Tausende Softwarespezialisten, darunter viele ins Berufsleben zurückgeholte Cobol- und Assembler-Experten, arbeiten an einer Aufgabe, bei der es kaum Lorbeeren zu verdienen gibt. Erfreulich ist das Geschäft allenfalls für die ebenfalls in großer Zahl herbeigerufenen Retter von DV-Anbietern. Doch aller Aufwand stellt keinesfalls sicher, daß die Arbeit zum Stichtag 1. Januar 2000 über jeden Zweifel erhaben sein wird.

Bisher konzentrierte man sich vor allem auf die detektivische Ermittlung softwaretechnischer Gefahrenherde und deren automatische oder manuelle Bekämpfung. Für den Rest der Zeit dürfte sich die Aufmerksamkeit eher einer neuen Fehlerquelle zuwenden, den Embedded Systems, den in Chips gebrannten Programmen.

"Man braucht sich nur den Ausfall eines rechnergesteuerten Kühlsystems vor Augen zu führen", erklärte Egbert Willam von der Kölnischen Rückversicherung AG in seiner Eröffnungsrede anläßlich deren Jahr-2000-Kongresses vor wenigen Wochen in der Domstadt. "Das kann Stillstand oder die totale Katastrophe nach sich ziehen."

1996, ebenso wie 2000 ein Schaltjahr, sprang das Kühlungssteuerungsprogramm in einem neuseeländischen Unternehmen bereits am Silvestertag um. Drei von fünf Aluminiumschmelzkesseln brannten durch und verursachten einen Schaden von 1,5 Millionen US-Dollar.

Zwei Zeitzonen weiter die gleiche Katastrophe in Australien. Beide Unternehmen nutzten ein Steuerungssystem desselben Herstellers. Alle 660 Prozeßrechner der Firmen stürzten um Mitternacht ab. Opfer eines einzigen fehlprogrammierten Softwaresystems wurde auch der Brüsseler Börsenhandel. Die Bilanz des etwa dreistündigen Knockout: zirka ein Schaden von einer Million US-Dollar.

Seit solche Fälle bekannt sind, meint William, könne sich kein Vorstand oder Geschäftsführer mehr ein lückenhaftes Problembewußtsein erlauben. Sie leisten es sich aber doch, wie William alarmiert feststellen mußte: "50 Prozent der deutschen Unternehmen schaffen die Computerumstellung nicht mehr."

Die Versicherungen täuschen sich nicht: Unaufhaltsam rollt eine Lawine aus Schadenersatzforderungen und rechtlichen Auseinandersetzungen auf sie zu. Keiner kann vorhersagen, was tatsächlich passieren wird. Schadenerfahrungen und Statistiken, auf die sich normalerweise ein Heer aus Versicherungsmathematikern stürzt, gibt es zu diesem Risiko nicht.

Das Schlimmste: Hat sich der Fehler erst einmal ereignet, setzt sich eine Wirkungskette in Gang, die räumlich nicht begrenzt ist und damit eine aus versicherungsrechtlicher Sicht schwierige Kumulationsproblematik nach sich zieht.

Trotzdem wiegen sich die DV-Anwender in Sicherheit. Doch die Annahme vieler Versicherungsnehmer, ihr Partner müsse für jeden Schaden aufkommen, sei verfehlt, hieß es in Köln. Nicht zu überhören ist auch der Unmut über das "unhaltbare" Ansinnen, für die mangelhafte Vorsorgepflicht der Kunden in Sachen Problem 2000 geradestehen zu sollen.

Bringschuld der Versicherungsnehmer

Die Umstellung der Computersysteme sei eine Bringschuld der Versicherungsnehmer. Schließlich berichte die Fachpresse seit 1996 permanent über das Thema, hieß es auf der Pressekonferenz in Köln. Von einem unvorhersehbaren Ereignis wie Feuer, Diebstahl oder Betriebsunterbrechung könne also keine Rede sein.

