in Wissenschaft & Frieden 1987-3: Der mühsame Weg zur Abrüstung ...

zurück vor

Risikoproblematik moderner Waffensysteme - Modellfall SDI

von Josef Nietzsch

Trägt man über einer Zeitskala den qualitativen Zuwachs an Waffenarten auf, so stellt man fest, daß für die vergangenen 20.000 Jahre der Menschheitsgeschichte folgende Tendenz zu beobachten ist. Bis zur Einführung der ersten Fernwaffen, wie Pfeil und Bogen bzw. Speer, waren Tausende von Jahren vergangen, ohne eine qualitative Waffenweiterentwicklung. Mit diesen Waffen erhöhte sich ihr Einsatzeffekt und erhielt eine neue qualitative Dimension, als es gelang, mehr physikalische Prinzipien beim Bau von Waffen zu verwenden, etwa unter Beachtung der Hebelgesetze (etwa um 1000 v.u.Z.). Mit der Einführung der Feuerwaffen, ca. 2000 Jahre nach der vollen Entfaltung der klassischen Belagerungstechnik, fand die erste Revolution des Militärwesens statt, verbunden mit einer enormen Steigerung der Zerstörungskraft von Waffen. Nur ca. 500 Jahre später führte der erste Weltkrieg, unter drastischer Einbeziehung von Dynamit, Maschinenwaffen, Panzern und Flugzeugen, der Menschheit vor Augen, welche gewaltige Potenzierung an Vernichtungskraft durch die Waffenentwicklung erreicht wurde. Und nur weniger als 30 Jahre nach jenem denkwürdigen Friedensschluß von Versailles wurde im gleißenden Lichtblitz der ersten Atombombe über Hiroshima erstmals ein apokalyptisches Schicksal der Menschheit überdeutlich sichtbar, als Konsequenz eines erneut großen qualitativen Sprunges in der Waffentechnik. Seitdem kann man, in einem etwa 10-jährigen Rhythmus, eine vollständige und kontinuierliche Erneuerung der gesamten Waffentechnik beobachten, und manches spricht dafür, daß dieser Effekt noch intensiver wird, nur begrenzt durch z.T. enorme Entwicklungszeiten für moderne Waffensysteme, wenn es nicht gelingt, diesem von Menschen initiierten Wahnsinn in die Arme zu fallen.

Mit SDI ist von den USA ein erneut qualitativ wesentlicher Schritt beim Aufbau neuer Waffensysteme vollzogen worden. Konnte man bisher durch eine Fülle von Maßnahmen - dem sogenannten Krisenmanagement - oft in letzter Minute, wie noch auszuführen sein wird, ein atomares Inferno verhindern, so würde sich mit SDI die gesamte Menschheit auf Gedeih und Verderb an einige Kilogramm Halbleitermasse, an Software-Pakete und eine Fülle „glücklicher Zufälle" binden und trotzdem stets ihren eigenen Untergang vor Augen haben. Denn mit SDI tritt uns erstmals das Problem des Accidental War entgegen als einem Produkt der erneuten qualitativen Veränderung in der Waffenentwicklung und deren Einsatz.

