Börsenpannen als Ergebnis mangelhafter IT-Modernisierung Wenn Softwarefehler im Sekundentakt Millionen vernichten

Von Johannes Bohnet
Nachdem Computerprobleme auf dem Börsenparkett schon häufiger für Pannen gesorgt haben, legte dieser Tage ein Softwarefehler für fast vier Stunden die New Yorker Börse lahm. Das neue Beispiel zeigt: Software ist ungemein komplex geworden und Unternehmen, die an Wartung und Modernisierung sparen, setzen sich einem hohen Risiko aus

Nachdem Computerprobleme auf dem Börsenparkett schon häufiger für Pannen gesorgt haben, legte dieser Tage ein Softwarefehler für fast vier Stunden die New Yorker Börse lahm. Das neue Beispiel zeigt: Software ist ungemein komplex geworden und Unternehmen, die an Wartung und Modernisierung sparen, setzen sich einem hohen Risiko aus

Foto: AFP

Für gewöhnlich gleicht das Parkett der Aktienbörse New York Stock Exchange (NYSE) einem Bienenstock, am 8. Juli 2015 blieb es an der Traditionsbörse allerdings ungewöhnlich still. Um 11.32 Uhr New Yorker Zeit war der Handel der weltweit ältesten und renommiertesten Börse komplett zusammengebrochen. Mit drei Stunden und 38 Minuten verzeichnete die NYSE, an der insgesamt 2.300 Firmen mit einem Wert von insgesamt 27.000 Milliarden US-Dollar gehandelt werden, die längste Panne ihrer Geschichte . Über mehr als die Hälfte des Handelstages konnten Investoren keine Aktien kaufen oder verkaufen. Glück im Unglück: Nur die New Yorker Börse war betroffen, an anderen Handelsplätzen konnte weiter gehandelt werden.

Johannes Bohnet
Foto: Seerene

Johannes Bohnet ist Gründer von Seerene. Vor seiner Arbeit bei Seerene war Bohnet als Senior Consultant bei einem renommierten IT-Beratungsunternehmen tätig. Zudem leitete er den Bereich "Automatisierte Software-Analyse und Visualisierung" am Hasso-Plattner-Institut, dem deutschen Exzellenzcenter für Software Engineering.

Die NYSE war Opfer eines eklatanten Softwarefehlers geworden, nannte "größere technische Schwierigkeiten"  und "ein Problem mit der Konfiguration"  der Computersysteme als Ursache. Als Grund für den Kollaps  vermutete Tom Farley, Präsident der Wertpapierbörse, eine fehlerhafte Systemkonfiguration, die nach einem System-Update zustande gekommen war. Beim Installieren neuer Programmteile war folglich ein Software-Fehler aufgetreten, der den mehrstündigen Ausfall der Aktienbörse nach sich gezogen hatte. (Eine grafische Darstellung, die den schlagartigen Abbruch des Aktienhandels aufzeigt findet sich hier )

Die Folgen des eklatanten Ausfalls waren entsprechend weitreichend: US-Präsident Barack Obama musste über die Handelsunterbrechung informiert werden, das U.S. Department of Homeland prüfte die Möglichkeit eines Cyberangriffs, das Finanzministerium und die Bundespolizei FBI wurden eingeschaltet und die US-amerikanische Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) nahm sich des Vorgangs an. Dennoch reagierten die betroffenen Börsianer relativ gelassen auf den Ausfall und versuchten ihre Geschäfte zu verlagern. Dass der Ausfall nicht in einer wirtschaftlichen Katastrophe oder gar einem Marktkollaps mündete, war nur dem komplexen Entwicklungsverlauf des Börsengeschäfts zu verdanken.