Damit sich die schlechte Nachricht bis in den entlegensten Winkel des Landes verbreitet, setzen die Versicherungen nun auf Information und Aufklärung.

Um auf die mit dem Jahrtausendwechsel verbundenen Risiken aufmerksam zu machen, ergriff die Kölner Rück mit einer Befragung von DV-Anwendern über den Stand ihrer Umstellungsprojekte im letzten Jahr die Initiative.

Jetzt lud der Kölner Konzern erneut Versicherungsunternehmen und Kunden zum Meinungsaustausch ein. Präsentiert wurden dabei die Ergebnisse einer aktuellen Umfrage unter 140 DV-Verantwortlichen aus Metallindustrie, Maschinenbau, Banken und Chemie. Das erfreulichste Ergebnis vorweg: 49 Prozent aller Systeme sind bereits umgestellt.

Hatte sich der Rückversicherer bei seiner ersten Umfrage 1997 noch auf haftungsrechtliche Fragen konzentriert, stand bei der neuerlichen Erhebung die Sachversicherung im Mittelpunkt. Bei der Auswahl der befragten Firmen richtete man sich vor allem an jene Industriezweige, die einen hohen Automatisierungsgrad haben und einen engen Datenaustausch mit Partnerunternehmen pflegen. Die von Hard- und Softwareprogrammen sowie einer Vielzahl von Mikrochips ge- steuerten Prozesse weisen eine hohe Wahrscheinlichkeit für Produktionsausfälle und Folgeschäden auf.

Die Resultate der Befragung spiegeln ein diffuses Bild wider. Einerseits haben sich im letzten Jahr viele Unternehmen eingehend mit dem Problem 2000 befaßt und konkrete Maßnahmen ergriffen. Viele sind in der Endphase ihrer Projekte angelangt oder haben sie bereits unter Dach und Fach.

Bedenklich stimmt hingegen, daß nur ein Drittel der Firmen ihre Umstellungsprojekte zur Chefsache erklärt hat und nur 36 Prozent zusätzliche Budgets bereitstellen. Mehr als die Hälfte der Betriebe aus Maschinenbau- und Metallindustrie rechnet mit einem maximalen Schaden von 500000 Mark. Ferner überrascht, daß der Stellenwert der Jahr-2000-Projekte im Vergleich zum Vorjahr mit Ausnahme der Chemieunternehmen teilweise deutlich gesunken ist.

Wie Alexander Quack-Gobecker, Leiter Sachversicherung der Kölner Rück und verantwortlich für die Studie, erläuterte, hätten die Projekte im Vergleich zu parallellaufenden Euro-Vorha- ben keine imageträchtige Wirkung. Die Chefetagen neigten deshalb dazu, es "defensiv" zu behandeln.

Welche Irrtümer die aktuelle Diskussion beherrschen, belegen weitere Ergebnisse. Laut Martin Zorn, Spezialist für Risikofragen bei der Kölner Rück, sind viele Anwender davon überzeugt, mit dem Umstieg auf Standardsoftware wie SAP R/3 auf einen Schlag alle Probleme zu lösen.

Auch die einseitige Favorisierung spezieller Tools, von Herstellern mit falschen Versprechungen in den Markt gedrückt, gehe völlig an den Anforderungen eines typischen Szenarios aus Netzwerken, Schnittstellen sowie unterschiedlicher Hard- und Softwarekomponenten vorbei. Auf der anderen Seite machten sich Anbieter dieser Werkzeuge auch nicht mehr die Mühe, auf kleine und mittlere Unternehmen zuzugehen. "In deren Sammelsurium aus unterschiedlichen Systemen erwartet man zu viele Probleme", so der Risikoanalytiker.

