15.10.1990

Die programmierte Katastrophe

Ein Fehler im Rechner kann zur Katastrophe führen. Droht der Computer-GAU? Beispiele von folgenschwerem Computerversagen, das vor allem auf Softwaremängel zurückzuführen ist, häufen sich. „Die Unzuverlässigkeit von Computern“, resümieren Experten, „wird eine der größten gesellschaftlichen Schwachstellen.“
Drei Uhr morgens, Reaktor 4 des "Bruce"-Kraftwerkskomplexes im kanadischen Kincardine (Provinz Ontario) lief auf Vollast. Binnen weniger Minuten würde, reine Routine, das ausgepowerte Brennelement durch ein neues ersetzt sein.
Programmgemäß, wie Hunderte Male zuvor, schnurrte die computergesteuerte Umlademaschine an ihren Platz, 40 Zentimeter über dem Schachtdeckel. An den Kontrollpulten des Atommeilers dämmerten derweil die Nachtschichtler ihrer Ablösung entgegen.
Um 3.08 Uhr, so weist das (ebenfalls computergeführte) Logbuch des Kraftwerks aus, leuchteten in der Schaltzentrale die ersten Warnlämpchen auf, gleichzeitig schnarrte der akustische Gefahrmelder los: Alarmstufe 1.
Die stählerne Umlademaschine war zu diesem Zeitpunkt nur noch ein Haufen Schrott. Tonnenweise strömte hochradioaktives Schweres Wasser aus dem Leck, das sie in den Brennstoffbehälter geschlagen hatte.
Der Störfall ereignete sich am 23. Januar dieses Jahres. Der Reaktor vom Typ "Candu" mußte abgeschaltet werden. Insgesamt 12 000 Liter Schweres Wasser liefen aus, ein Sprecher der kanadischen Atomaufsicht stufte den Unfall als "sehr ungewöhnlich und schwerwiegend" ein.
Das Desaster war, buchstäblich, programmiert gewesen. Ein einziger falscher Befehl im Code des Computers, der die Umlademaschine kontrollierte, hatte zugleich alle vier Bremsen des Hebezeugs gelöst - das schwere Gerät knallte auf die Schachtabdeckung.
Wie eine Zeitbombe, stellte die Kontrollkommission "Atomic Energy Control Board" (AECB) fest, habe der Softwarefehler schon seit 1986 im System geschlummert: Bei einer Programmrevision war damals eine einzige Zeile falsch eingegeben worden.
Trotzdem funktionierte die Umlademaschine anschließend tadellos, fast vier Jahre lang. Erst "ein spezielles Zusammentreffen verschiedener Faktoren" (AECB), eine seltene Kombination von Schaltzuständen in der Anlage, führte zum Versagen des Systems.
Ein Fall "wie aus dem Bilderbuch" für Peter G. Neumann, Fachmann für Rechnersicherheit am Forschungszentrum "Stanford Research Institute" (SRI) in Menlo Park. "Computer machen Fehler", warnt der kalifornische Wissenschaftler, "und der größte Fehler ist, ihnen zu vertrauen."
Neumann moderiert für den Informatikerverband "Association for Computing Machinery" (ACM) das "Risks Forum", einen elektronischen Informationsdienst über Risiken des Rechnereinsatzes. "Je mehr wir uns auf Computer verlassen", sagt der SRI-Forscher, "um so dramatischer werden die Fälle."
Rund 1000 Computerfehler und -versager hat Neumann seit 1985 für "Risks" zusammengetragen und ausgewertet. Seither, erklärt der US-Wissenschaftler, "sind die Systeme noch komplexer und die Fehlermöglichkeiten signifikant größer geworden".
Der Reaktorunfall von Kincardine, dessen Details erst seit kurzem bekannt sind und den "Risks Forum" in die Kategorie "potentiell lebensbedrohend" einstufte, ist kein Einzelfall. Der Informatikprofessor Klaus Brunnstein aus Hamburg warnte anläßlich einer Bonner Expertentagung sogar schon vor einem "Computer-GAU".