Diesmal verhinderte die Komplexität des Aktienmarktes eine Katastrophe

Ironischerweise war es ausgerechnet die Komplexität des US-amerikanischen Aktienhandels sowie dessen zunehmende Deregulierung und Fragmentierung, die dafür gesorgt haben, dass sich mit dem Totalausfall der NYSE keine wirtschaftliche Katastrophe verband. Das Gesicht der Börsenlandschaft  hat sich schlichtweg verändert: Vereinte die New York Stock Exchange zum Ende der 1990er Jahre noch rund 80 Prozent der Marktanteile auf sich, ist dieser Wert mittlerweile auf 20 bis 25 Prozent gesunken. Immer mehr Handelsplätze konnten sich in den letzten Jahren etablieren und während mittlerweile rund 40 Prozent des Aktienhandels in sogenannten "Dark Pools" (bank- und börseninterne Handelsplattformen für den anonymen Handel mit Finanzprodukten) und auf alternativen Handelsplattformen stattfindet, teilen sich insgesamt elf Börsen den Rest des Handelsvolumens. (Eine grafische Darstellung, die die Umverteilung auf andere Handelsplätze zeigt, findet sich hier )

Eine lange Liste kurioser Börsenpannen

Oder anders ausgedrückt: Eine durch den gravierenden Softwarefehler leicht denkbare wirtschaftliche Katastrophe wurde vor allem deshalb verhindert, weil die Geschäfte an anderen großen Handelsplätzen wie gewohnt weiterliefen und sich seit einiger Zeit die Möglichkeit bietet, NYSE-Aktien auch an anderen Börsen und alternativen Handelsplätzen zu handeln. Für die NYSE dürfte dies ein schwacher Trost gewesen sein: Welcher Händler ist schon erfreut, wenn seine Kunden zur Konkurrenz abwandern, weil die Software streikt? Und auch wenn die Komplexität des modernen Aktienhandelns einmal ihr gutes Gesicht gezeigt hat, ist der Aktienmarkt nichtsdestotrotz aufgrund gestiegener Fragmentierung und dem zugenommenen Anteil des Hochfrequenzhandels, bei dem Computersysteme im Millisekundentakt zahlreiche Transaktionen ausführen, heutzutage sehr viel komplexer und brachte bereits zahlreiche Softwarepannen im Börsenumfeld mit sich.

Nicht das erste Software-Debakel im Börsenumfeld

Und dabei stellt der beinahe vierstündige Ausfall der NYSE - erschreckenderweise - beileibe nicht den ersten Vorfall dar, bei dem ein Software-Problem für Kopfzerbrechen auf dem für die Wirtschaft relevanten Börsenparkett gesorgt hat. Zuletzt war es der Börsenhändler Knight Capital, der solcherart Schlagzeilen produzierte: Eine fehlerhafte Handelssoftware zwang am 31. Juli 2012 das solide, milliardenschwere Unternehmen beinahe in die Insolvenz, nachdem ein Softwareupdate dazu geführt hatte, dass die vollautomatisierten Handels-Softwaresysteme des Unternehmens einen falschen Algorithmus nutzten, um Aktien überteuert zu kaufen und Verluste im Mikrosekundentakt zu erwirtschaften.

Der kritische Vorfall vernichtete pro Minute zehn Millionen Dollar und nachdem das System nach 40 Minuten verzweifelt vom Netz genommen wurde, standen rund 440 Millionen Dollar Verlust zu Buche. Knight Capital saß laut Wall Street Journal anschließend auf einem Berg ungewollt zu teuer gekaufter Aktien im Wert von rund sieben Milliarden Dollar, die man mit Abschlag an Goldman Sachs verkaufen musste, um einer Pleite zu entgehen . Ein eklatantes Beispiel dafür, wie Software die Unternehmensabläufe bis ins Innerste durchdringt und in diesem Fall das Wortspiel "Knightmare on Wall Street" zur Folge hatte. Knight Capital war gezwungen, einer Gruppe von Investoren Schuldpapiere im Austausch gegen rund 400 Millionen Dollar  zur Verfügung zu stellen, die das Unternehmen zwar vor dem Ruin retteten, aber dazu führten, dass der Aktienpreis ins Bodenlose und das Unternehmen zu rund 75 Prozent in Investorenhand fiel.