Das SDI-Informationssystem und die Unmöglichkeit seiner Schaffung

1. Die SDI-Software

Mit SDI müßten ca. (10-100) x 103 Objekte verfolgt und bekämpft werden, durch ein Graphensystem mit (10-50) x 106 Zweigen, wobei in einigen Knoten und Zweigen Hochgeschwindigkeitsrechner zu installieren wären mit etwa 1012 Gleitkommaoperationen pro Sekunde (vereinfacht gesprochen sind mindestens 1 Billion ja/nein Entscheidungen pro Sekunde zu treffen). Das SDI-Software-System muß die Wirkung aller dargestellter Teilkomponenten steuern, koordinieren und gezielt einsetzen. Dabei sind Softwarekomponenten sowohl auf der Erde, in Flugzeugen und auf Schiffen als auch in Orbits disloziert und müssen hierarchisch und folgerichtig in jedem Zeitpunkt zusammenwirken, und dies unter allen Bedingungen. Dies ist in echtem Real-Time-Verhalten zu sichern, um stets den wirklichen und aktuellen Stand der Arbeit sowohl aller technischen Hardwarekomponenten zu gewährleisten, als auch die richtige Programmabfolge zu realisieren. Auf Grund der räumlichen Ausdehnung von SDI und der Einbeziehung des erdnahen Kosmos sind darüber hinaus Tausende von Kilometern an Informationskanälen zu überbrücken. Dies bedeutet, daß Rechner in den Kampfeinheiten, wie Laserwaffenstationen, den EM-Guns und den Kleinraketenplattformen, zu installieren sind, deren Position sich im Rhythmus des Orbitdurchlaufs ändert. Mehrere Kommandozentralen zu Lande, zu Wasser und in der Luft, ähnlich den SAC-Einheiten der US-Air Force, in diesem Graphen sollen das Eingreifen des Menschen in das System ermöglichen, wobei durch die eingangs genannten Parameter eine fast völlige Automatisierung der Softwareabarbeitung zwingend nahe gelegt wird und auch vorgesehen ist. Mit diesen einführenden Anmerkungen dürfte dem Leser die Meinung der Experten verständlich sein, daß die SDI-Software das größte Softwaresystem darstellt, das je geschaffen wurde. Hierfür sind ca. 20 x 1012 $ veranschlagt. Gleichzeitig dürfte sich auch das Gefühl ausbreiten, der technischen Hybris gegenüberzustehen.

2. Systemanforderungen und Realisierbarkeit

Folgende Situation ist leicht denkbar: Nach einer Angriffswarnung sind gleichzeitig, d.h. parallel, folgende Aktionen auszuführen:

  1. Damit ist von vornherein auf die Vektorstruktur der zu installierenden Rechner orientiert, bei denen ein Höchstmaß an Parallelbetrieb möglich wird. Auf Grund von 2. werden aber erstmals im gesamten System Komponenten aktiviert, die bis dahin nicht gearbeitet haben. Somit ist bereits in der ersten Phase des Betriebes des Systems mit einer relativ hohen Fehlerrate der Software zu rechnen, da verborgene Fehler mit den Fehlern der erstmals aktivierten Komponenten einen Fehlerverstärkungseffekt erzielen werden. Aus der Praxis der Programmierung ist aber folgender Effekt bekannt. Komplexe Softwaresysteme lassen nur sehr schwer Fehlerkorrekturen zu. Oft treten nach der Korrektur und einer zeitweiligen korrekten Arbeit genau an der gleichen Stelle erneut Fehler auf, die nur nach umfangreichen Testungen gefunden und gleichfalls nur unvollständig berichtigt werden können. Für das SDI-System ist somit a priori kein zuverlässiges Softwaresystem erstellbar, aus prinzipiellen innermathematischen Gründen.
  2. Bei der Auffassung des Softwaresystems als Graph ist man weiterhin konfrontiert mit dem Problem, daß Verzweigungspunkte in Graphen abhängig sind von Eingabedaten bzw. von anderem Datenmaterial, das erst im Verlauf der Systemabarbeitung erstellt wird. Damit ist aus innerbetrieblichen Gründen eine hinreichende umfangreiche Testung vor Inbetriebnahme nicht möglich.
  3. Auf Grund der Komplexität des Systems ist das SDI-System dasjenige Softwaresystem mit den meisten Interfaces. Die Zunahme an Interfaces bedeutet aber eine Zunahme von Fehlerquellen in einer nichtelementaren Form. Dieser Aspekt des zu schaffenden Softwarepaketes dürfte eines der schwerwiegendsten Probleme darstellen.
  4. Das System muß extrem robust und extrem schnell sein. Ein explizites Vorhersagen dieser Größen ist nicht möglich. Versuche, durch redundantes Auslegen von Systemkomponenten dieses Ziel zu erreichen, führt zusätzliche Graphenteile ein und wirkt somit ebenfalls in Richtung versteckter Fehler und in Richtung einer Arbeitsgeschwindigkeitsreduktion, da zusätzliche innere Testungen vorgenommen werden müssen. Die Robustheit meint, daß äußere Einflüsse, außer denen der Sensoren und eigenen Steuereinheiten, nahezu vollständig auszuschließen sind. Es wird sich zeigen, daß dies unter Kampfbedingungen, dem eigentlichen Ereignis, bei dem das volle System aktiviert wird, unmöglich ist.
  5. Die Inkorporation großer Teilsysteme in das SDI-Softwaresystem, die sich in ihrer Struktur über Jahre verändern, ist eine wesentliche Fehlerquelle und die periodische Implementierung neuer Subsysteme mit dem Außerdienststellen der alten Einheiten verkompliziert das beschriebene Bild weiterhin. Damit ist folgendes angedeutet. In SDI müssen „Supersysteme“ als Unterprogrammroutinen eingefügt werden, z.B. Start-, Bahn- und Landeprogramme der herkömmlichen Raketentechnik, die selbst bereits eine sehr hohe Komplexität besitzen und ständig weiterentwickelt werden. Somit entsteht das bisher nur unvollständig beherrschte Problem der dynamischen Programmierung, d.h. des über längere Zeit stark variablen Softwaresystems mit allen Fehlerproblemen.
  6. Das SDI-System muß eingebettet sein in ein Selbstkontrollsystem, das z.B. regelmäßig und in kurzen Abständen evtl. auftretende „Dead-Lines“ im System bemerkt. Bei voller Aktivierung kann

