Das "Jahr 2000 Problem"

in der Sicherheitstechnik

Im Bereich der EDV ist das "Jahr-2000 Problem" schon seit langer Zeit bekannt. Daß es zum Jahreswechsel 1999 auf 2000 zu Problemen in der EDV kommen würde haben Versicherungen und Banken bereits in den 70er Jahren feststellen können, wenn es um die Berechnung von 30jährigen Laufzeiten von Hypotheken oder Lebensversicherungen ging. Jedesmal mußte dabei über das Jahr 2000 hinaus gerechnet werden. Das Millenium-Problem entsteht aus der Tatsache heraus, daß früher der Speicherplatz bei Computern rar und teuer war und deshalb nur mit zweistelligen Jahreszahlen anstatt mit vierstelligen Jahreszahlen gerechnet wurde. Dies hatte zur Folge, daß das Jahr 2000 in zweistelligen Berechnungen nur als Doppel-Null in Erscheinung tritt und z.B. illegale Rechenoperationen auslösen kann (z.B. Division durch Null).

Doch es wird noch etwas komplizierter. Nicht nur der Jahreswechsel an sich kann zu Problemen führen, sondern auch die Tatsache, daß das Jahr 2000 ein Schaltjahr ist welches in dieser Form nur alle 400 Jahre vorkommt. Zur Berechnung von Schaltjahren können verschiedene Berechnungsmethoden herangezogen werden. Da man in der EDV nicht gerade von Langlebigkeit sprechen kann, ist es wahrscheinlich, daß die kurzfristigeren Berechnungsmethoden für Schaltjahre Verwendung finden. Damit kann es passieren, daß die eingesetzte Berechnungsmethode die Schaltjahre nur für 100 Jahre berechnet und damit die 400-Jahr-Ausnahme des Jahres 2000 nicht berücksichtigt wird.

Mittlerweile hat das Millenium-Problem auch Einzug in die weitverbreitete Hardware und Software der PC-Welt gehalten. Doch je mehr man sich mit dem Millenium-Problem auseinandersetzt desto komplexer wird es und umso mehr Bereiche der Technik und des täglichen Lebens werden davon betroffen. Ein bisher stark vernachlässigter Bereich sind die sogenannten „Embedded Systems", jene Schaltungen die aus Mikroprozessoren und/oder Microcontrollern bestehen und die automatische Steuerung von Heizungen, chemischen Anlagen, Toastern, Waschmaschinen, bis hin zu Cruise Missiles übernehmen.

Viele dieser kleinen versteckten Computer sind alt, vergessen, schwer zu finden und in ihrer Funktion nicht mehr abzuändern. Die meisten dieser Systeme sind zwar nicht von einem speziellen Datum abhängig oder müssen dieses berechnen, doch die Systeme verfügen über Uhrenbausteine um bestimmte Intervalle zu ermitteln, damit dann eine vorgegebene Aktion ausgelöst wird.

Niemand weiß, wieviele Systeme es überhaupt gibt, in welchen Geräten sie eingesetzt sind und welche Funktion sie dort genau übernehmen. Darüber hinaus sind viele dieser Systeme von kleinen Firmen entwickelt und gefertigt worden, die heute mitunter nicht mehr am Markt vertreten sind. Auch existieren in den meisten Fällen keinerlei Unterlagen welche die Entwicklung und Programmierung solcher Systeme dokumentieren. Fragt man Entwickler, die in den frühen 80er Jahren mit der Entwicklung solcher Systeme betraut waren, wird man immer wieder hören, daß keiner damals voraussehen konnte, daß z.B. 8bit Mikroprozessoren (Z80, 8032) nach so langer Zeit noch eingesetzt werden, bzw. Geräte die Embedded Systems enthalten nach siebzehn Jahren immer noch im Einsatz sind. So definieren sich die Hauptprobleme dadurch, daß nicht erkennbar ist, welches System überhaupt für das Millenium-Problem anfällig ist und wie sich ein Systemversagen im Ernstfall auswirkt.

Realistisch gesehen kann davon ausgegangen werden, daß die meisten Embedded Systems weiterfunktionieren werden, doch darf nicht außer acht gelassen werden, daß, je komplexer ein Gerät wurde, desto eher wurde auf eine Mikroprozessorsteuerung zurückgegriffen. Und komplexe Systeme tendieren von je her zu komplexen Fehlern.

Praxisnahe Betrachtungen

Nur einem Zufall ist es zu verdanken, daß das "Jahr-2000 Problem" in der Steuerung einer sehr komplexen Sicherungs- und Alarmanlage entdeckt wurde. Das Problem hier ist der einfache Datumsvergleich einer DCF77 Zeitkonstanten mit einem fest einprogrammierten Wert im ROM der Anlagensteuerung. Wird von der DCF77 Zeitkonstanten das Jahr 2000 angegeben schaltet sich die Alarmanlage automatisch in einen Störungsmodus und kann solange nicht mehr aktiviert werden wie an dem DCF77-Eingang die Doppelnull für das Jahr 2000 gemeldet wird. Genaue Ursache hierfür ist eine nicht zulässige Rechenoperation die den Mikroprozessor veranlaßt ein (für die restliche Sicherungsanlage unbekanntes) Fehlersignal auszugeben und dann auf einen manuellen Reset der Anlage zu warten.