Zorn zeichnete ein düsteres Bild. Einige Umstellungstestläufe zeigten die Auswirkungen fehlerhafter Programme. So fiel in Kanada bei einem Year-2000-Compliance-Test die gesamte Produktionslinie eines Autoherstellers aus. Ein Chemieunternehmen stellte eine Steuerung bei laufender Maschine um: Das System stürzte ab, der Kunststoff im Extruder wurde hart und setzte das Gerät schachmatt.

Konkrete Schreckenszenarien lassen sich für die Sicherheitstechnik ableiten. Zeitgesteuerte Brandmeldeanlagen etwa: Kommt es zu Fehlern in der Scharf-unscharf-Schaltung, wird ein Feueralarm nicht erkannt und weitergegeben. Was passiert, wenn das Telefonnetz für Stunden oder sogar tagelang ausfällt und Leitstellen von Sicherheitsunternehmen, Polizei und Feuerwehr auf dem Schlauch stehen? Auch Zugangs- und Kontrollsysteme in Banken oder Kraftwerken könnten ausfallen.

Komplexe Netze besonders exponiert

Besonders exponiert für den "Deep Impact" sind komplexe Netzwerke, automatisierte Fertigungsprozesse und umfangrei- che Produktionsplanungssysteme. Wie Frank Sempert von der Initiative Jahr 2000 auf dem Kölner Kongreß vortrug, gibt es rund drei Milliarden Mikrochips in Leittechnik- und Steuerungssystemen. In der Chemieindustrie beispielsweise sind Prozeßleitsysteme und Meß- und Regeltechniken derart miteinander vernetzt, daß Sensoren und Temperaturfühler wiederum Ventile, Pumpen, Motoren und Dosiereinrichtungen steuern.

Zorn verwies auf ein amerikanisches Unternehmen, daß bei der Überprüfung der rund 150000 Embedded Chips zirka 100 mit Zeitfunktionen entdeckte, die keine Jahr-2000-Kompatibilität aufwiesen. Das britische Institute of Electrical and Electronic Engi- neers (IEE) rechnet damit, daß von 1000 Mikrochips drei ausgetauscht werden müssen. Und zwar genau jene, deren Fehlfunktion zu massiven Sach- und Betriebsunterbrechungsschäden führt.

Wie die Umfrage der Kölner Rück zeigte, hat das Jahr-2000-Problem in der Chemiebranche höchste Priorität. Doch die Unternehmen sind in puncto Embedded Systems machtlos. Wie sollten sie auch zur Überprüfung aller Elemente oder zu Testzwecken ihre Anlagen abschalten, ohne sich damit einen teuren Produktionsausfall einzuhandeln?

Zudem seien die meisten Lösungen proprietär und würden ständig von den Herstellern gepflegt und angepaßt. Diese aber hätten für zusätzliche Leistungen, etwa zum Check der Systeme, überhaupt keine Ressourcen frei.

Die Behebung dieser Probleme ist für die Chemieunternehmen äußerst schwierig und zudem mit weiteren Risiken verknüpft. Die Freisetzung korrosiver Stoffe und die Überhitzung von Reaktoren sind ebensowenig auszuschließen wie ein Roboterausfall in der Automobilindustrie oder die Aus- rüstung eines Fahrzeug0typs mit falschen Reifen. Wie schwierig sich die Situation im Kraftwerkbereich darstellt, zeigt das in Betreiberkreisen bekannte Sprichwort "Never touch a running system".

Das "Year 2000 Journal" warnt bereits vor einer Ausfallquote von zehn bis 50 Prozent. "Man braucht nicht viel Phantasie", folgerte Zorn, "um das enorme Schadenspotential hinter diesen Szenarien zu erkennen." Wie der Bundesgerichtshof in einem Urteil vom 25.2.1998 festhält, "können Energieversorgungsunternehmen die Haftung für Sach- und Vermögensschäden von Abnehmern auf DM 5000 je Schaden beschränken, wenn es sich dabei um Unternehmen handelt".

