Der 31. Oktober wird stressig für Hans-Joachim Popp. An diesem Dienstag wird sich zeigen, ob die Sicherheitsmaßnahmen des CIO im Deutschen Zentrum für Luft- und Raumfahrt (DLR) ausreichen. Popp malt sich ungern aus, dass die Mission des Satelliten Terra-SAR-X scheitern könnte: „Die Arbeit von Hunderten Spezialisten und drei- bis vierstellige Millionenbeträge wären in Gefahr. Wir brauchen eine Verfügbarkeit mit am besten fünf Neunen hinter dem Komma.“
Der Satellit TerraSAR-X soll fünf Jahre um die Erde kreisen und Radarbilder von der Erdoberfläche liefern. TerraSAR wird der erste Satellit sein, der on-demand hoch aufgelöste Bilder beliebiger Areale liefert. Die Daten dafür müssen umgehend auf der Erde ankommen, denn kommerzielle Kunden zahlen für die Bilder und erwarten eine pünktliche Lieferung. TerraSAR wird täglich rund 100 Gigabyte zur Erde schicken. Systemausfälle im falschen Moment kann dabei niemand verkraften.
Als die Ariane 5 im Juni 1996 auf ihrem Jungfernflug 40 Sekunden nach dem Start explodierte, belief sich der Schaden auf rund 900 Millionen Euro. Ursache war ein Softwarefehler im Kontrollsystem der Rakete. Von solchen Pannen blieb das DLR bislang verschont, auch wenn es in der Vergangenheit schon zu Einschränkungen während der Startphase von Raumfahrtprojekten gekommen ist. So fiel infolge einer gerade laufenden Systemwartung das Mail-System in einer kritischen Missionsphase für einen ganzen Arbeitstag aus. Ein Absprachefehler, der zwar das SLA (99 Prozent im Jahresmittel) nicht verletzte, die Projektmitarbeiter aber in arge Bedrängnis brachte.
„So etwas kann jetzt nicht mehr vorkommen“, sagt Popp mit Blick auf TerraSAR. „Wir haben die Mission mit dem Dienstleister genau durchgesprochen.“ Gemeinsam hat man im Vorfeld die Termine festgelegt, bis wann die Konfiguration stehen musste. Schon jetzt darf niemand mehr die Systeme im Kontrollzentrum in Oberpfaffenhofen anfassen. Die Räume sind nur noch einem kleinen, streng kontrollierten Personenkreis zugänglich. Popp: „Ausfallstatistiken belegen, dass Servicemitarbeiter einen immens hohen Anteil der Betriebsunterbrechungen durch Umkonfigurationen und Wartung verursachen.“ Wenn TerraSAR sich nach dem Start vom russischen Weltraumbahnhof Baikonur von seiner Trägerrakete trennt, muss die Zentrale sofort mit dem Satelliten Kontakt aufnehmen können. „Beim Start und während der Positionierungsphase darf die Verbindung auf keinen Fall abreißen, sonst kann der Satellit verloren gehen. Für jede Eventualität müssen alle Spezialisten online informiert und verfügbar sein“, so Popp.
Patch-Verbot für Dienstleister
Jegliche Hardware ist deshalb redundant ausgelegt. Außerdem: „Wenn der Satellit justiert wird, darf der Dienstleister weder die Systeme patchen noch umkonfigurieren“, erläutert Popp. Während des fünfjährigen Fluges im Weltraum wird es immer wieder solche Peaks mit sehr hoher Verfügbarkeit geben.
Ein CIO-Stab von acht Mitarbeitern regelt im DLR die Zusammenarbeit mit dem Dienstleister. Dabei bespricht das Change Advisory Board regelmäßig, welche Aktionen beide Seiten planen. „Wir haben einen gemeinsamen Event-Kalender, in dem alle Ereignisse geplant werden“, erläutert Popp.
Zu einer solchen Event-gesteuerten Verfügbarkeit gehört es für Popp auch, dem Dienstleister Zeiten für risikoreichere Konfigurationsänderungen einzuräumen. „Solche ‚Täler‘ in der Verfügbarkeit sind der Preis für die Risikominimierung. Da muss man schon mal Kompromisse eingehen. Und das geht nur im gegenseitigen Vertrauen über die Buchstaben des Vertrages hinaus“, erläutert Popp. „Zum Vertrags-Management muss deshalb immer ein Vertrauens-Management kommen, um erfolgreich zu sein.“