Brunnstein zufolge "wachsen die Programm-Anomalien in einzelstehenden Systemen und insbesondere in netzgestützten Informationssystemen dramatisch an". Trotzdem, meint auch sein Hamburger Kollege Rüdiger Valk, werde das rechnerbedingte Risiko "immer noch völlig unterschätzt".
"Katastrophen nationalen Ausmaßes" könnte der Ausfall eines "zentralen Informations- und Kommunikationssystems" verursachen, fürchtet der Staatsrechtler Alexander Roßnagel aus Darmstadt. Roßnagel, Mitautor einer grundlegenden Studie über die "Verletzlichkeit der Informationsgesellschaft" (SPIEGEL 30/1989), sieht "wachsende Sicherheitsgefahren und zunehmende Sicherungszwänge"*.
Aus Kraftwerken und Chemiefabriken, bei Militär und Polizei, in Banken und Versicherungen, Krankenhäusern und Kirchenverwaltungen sind die kleinen und großen Rechner nicht mehr wegzudenken. Über Datennetze werden blitzschnell Geldmengen in Milliardenhöhe, aber auch lebenswichtige Informationen umgeschlagen.
Was geschehen kann, wenn solche Nervenstränge gekappt werden, war exemplarisch Ende November 1985 in Japan vorgeführt worden. Frühmorgens durchtrennten dort Unbekannte gleichzeitig an verschiedenen Orten insgesamt 30 Computerkabel der japanischen Staatsbahn. Gerichtet war die Aktion gegen die geplante Privatisierung des Unternehmens.
Die Folgen des Anschlags waren verheerend. In Tokio, Osaka und noch fünf weiteren Großstädten brach auf einen Schlag der Bahnverkehr zusammen. Zehn Millionen Pendler kamen überhaupt nicht oder nur mit großer Verspätung zur Arbeit. Banken und Geschäften fehlte das Personal, Schulen blieben geschlossen, an der Tokioter Börse waren einige wenige Broker unter sich. Die Regierung sprach von dem "bei weitem größten Schaden einer Guerilla-Aktion in vielen Jahren".
Derart brachiale Angriffe, wie etwa auch Bombenanschläge auf Rechenzentren, sind seltene Ausnahmen geblieben. Selbst Hacker oder Computerkriminelle, die statt mit Gewalt dem System mit intimen Programmkenntnissen zu Leibe rücken, sind, laut Statistik, nur eine vergleichsweise geringe Gefahr.
Weit stärker bedroht sind Computersysteme immer noch durch Feuer- und Wasserschäden, Blitzeinschlag, Spannungsschwankungen _(* Alexander Roßnagel, Peter Wedde, ) _(Volker Hammer, Ulrich Pordesch: "Die ) _(Verletzlichkeit der ) _(Informationsgesellschaft". Westdeutscher ) _(Verlag, Wiesbaden; 280 Seiten; 39 Mark. ) (verursacht etwa durch den Ausfall eines Transformators), durch Hard- oder Softwaremängel und Bedienungsfehler. So warnte das Branchenblatt Computerwoche kürzlich vor einem "Gefahrenpotential", dem "in der Regel keine annähernd ebenbürtigen Sicherheitsvorkehrungen gegenüberstehen".
Selbst Schadstoffe in der Luft können ganze Großsysteme zum "Absturz" bringen. In so manchem warmen Rechner bildet sich sogar eine üppige Flora und Fauna, berichtet Jürgen Kupfrian, Chef der Firma Media Security Service in Lüdenscheid. "Von Schaben bis zu Schimmelpilzen", sagt der Schadensgutachter, "ist da so ziemlich alles zu finden."