Die Versicherer müssen sich also auf Schadenersatzforderungen aus Betriebsunterbrechungsfällen einstellen. Allerdings, meinen die Experten, müsse der Ausfall von fehlerhaften Chips in Prozeßsteuerungssystemen nicht zwangsläufig einen versicherten Schaden zur Folge haben, sondern kann auf einen Betriebsunterbrechungsschaden begrenzt bleiben.

Das Spiel mit dem Schwarzen Peter

Eine Versichererposition: "Sofern kein versicherter Sachschaden vorausgegangen ist, ist ein solcher Betriebsunterbrechungsschaden als reiner Vermögensschaden zu betrachten." Bisher gehen die Versicherer davon aus, daß Daten und Softwareprogramme keine Sache darstellen. Sie wollen nicht für Versäumnisse ihrer Kunden geradestehen, die ihre Computer nicht auf die bekannten Folgen eines bekannten Ereignisses vorbereitet haben.

Problematisch hingegen sind alle Auswirkungen eines Worst-Case-Szenarios, das im wesentlichen mit fehlerbehafteten Embedded Systems beginnt. Der Düsseldorfer Rechtsanwalt Theo Langheid legte in Köln dar, daß auf die Versicherungswirtschaft eine Schadenersatzpflicht nicht nur bei konventionellen Ereignissen, sondern möglicherweise auch bei Ausfallschäden zukomme.

Das würde horrende Dimensionen annehmen. Deshalb appellieren Versicherer nun an die Verantwortlichen in den Unternehmen, sich ihrer Aufgabe zu stellen und das Problem mit allen zur Verfügung stehenden Mitteln anzupacken. Der warnende Zeigefinger immer gut sichtbar. So auch die Aussage des in Berlin ansässigen Gesamtverbands der Versicherungswirtschaft (GDV): "Zuerst ist jeder Kunde für sein Unternehmen selbst verantwortlich. Die Versicherung kommt erst ganz zum Schluß."

Ganz so einfach läßt sich der Schwarze Peter nicht weiterschieben. Das ließ jedenfalls der Deutsche Versicherungsschutzverband (DVS), Bonn, erkennen. Er vertritt die Interessen von 4000 industriellen und kommunalen Versicherungskunden. Geschäftsführer Günter Schlicht warnt die Versicherungswirtschaft davor, den Schutz für Risiken durch die Jahr-2000-Problematik einzuschränken. Einen versicherungsrechtlichen Konflikt möchte der Verband aber vermeiden.

Gleichwohl nimmt Schlicht die Position der Versicherungen ernst: "Wir informieren unsere Mitglieder, daß sie ein geschäftliches und nicht ein versicherungsrechtliches Problem haben." Daß sich noch kein einziges Verbandsmitglied über spezielle Jahr-2000-Policen erkundigt hat, zeigt allerdings auch, daß das Thema noch immer nicht in die Entscheidungsgremien gelangt ist.

In jedem Fall ist laut Quack-Gobecker von der Kölnischen Rück "gut beraten, wer juristischen Rat einholt". Das gilt auch für Versicherungsnehmer, die sich von ihrem Partner im Stich gelassen fühlen. Wie auch in Haftpflichtfragen ist auf der sicheren Seite, wer sein Anliegen schnell auf die Tagesordnung bringt und jede einzelvertragliche Regelung auf ihre tatsächlichen Konsequenzen abklopft.

Wilfried Schnabel, Direktor der Kölner Rück, hebt die Überprüfung vertraglich niedergelegter Klauseln und deren Modifikation um Jahr-2000-Gesichtspunkte hervor. Besondere Aufmerksamkeit sollten Kunden den von Maklern und firmengebundenen Vermittlern angebotenen Verträgen widmen. Sich rechtlich beraten zu lassen, sei jedoch noch immer die Ausnahme. Quack-Gobecker: "Erst wenige Rechtsanwälte sind eingeschaltet." Auf die Gerichte, dies dürfte schon heute feststehen, kommt viel Arbeit zu.

Winfried Gertz ist freier Journalist in München.