    • dieser Suchprozeß nicht abgeschlossen sein,
    • können Dead-Lines erkannt worden sein, die nicht mehr ausgeglichen werden können, womit die Funktion des Systems fragwürdig wird und fehlerhaft arbeitet.
  7. Auf Grund der hohen Informationsdichte, die es zu verarbeiten gilt, ist dieses System nahezu autonom zu gestalten, menschliche Eingriffe können bei den angestrebten Geschwindigkeiten höchstens am Anfang der Arbeit dieses Systems stehen. Damit ist, nach voller Aktivierung des Systems, der Mensch auf Gedeih und Verderb seinem von vornherein fehlerhaften Produkt ausgeliefert. Dabei muß man sich vor Augen führen, daß das teuerste und komplexeste Computersystem für die Arbeitsdauer von 30-90 Min. ausgelegt ist, der Dauer aktiver interkontinentaler thermonuklearer Handlungen. Diese Automatisierung stellt ein großes Fragezeichen. Für automatisierte Systeme sind deren Betriebsgrenzen anzugeben, innerhalb derer das System automatisch zu arbeiten hat. SDI ist aber ausgelegt für einen Fall, der in seinem Ausmaß absolut unbekannt ist. Damit sind wesentliche Anforderungen an automatisierte Systeme unerfüllbar.
  8. Innerhalb von SDI gibt es das Problem der Schaffung einer dynamischen globalen Datenbank. Zum einen müssen alle Systemkomponenten auf diese, im wesentlichen erst nach voller Aktivierung des Systems geschaffene, Datenbank Zugriff haben. Zum anderen müssen spezielle Daten (z.B. bestimmte Flugtrajektorien, ermittelte Ziele, Trefferraten etc.) gesondert gekennzeichnet und zwecks augenblicklicher Verfügung herausgehoben werden. Es ist sehr zu bezweifeln, daß bei der Größe der Dislozierung von SDI-Komponenten ein solches Datenbanksystem überhaupt erstellbar ist. Unvollständige Kenntnis aktueller Datenstrukturen aber führt zu einer falschen Wirkung der SDI-Software. Insbesondere ist diese Datenbank zur Kontrolle der Wirkung des SDI-Systems unerläßlich. Eine den Einsatzanforderungen nicht genügende Datenbank für SDI aber kann im schlimmsten Fall das Gegenteil der beabsichtigten Wirkung erzielen (z.B. Unterdrückung der Waffenauslösung, da ein „falscher Alarm“ ausgelöst worden ist!).
  9. Eine weitere wesentliche Fehlerquelle liegt in den Prozessoren der untersten Systemebene und deren Fehlerraten, da diese an das gesamte System weitergegeben werden und so unüberschaubar werden. Dies ist eine weitere schwerwiegende Quelle für falschen Einsatz von SDI-Komponenten.

