokus auf Softwarequalität in die internen Anreiz- und Belohnungssysteme einbauen. Dies heißt konkret: Ein Entwickler wird nur dann als gut bewertet, wenn er viele Funktionen in kurzer Zeit realisiert und diese Features von hoher Qualität und gut getestet sind. Um dies sicherzustellen, ist Transparenz besonders wichtig. Sowohl das Management als auch die Entwickler müssen jederzeit sehen können, ob Lösungen sauber oder schlampig programmiert wurden. Andernfalls droht Software schnell zu einer maroden Brücke zu werden, die zwar stark befahren ist, deren Strukturschäden aber nicht repariert, sondern lediglich mit neuem Lack überzogen wurden. Und welches Unternehmen sieht es schon gerne, wenn seine Kunden im Falle des Zusammenbruchs der wichtigen Handelsbrücke dann an andere Marktplätze wechseln?
Original article in German published in June 2020 in "Manager Magazin".