Und Knight Capital ist beileibe nicht das einzige prominente Opfer fehlerhafter Software in diesem Umfeld - die Liste kurioser Börsenpannen  ist leider noch deutlich länger:

  • Flash-Crash durch Hochfrequenzhandel: Im Mai 2010 ließ ein "Flash Crash", ein heftiger Einbruch der Aktienmärkte, innerhalb von Minuten die Kurse abstürzen - der Dow Jones verlor beinahe 1.000 Punkte und rund eine Billion Dollar wurde vernichtet. Als Ursache wurde im Nachhinein der durch Computer gesteuerte Hochfrequenzhandel ausgemacht.
  • BATS-Börsengang schlägt fehl: Bei der Erstnotiz der drittgrößten US-Börse BATS Global Markets im März 2012 sorgte eine neue Software dafür, dass die neuen BATS-Aktien aufgrund falscher Transaktionen binnen Minuten von 16 Dollar auf unter einen Cent sanken und zurückgenommen werden mussten.
  • Facebook-Absturz: Als das bekannte Social-Network Facebook im Mai 2012 an die Börse strebte, sorgten Fehler im Handelssystem der Technologiebörse Nasdaq dafür, dass der Kurs des Unternehmens rapide absank und für die beteiligten Unternehmen Millionenverluste einfuhren.
  • Eurex steht still: Am Morgen des 26. März 2013 zwang eine fehlerhafte Zeitsynchronisierung die Derivate-Börse Eurex zu einer einstündigen Aussetzung und zur Zurücksetzung sämtlicher Produkte auf den Stand vor der Börseneröffnung.
  • Nasdaq lahm gelegt: Aufgrund einer technischen Panne stand die US-Technologiebörse Nasdaq am 22. August 2013 für rund drei Stunden still, nachdem die Übermittlung von Kursdaten an die New Yorker Börse durch einen Softwarefehler offenbar zusammengebrochen war.
  • Goldman ordert ungewollt: Auch die US-Investmentbank Goldman Sachs musste in der Vergangenheit Erfahrungen mit ungewollt gekauften Aktien machen, nachdem am 21. August 2013 eine Computerpanne dafür gesorgt hatte, dass bloße Interessensbekundungen an Aktienoptionen fälschlicherweise als Handelsorders verschickt wurden. Der mögliche Verlust lag in Millionenhöhe.

Vermeintlicher Konflikt zwischen Time-to-Market und Qualitätssicherung

Angesichts solch eklatanter wirtschaftlicher Bedrohungen, die sich mit fehlerhafter Software verbinden, stellt sich schnell die Frage nach Ursachen und Behandlungsmöglichkeiten, die im Falle der NYSE wohl vor allem im Zusammenhang mit der Wartung von Software stehen dürften.

Unter dem Strich wirft der Ausfall der NYSE also vor allem ein schlechtes Licht auf dessen Betreiber Intercontinental Exchange (ICE), welcher die Traditionsbörse 2012 für 8,2 Milliarden US-Dollar übernommen und mit der Akquisition wohl vor allem auf Kostensynergien spekuliert hatte. Auch wenn ICE entsprechende Vorwürfe bereits kurz nach dem Ausfall zurückgewiesen hat, entsteht leicht der Eindruck, dass das Unternehmen aus Georgia im Zuge von Kostenkürzungen schlichtweg an der falschen Stelle gespart und in seiner Software so Schwachstellen provoziert hat, die dann zu jenem Software-Fehler führten, der den Totalausfall verursachte.

Und mit einer solchen Sparhaltung gegenüber der Wartung und Modernisierung von IT und Software wäre ICE sicher beileibe nicht allein. Aus Managementsicht besteht ein Zielkonflikt zwischen einem schnellen Time-to-Market mit umfangreichen Funktionen und der Investition in die Qualitätssicherung und Wartbarkeit von Software. Um Missverständnisse zu vermeiden: Natürlich investieren Unternehmen in Software-Qualität, sonst gäbe es noch viel mehr Sicherheitslücken. Rückt allerdings die Deadline näher oder erhöht sich der Druck, werden in der Hitze des Gefechts regelmäßig die Prioritäten in Richtung von mehr Funktionalität verschoben. Dies ist paradox, da die nachträgliche Schließung von Sicherheitslücken und der potenzielle (Image-)Schaden von Softwarefehlern viel teurer sind, als von Beginn an auf Softwarequalität zu setzen.