Auf Grund der sehr kurzen „Arbeitszeit“ des SDI-Softwaresystems sind Hardwarefehler oder gar Ausfälle von Komponenten niemals ausgleichbar, d.h. es gibt für SDI unter Operationsbedingungen keine Möglichkeit einer Reparatur. Hieraus folgert man, daß aus einem zusammenhängenden Netzgraphen ein zerrissenes Netz wird, mit unüberschaubaren Konsequenzen und Reaktionen.

Schließlich entsteht im SDI-Computernetz das Problem der Desynchronisation und der Totzeit. Die geschilderte Parallelarbeit muß wirklich parallel und kausal im Sinne der Systemphilosophie sein. Auf Grund einer hohen relativen Eigenständigkeit von Teilsystemen wird mit Sicherheit folgende Situation zu erwarten sein. Eine zu erstellende Information von Komponente A wird in B benötigt, jedoch ist in B die Entscheidung schneller zu fällen, als A die notwendige Grundlage hierfür liefert. Situationen dieser Art können zu chaotischen Reaktionen des Systems führen bis hin zum vollständigen Zusammenbruch des gesamten Systems mit gleichfalls unvorhersehbaren Konsequenzen.

Schließlich tritt uns mit SDI erstmals drastisch das Problem der Endlichkeit von Signalausbreitungen entgegen. Die Höchstgeschwindigkeit für die Ausbreitung elektromagnetischer Strahlung ist die Lichtgeschwindigkeit. Diese setzt allen Informationssystemen eine absolute obere Übertragungsgeschwindigkeit. Bei der Überbrückung von Signalentfernungen von mehreren tausend Kilometern wird dieses Problem bedeutsam und verstärkt wesentlich das Synchronisationsproblem durch die Produktion von Totzeit. Die unter 1)-11) aufgelisteten Probleme sind reine Probleme des „hochkomplexen Betriebssystem“. Zu diesen Unsicherheiten treten weitere Fragwürdigkeiten der SDI-Installation.

3. Die Rolle des Menschen innerhalb von SDI

Wie in 2. dargestellt, ist innerhalb von SDI der Mensch weitgehend substituiert und spielt die Rolle eines „gleichberechtigten“ Startelements (denn die Selbstaktivierung in einem „Extremfall“ ist natürlich vorgesehen, hierzu noch einiges mehr später).

Bei Eintreffen einer Angriffswarnung und Aktivierung des Systems durch Menschen bedeutet dies, daß in den ersten Sekunden bis 1,5 Minuten nach einem Plan verfahren werden muß, der wesentliche Momente gegnerischen Handelns als Ausgangspunkt enthält. Von vornherein aber ist im Fall einer Warnung ein Waffeneinsatz (z.B. nukleargepumpter LASER) zur Ausnutzung der Boost-Phase vorgesehen, d.h. bei Aktivierung des Systems ist ein Krisenmanagement, z.B. durch die Informationslinie Weißes Haus/Kreml ausgeschlossen. Da nach Aktivierung des Systems aber ein nahezu automatisches Wirken von SDI vorgesehen ist, bleibt für menschliche Eingriffe kein Spielraum, so daß eine evtl. Auswertung zweifelhafter Signale, das Erkennen fehlerhafter Informationen oder Geschehnisse aus speziellen physikalischen Situationen heraus (z.B. gesichtete Meteoritenschwärme) unmöglich wird und somit nach voller Aktivierung des Systems eine zwanghafte Ereignisabfolge eintritt. Es ist unmöglich, für ein derart hochkomplexes automatisiertes System sichere Wirkgrenzen zu definieren. Man muß somit innerhalb von SDI Bedrohungssituationen automatisch, ohne menschliche Beteiligung, analysieren und hieraus automatisch weitreichende Konsequenzen ableiten, bis hin zum thermonuklearen Weltkrieg.

