Hat ein Computerfehler 189 Menschen getötet?

Am 29. Oktober 2018 leitete der Bordcomputer einer neuen Boeing 737 bei Jakarta einen Sinkflug ein, den die Piloten nicht abbrechen konnten. Das Flugzeug stürzte ins Meer, alle Insassen kamen ums Leben.

Das verunglückte Flugzeug enthielt eine Software, die Strömungsabrisse verhindern soll. Dazu drückt das Programm die Nase des Flugzeugs automatisch nach unten. Das geschah anscheinend auf dem Unglücksflug aufgrund fehlerhafter Sensordaten immer wieder. Einen Tag vor dem Unglück war der gleiche Fehler schon einmal aufgetreten. In diesem Fall schalteten die Piloten die Software ab und steuerten das Flugzeug manuell. Beim Unglücksflug gelang das den Piloten nicht. Ob sie unzureichend geschult waren und die Abschaltprozedur daher nicht kannten, konnte bisher nicht geklärt werden.

Aus Sicht der IT-Sicherheit kommen in diesem Fall drei Fehlerquellen zusammen: 1. Hardwarefehler 2. Softwarefehler und 3. unzureichende Dokumentation / Schulung der Benutzer. Hardwarefehler An dem Flugzeug waren Sensoren angebracht, die die Geschwindigkeit und den Anstellwinkel der Tragflächen messen. Diese Sensoren lieferten fehlerhafte Daten. Softwarefehler Aufgrund der fehlerhaften Daten leitete die Software den Sinkflug ein, um einen Strömungsabriss an den Tragflächen zu verhindern. In Wirklichkeit lag die Gefahr eines Strömungsabrisses nicht vor. Trotzdem lenkte der Bordcomputer die Boeing immer weiter nach unten, selbst als kritische Mindestflughöhen unterschritten wurden.

Moderne Flugzeuge verfügen über Warnsysteme, die aktiv werden, wenn die Maschine zu tief fliegt und sich dem Boden oder einem Hindernis nähert. Der Bordcomputer befand sich also in einem Dilemma: Bodenannäherung ist natürlich eine absolut kritische Situation, die es unter allen Umständen zu vermeiden gilt. Andererseits kann auch ein Strömungsabriss zum Absturz führen. An dieser Stelle hätte die Programmlogik einen Fehler erkennen, die Automatik abschalten und die Steuerung an die Piloten übergeben müssen. Unzureichende Dokumentation: Die Piloten wiederum hätten ihrerseits die Automatik abschalten und die Steuerung übernehmen müssen. Dass ihnen das nicht gelungen ist, deutet auf Lücken in der Dokumentation und in der Schulung der Piloten hin.

Für mich ist das ein entsetzliches Beispiel dafür, wie Sicherheitsmaßnahmen sich in ihr Gegenteil verkehren können. Die Automatik gegen den Strömungsabriss soll ja die Flugsicherheit erhöhen. Tragischerweise ist das Gegenteil passiert.