Der Preis für die schnelle Erzeugung neuer Funktionen ist die Aufnahme von "Qualitätsschulden", deren möglichst rascher Abbau immens wichtig ist, da sie über die Zeit steigende Kosten produzieren. Denn es ist vor allem die abstrakte, "unsichtbare" Natur von Software, die es Managern erschwert, gering- und hochwertige Software voneinander zu unterscheiden. Und da Bugs und Fehlfunktionen erst mit der Zeit auftreten, ist es teuer und aufwändig, diese Fehler zu einem solch späten Zeitpunkt zu entdecken und zu korrigieren. Im schlimmsten Fall droht - wie im Fall der NYSE - ein Totalausfall aufgrund eines Softwarefehlers.

An Software-Modernisierung darf nicht gespart werden

Die Bedeutung von Software-Modernisierung hat angesichts der massiv gestiegenen Komplexität von Software also signifikant zugenommen. Gleichzeitig lässt sich die unmittelbare Relevanz von Modernisierungs- und Instandhaltungsmaßnahmen aber häufig nicht ohne weiteres abbilden - insbesondere zumal es in den Führungsetagen zumeist an einem tieferen technischen IT-Verständnis fehlt. "Sorry before Save" ist folglich ein beliebtes Vorgehen, wenn es um die Modernisierung von Software geht und entsprechend schwierig ist es für technische Verantwortliche, Budgets hierfür zu erhalten. Doch wie können diese ihre Budgetgeber, Entscheider und internen Kunden von der Notwendigkeit zu qualitäts- und produktivitätssteigernden Maßnahmen überzeugen, wenn Softwarequalität weitgehend unsichtbar bleibt?

Um beide Standpunkte - die aus technischer Sicht wichtige Software-Qualität und das vom Management angestrebte schnelle Time-to-Market - vereinen zu können, bedarf es der Schaffung eines gemeinsamen Verständnisses auch für hoch technische Themen. Um vom Management genügend Zeit vorgesehen zu bekommen, muss ein Technikleiter letztlich die Nicht-Techniker davon überzeugen, Geld in Modernisierung und Nachhaltigkeit der Anwendungen zu investieren. Dies kann er durch die auch für Nicht-Techniker intuitive Sichtbarmachung technischer Risiken erreichen, wie es etwa durch automatisiertes Data-Driven Software-Management möglich ist. Solche Software-Analytics-Verfahren können Software-Schwachstellen in einer halbautomatischen Weise erkennen und Entscheidungsvorschläge unterbreiten. So werden Fehler und Sicherheitslücken beseitigt und wertvolle Ressourcen können reorganisiert werden, um das Time-to-Market zu erfüllen.

Daneben sollten Software-Manager von Anfang an den Fokus auf Softwarequalität in die internen Anreiz- und Belohnungssysteme einbauen. Dies heißt konkret: Ein Entwickler wird nur dann als gut bewertet, wenn er viele Funktionen in kurzer Zeit realisiert und diese Features von hoher Qualität und gut getestet sind. Um dies sicherzustellen, ist Transparenz besonders wichtig. Sowohl das Management als auch die Entwickler müssen jederzeit sehen können, ob Lösungen sauber oder schlampig programmiert wurden. Andernfalls droht Software schnell zu einer maroden Brücke zu werden, die zwar stark befahren ist, deren Strukturschäden aber nicht repariert, sondern lediglich mit neuem Lack überzogen wurden. Und welches Unternehmen sieht es schon gerne, wenn seine Kunden im Falle des Zusammenbruchs der wichtigen Handelsbrücke dann an andere Marktplätze wechseln?

Johannes Bohnet ist Geschäftsführer von Software Diagnostics und Mitglied der MeinungsMacher von manager-magazin.de.

Die Wiedergabe wurde unterbrochen.