4. Das Problem des Systembaus und dessen Testung

Technisch beherrschbar ist

Eine gewisse Zuverlässigkeit von Teilkomponenten erreicht man auch durch Inkorporation bewährter Expertensysteme innerhalb von SDI (z.B. spezielle Dopplerradareinheiten und Rechner zur automatischen Verfolgung und Vernichtung gegnerischer Flugobjekte). Mit diesen realisierbaren Möglichkeiten aber ist man noch meilenweit von dem entfernt, was unter .2. angedeutet wurde. Mit der Zusammenschaltung aller Teile zu einem Komplex beginnen alle geschilderten Probleme.

Als Ausweg werden Computersimulationen, künstliche Intelligenz und die Programmverifikation angeboten. Ohne auf Detailfragen einzugehen, kann man folgendes feststellen:

Durch die Inkorporation von Expertensystemen in SDI ist die Möglichkeit der Verwendung künstlich intelligenter Einheiten ausgeschöpft, eine wesentliche Verbesserung der vorhandenen Situation ist vorläufig kaum zu erwarten. Die Verifikation eines Programms, d.h. der Test auf Korrektheit und Konsistenz löst keine der genannten Probleme, da Verifikation über Spezifizierungen, die unerläßlich für das korrekte Arbeiten sind, nichts aussagt (z.B. ist ein Programm zur Berechnung einer Satellitenbewegung ebenso korrekt im Sinne der Mathematik, wenn dieses die Bewegung des Satelliten mit oder ohne Erdbewegung um die Sonne enthält, wohl aber kaum im Sinne der Physik!). Schließlich dürfte es sehr schwierig sein, das höchstkomplexeste Computersystem auf einem weniger komplexen System zu simulieren. Dies ist aber nicht das Hauptproblem. Denn eine sachgemäße Simulation erfordert die Beherrschung des Simulationsobjekts, und dies ist niemals gegeben, wie gleich gezeigt wird. Somit sind alle Hoffnungen auf eine sachgemäße Testung illusorisch. Eine sachgemäße Testung. wäre ein Test unter vollen Operationsbedingungen, bei denen alle Systemkomponenten aktiviert sind, also im Fall eines thermonuklearen Krieges. Die hier auftretenden realistischen Bedingungen und Daten sind als Simulationsparameter unerläßlich, womit das Simulationsargument gegenstandslos wird. In einem solchen „vollen“ Testfall würden auch inhärente Fehler gemäß 2. sichtbar und man kommt zu dem SDI Widersinn, daß das SDI-System überhaupt studierbar wird erst unter vollen Operationsbedingungen, diese Bedingungen aber a priori die absolut korrekte und zuverlässige Arbeit des Systems voraussetzen, was prinzipiell unmöglich ist. Noch schwerwiegender wird dieses Problem unter dem Aspekt wirklicher Kampfhandlungen.

5. SDI-Systeme unter Kampfbedingungen und das Problem positiver Rückkopplung

Es soll hier nicht die gesamte Palette von Gegenmaßnahmen erörtert werden, sondern es wird lediglich untersucht, ob das Eintreten von realistischen Operationsbedingungen nicht bereits SDI überfordert.

Innerhalb von SDI muß über Jahre, ja für die gesamte Dauer seiner Stationierung und seines Betriebes stets die aktuelle Feindeinschätzung ausgetauscht und eingespeist werden (ökonomische Potenzen, militärische Potenzen, Angriffsverhalten, Angriffsevolution usw.), wobei es sich in vielen Fällen um hypothetische Größen handelt. Die Konfrontation, bei Aktivierung, von SDI mit einer unvorhergesehenen Kampfbedingung setzt, zumindest zeitweilig, die Effektivität dieses Systems beträchtlich herab (es wird ein „Lernzyklus“ nötig mit allen Folgen von 2.2.).

Seit der Indienststellung der MIRV-Technologie ist es relativ leicht möglich, bei Aufklärungseinheiten (Sensoren und Rechnern) einen Sättigungseffekt zu erzielen. Beide eben genannten Effekte werden noch dramatisch verschärft durch die Forderung der Real-Time-Arbeit des Systems, auch bei Verwendung einer neuen Computergeneration.