Scharen von "Schamanen", wie der amerikanische Katastrophenforscher Charles Perrow die geschäftstüchtigen Risikoberater nennt, schlagen aus der Hilflosigkeit vieler Datenverarbeiter angesichts solch vielfältiger Bedrohung Kapital. Das Geschäft der Elektronik-Versicherer boomt, auch die Betreiber sogenannter Backup-Rechenzentren - Ausweichanlagen für den Ernstfall - melden Hochkonjunktur.
Zum Ernstfall wollen es viele gar nicht erst kommen lassen. Luftfahrtindustrie, Flugsicherung und Kraftwerksbetreiber, Börsen, Banken und Buchungszentralen, aber auch Hersteller, die auf Prozeßsteuerungssysteme und computerverwaltete Hochregallager angewiesen sind, setzen darum auf "fehlertolerante" oder "ausfallgeschützte" Systeme.
Bei solchen Rechnern sind die wichtigsten Komponenten doppelt oder dreifach vorhanden, sie kontrollieren sich gegenseitig und können einander auch ablösen. Aber "absolute Sicherheit", sagt Gerhard Weck, Fachmann für Computerschutz bei der Firma Infodas in Köln, "ist nur bei Stillstand des Systems zu erreichen".
So fiel (trotz Ausfallschutz) Ende August ein zentraler Computer im Berliner Fernmeldeamt 1 einem "Jahrhundertfehler" (Telekom-Sprecher Detlev Ullrich) zum Opfer. Folge war eine der größten Telefonstörungen in der Geschichte Berlins.
Fast zwei Stunden lang, zur Zeit der vormittäglichen Nutzungsspitze, waren rund zwei Drittel der Selbstwählverbindungen vom Bundesgebiet nach Berlin unterbrochen. Mindestens 50 000 Anrufer, schätzen die Postler, kamen nicht durch. Eine ähnlich massive Störung bei der früher üblichen elektromechanischen Steuerung, sagte Ullrich, sei "schwer vorstellbar".
Die hochmoderne Einheit CP 113, zur Sicherheit doppelt ausgelegt, hatte auf ganzer Linie versagt. Seit 1988 als Teil des Siemens-Vermittlungssystems EWSD eingesetzt, steuert sie den Auf- und Abbau der Verbindungen im Netz. Nur einer der beiden Rechner ist dabei aktiv. Wenn er wegen eines Hardwareschadens ausfällt, muß der Partner einspringen.
Um seine Aufgabe erfüllen zu können, braucht CP 113 Daten, die er sich von seinen Festplatten-Massenspeichern holt - ein Prozeß, der programmgesteuert abläuft. Doch diesmal klemmte das Programm.
Da nützte dann auch der Ersatzrechner nichts mehr. Weil er keinen Hardwareschaden erkennen konnte, schaltete er sich gar nicht erst ein. Den Computer von Hand zu aktivieren hätte das Problem auch nicht gelöst: Er war, genau wie sein Gegenstück, auf die fehlerhafte Software angewiesen.
Ist so ein Störfall einmal eingetreten, kann er bei vernetzten Computern sogar einen digitalen Flächenbrand entfachen. So können sich bestimmte Schäden per Datenleitung regelrecht von Computer zu Computer hochschaukeln.
US-Bürgern wurde die "neue gesellschaftliche Bedrohung der neunziger Jahre" (so das US-Nachrichtenmagazin Newsweek) Anfang des Jahres besonders kraß vor Augen geführt. Kurz hintereinander versagten da gleich 114 Vermittlungsrechner des Telekom-Riesen AT&T den Dienst.
Für AT&T-Boß Robert Allen war es der "böseste Alptraum" seiner Karriere. Bis zum 15. Januar, jammert sein Vizepräsident Karl Martersteck, sei AT&T "wirklich stolz" auf das Netzwerk gewesen. Allüberall habe es als "Inbegriff technischer Zuverlässigkeit" gegolten.