Da der Anbieter dieser Anlage 1993 in Konkurs ging, dürfen die Anwender dieser Anlage nicht auf eine Ausbesserung des Systems hoffen. Ihr System wird mit dem neuen Jahrtausend wirkungslos. Dieses Praxisbeispiel betrifft zum Glück einen Anlagentyp, der in Deutschland nur drei mal installiert wurde und dessen Anwender rechtzeitig auf das mögliche Versagen der Anlage aufmerksam gemacht wurden. In der Zwischenzeit wurden die betroffenen Anlagen durch Neuinstallationen ersetzt. Wäre dieser Fehler in bestimmten Kreisen früher bekannt gewesen, hätte ein mögliches Angriffs-Szenario auf die Sicherungsanlage wie folgt aussehen können. Mit einem Computer und einem entsprechenden Sender werden in unmittelbarer Nähe der Sicherungsanlage die echten DCF77 Signale aus Mainflingen durch gefälschte Signale überlagert. Dieses gefälschte Zeitsignal muß nur das Jahr 2000 als aktuelle Jahreszahl angeben und die Sicherungsanlage ist ausgeschaltet. Dies ist nur ein Beispiel für das mögliche Versagen von Alarm- und Sicherungsanlagen deren Funktion auf Mikroprozessoren beruht.

Wenden wir uns nun dem anfangs geschilderten Problem des Schaltjahres zu. Auch hier wird es zu möglichen Fehlfunktionen bei einer Reihe von Sicherungsanlagen kommen können. Dies vor allem im Bereich der Zutrittskontrollsystem oder Zeiterfassungssysteme. Im Jahr 2000 fällt der 29.Februar auf einen Dienstag, ein hoffentlich normaler Arbeitstag also.

Zutrittskontrollsysteme

Bei Zutrittskontrollsystemen bestehen zwei grundsätzliche Möglichkeiten des Versagen. Der 29. Februar wird unterschlagen und das System rechnet mit dem 1. März weiter, oder aber das System erkennt zwar den 29. Februar (z.B. über DCF77 Zeitsignal) kann aber mit der internen Berechnungsmethode für Schaltjahre den Schalttag nicht nachvollziehen und schaltet in einen unbekannten Zustand der hier einfach als "Störung" definiert werden soll. Das erstere Problem ist mit entsprechenden organisatorischen Maßnahmen lösbar. Das zweite Problem ist dabei etwas delikater. Der hier als „Störung" definierte Schaltzustand der Anlage kann bedeuten, daß am 29. Februar niemand Zugang zum geschützten Gebäude erhält. Diese Störung kann aber auch bedeuten, daß die Anlage ihre Funktion einstellt und jeden in das Gebäude läßt.

Zeiterfassungssysteme

Auch hier gelten ähnliche Problemstellungen wie bei den Zutrittskontrollsystemen. So ist es durchaus denkbar, daß ein Arbeitnehmer wohl am 29. Februar zur Arbeit gegangen ist, von dem Zeiterfassungssystem die geleistete Arbeitszeit aber auf den 1. März gebucht wird. Dem Arbeitnehmer fehlt auf seinem Arbeitszeitkonto ein ganzer Tag.

Problemlösungen

Wer jetzt noch versucht das "Jahr-2000 Problem" in den Griff zu bekommen ist reichlich spät dran. Im EDV-Sektor sind die entsprechenden Fachfirmen bereits seit Jahren ausgebucht. Erschwerend kommt bei den hier geschilderten „Embedded Systems" hinzu, daß hier keine automatisierte Suche nach Standardproblemen möglich ist. Ähnliche Suchmethoden aus der EDV sind also nur schwer bzw. gar nicht adaptierbar. Einzige kurzfristige Abhilfe kann nur der direkte Kontakt zum Hersteller der Anlage schaffen. Nur der Hersteller kann (oder besser „sollte") über die "Jahr-2000" Tauglichkeit Auskunft geben. Auf alle Fälle sollte eine solche Erklärung vom Hersteller in einer rechtverbindlichen schriftlichen Form eingefordert werden. Eine solche Erklärung sollte auch bei entsprechenden Neuanschaffungen vom Hersteller abgegeben werden. Ist die Anlage nicht "Jahr-2000" tauglich so kann oftmals der Hersteller entsprechende Hinweise geben welche Änderungen an der Anlage vorgenommen werden müssen. Im schlimmsten Fall muß die Anlage durch eine Neuanschaffung ersetzt werden.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.