Weiterhin sind Sensoren hochempfindliche Einrichtungen, die durchaus für falsch codierte Informationen (Irritation durch den Gegner) aufnahmefähig und empfindlich gegen äußere Einwirkungen sind (Blendung). Ein derart gestörtes SDI-System ist in seinen Reaktionen auf keinen Fall prognostizierbar und dürfte dann chaotisch reagieren.

Schließlich ist eine direkte Zerstörung von SDI-Komponenten ein irreparables Ereignis, mit gleichfalls unüberschaubaren Konsequenzen. Die sehr ausgedehnten SDI-Computer und -Waffenstände im All aber sind durch Schwärme von sogenannten Weltraumminen sehr leicht entscheidend zu verletzen, wodurch aus einem zusammenhängenden Graphen ein zerrissener wird, mit den beschriebenen Folgen.

In diesem Zusammenhang bleibt noch ein besonders bedrückendes Problem innerhalb der SDI-Situation übrig, das der Selbst-Aktivierung durch zufällige Einflüsse a) bzw. durch positive Rückkopplung mit dem gegnerischen C3I-System b).

a) Eine innere Störung, ein Computerfehler, die Deutung einer Situation als Angriff (Meteorite - das gab es schon mehrmals bei NORAD), ein defekter Chip, menschliches Fehlverhalten, können zur Gesamtaktivierung des Systems führen und so den atomaren Holocaust bewirken.

b) Es gibt aber noch einen viel bemerkenswerteren Sachverhalt, die unbeabsichtigte Kopplung der C3I-Systeme beider Weltmächte. Dieser Vorgang kann wie folgt beschrieben werden. Im US-amerikanischen System wird eine Alarmmeldung empfangen und an SDI weitergegeben, diese bewirkt gewisse Maßnahmen innerhalb von SDI der beschriebenen Art. Die bleibt dem sowjetischen System nicht verborgen mit gleichzeitiger Einleitung entsprechender Aktivitäten im Sinne des eingangs beschriebenen strategischen Spiels. Hierauf reagiert, als Bestätigung seiner Teilaktivierung, das amerikanische System, usw., das „Zugende“ dieser Wechselwirkung ist bekannt, da der Mensch in diesem System substituiert ist - accidental war. Eine Beherrschung dieses Effektes ist bisher nicht in Sicht. Mit diesen Ausführungen sind die wesentlichen Probleme umrissen, die mit dem Aufbau eines weltraumgestützten ABM-Systems verbunden sind. Das Szenarium ist bedrückend genug, der Aufruf, diesem Wahnsinn aus technischer Überheblichkeit und geistiger Uneinsichtigkeit Einhalt zu gebieten, unübersehbar.

Literatur:

1) D. Engels, J. Scheffran, E. Sieker: Die Front im All; Pahl-Rugenstein, 1984
2) Wehrpolitische Information, München, Jahrgang 86
3) Wehrtechnik, Bonn, Jahrgänge 85/86
4) Das Billionen Dollar Projekt, Bild d. Wiss., 5/86
5) Europäische Wehrkunde, Jahrgänge 85/86
6) The Soviet Military Power, US-Government, 3/86
7) Zeitschriften der Luft- und Raumfahrt:
(a) US-Air Force-magazine, Jahrgänge 85/86
(b) Aviation Week and space technology, Jahrgang 86
(c) Fliegerrevue, Jahrgänge 85/86 (d) Interavia, Jahrgänge 85/86
(e) Kosmonawtika: Aviazia, Jahrgänge 85/87
8) Tageszeitungen: ND, Prawda, Roter Stern, FAZ, Frankfurter Rundschau, Times, Washington Post
9) EVI, EUREKA, SDI, Analyse und Kritik; Die Friedensliste, März, 1986, Frankfurt/M., v. Altmann, Bruckmann u.a.
10) D. L. Parnas: The SDI-Software-Problem, Comm. ACM
11) D. Nellson, R. Reddell:The star-wars-computer-system, ABACUS, Winter 1986

Prof. Dr. sc. nat. Josef Nietzsch ist Hochschullehrer für Mathematik an der Humboldt-Universität zu Berlin.

in Wissenschaft & Frieden 1987-3: Der mühsame Weg zur Abrüstung ...

zurück vor

weitere Informationen dieses Fenster ausblenden