Sie heißt weiterhin 737, doch flugtechnisch ist die Boeing 737 Max 8 keine stufenlose Weiterentwicklung bisheriger Versionen des meistverkauften Flugzeugmodells der Welt. Um die besonders leisen und treibstoffsparenden, aber auch besonders großen Triebwerke der 737 Max unterzubringen, haben die Boeing-Ingenieure die Aufhängung unter den Flügeln deutlich verkürzt. Das führt dazu, dass es bei einem überzogenen Steigflug eher zu einem gefährlichen Strömungsabriss kommt als bei den Vorgängerversionen. Eine MCAS genannte Software soll das verhindern. Doch sie steht jetzt im Verdacht, innerhalb von fünf Monaten den Absturz zweier fast fabrikneuer 737 Max 8 Maschinen in Indonesien und Äthiopien zumindest mitverursacht zu haben. 346 Menschen starben.

Zwar liegt im ersten Fall noch kein Abschlussbericht der Unfalluntersuchung vor und im zweiten Fall hat sie noch gar nicht richtig begonnen. Trotzdem ist die Sorge um eine Fehlfunktion der neuen Software offenbar so groß, dass die Luftaufsichtsbehörden von China über die EU bis in die USA ein Flugverbot für die neue 737-Version angeordnet haben, das auch von Boeing selber unterstützt wird. Jetzt ist die Verunsicherung groß – und eine alte Debatte lebt neu auf: Ist die Aufrüstung mit immer mehr Computersteuerung eine Gefahr für die Flugsicherheit?

In der Softwareentwicklung arbeitet niemand so sorgfältig wie die Luftfahrtindustrie.
Holger Hermanns, Informatiker

Tatsächlich spielt Software in modernen Verkehrsflugzeugen aller Hersteller eine immer wichtigere Rolle. Nicht aber als Ursache von Unfällen. Im Gegenteil: Der Einsatz komplexer Software hat dazu geführt, dass der Flugverkehr in den vergangenen Jahrzehnten immer sicherer geworden ist. Die größte Gefahr geht inzwischen von den Menschen im Cockpit aus. Weil die Technik immer besser funktioniert, sind Pilotenfehler für rund die Hälfte aller schweren Unfälle verantwortlich. Mechanisches Versagen, Unwetter und Terrorismus folgen als weitere Ursachen. Zu diesem Ergebnis kommt Simon Bennett von der Universität Leicester in einer 2015 veröffentlichten Auswertung. Ein Fall, in dem ausschließlich Softwarefehler für den Absturz eines Flugzeugs verantwortlich gewesen wären, ist bisher nicht bekannt.

"In der Softwareentwicklung arbeitet niemand so sorgfältig wie die Luftfahrtindustrie", sagt der Informatiker Holger Hermanns, der an der Universität des Saarlandes zur Sicherheit von Softwaresystemen forscht. Während die Assistenzsysteme moderner Autos von Software gesteuert werden, die von verschiedenen Herstellern stammt und über die Jahre recht wildwüchsig zusammengewachsen ist, gelten in der Luftfahrtindustrie strenge Vorschriften und Kontrollen. Dazu gehöre zum Beispiel ein Vieraugenprinzip, so Hermanns: "Jedes Stück Code, das ein Programmierer heute schreibt, wird morgen von einem Kollegen Zeile für Zeile überprüft." Und anders als bei der Zulassung neuer Automodelle verlangen die zuständigen Behörden bei der Zulassung neuer Flugzeuge einen Nachweis für die Fehlerfreiheit der verwendeten Software.

Der ist bei vielen Millionen Programmzeilen allerdings nie vollständig möglich. Denn für die Suche nach Softwarefehlern muss wiederum Software genutzt werden. Und wenn die Fehler findet, kann sie nicht gleichzeitig garantieren, dass keine Fehlalarme darunter sind, die im Anschluss aufwändig manuell geprüft werden müssten. Umgekehrt kann sie zwar Fehlalarme ausschließen, dann aber nicht garantieren, dass alle Fehler gefunden wurden. Als Satz von Rice ist dieser Zusammenhang Informatikern seit 60 Jahren bekannt. Die Suche nach Softwarefehlern muss deshalb immer einen praktikablen Kompromiss zwischen diesen beiden Polen finden.