Der Augenblick der Wahrheit kam um 14.25 Uhr und dauerte neun lange Stunden. 65 Millionen Ferngespräche konnten nicht vermittelt werden. Am Ende hatte die private Telefongesellschaft mindestens 60 Millionen Dollar verloren, nicht eingerechnet den Imageverlust in einem hart umkämpften Markt.
Welche Schäden den zahllosen AT&T-Kunden entstanden waren, ließ sich schwerer schätzen. Hotels und Autovermietungen meldeten große Einbrüche bei den Buchungen, das Reservierungssystem der Fluggesellschaft American Airlines registrierte einen Rückgang der Anrufe um zwei Drittel.
Besonders hart getroffen wurden Telemarketing-Firmen, die Versandgeschäfte per Telefon abwickeln. Steven Idelman, Chef der Idelman Telemarketing in Omaha (US-Bundesstaat Nebraska), mußte 800 Angestellte nach Hause schicken. "Wenn in einem Computernetz was schiefgeht", hat Idelman aus dem Crash gelernt, "dann geht es richtig schief."
Der fatale technische Ablauf des AT&T-Desasters, von der Betriebssicherung mühsam rekonstruiert, liefert Rechnerexperten jetzt lehrreiches Anschauungsmaterial über Computersicherheit von vernetzten Systemen.
Erst eine kleine "plötzliche Unregelmäßigkeit" hatte den Softwarefehler zum "Computerrisiko des Jahres" (Neumann) befördert.
Die Unregelmäßigkeit war ein Datenproblem in einem 4ESS-Vermittlungsrechner in New York. Es konnte noch, mit einem dafür vorgesehenen Unterprogramm, einer sogenannten Fehlerbehebungs-Routine, in Sekunden gelöst werden.
Solange allerdings mußte der Computer alle hereinkommenden Anrufe abwimmeln. An die anderen 4ESS-Knotenpunkte sendete er darum die digitale Mitteilung "out of service" - außer Dienst.
Solche Informationen werden im 4ESS-System von einem speziellen Prozessor verarbeitet, dem DLN (Direct Link Node), der aus Sicherheitsgründen sogar doppelt vorhanden ist.
Der DLN hat die Aufgabe, bei Ferngesprächen die schnellsten Übertragungswege zu berechnen. Doch in der drei Millionen Zeilen umfassenden Software, die den Prozessor steuert, war eine "break"-Anweisung fehlplaziert.
Der DLN-Prozessor eines anderen Knotenrechners notierte programmgemäß die Abschaltmeldung aus New York. Einen Augenblick später, es kam wieder ein Anruf herein, hätte er eigentlich erst einmal abspeichern müssen, daß New York wieder am Netz war. Doch da, innerhalb einer hundertstel Sekunde, lief noch ein zweiter Anruf von dort ein.
Dem überforderten System kam nun die "break"-Klausel im Programm gerade recht. Erst rettete sich der eine, später auch noch der andere DLN-Prozessor in sinnlose Aufräumarbeiten an der falschen Stelle.
Das (folgenschwere) Ergebnis: "out of service"-Meldung an alle anderen 4ESS-Computer. Sie brachte dann endgültig Schwung in die Sache: "Der Reihe nach klappten die Rechner weg", sagt Neumann, "wie Dominosteine."
An Warnungen fehlte es nicht, bereits 1984 hatte die US-Informatikervereinigung ACM öffentlich den "Mythos der Unfehlbarkeit von Computersystemen" beklagt. Die "Zuverlässigkeit von rechnergestützten Systemen", mahnte der Verband damals, könne "nicht als gesichert betrachtet werden". Besonders, betonten die Informatiker, sei auf die Anfälligkeit von Systemen hinzuweisen, "deren Fehlverhalten ein spezielles öffentliches Risiko darstellt". Beispiele gab und gibt es schon genug: *___1960 löste in der US-Frühwarnstation des "Ballistic ____Missile Early Warning System" in Thule, Grönland, der ____aufgehende Mond höchste Alarmstufe aus. Als der stille ____Erdtrabant eines Abends leuchtend über dem Horizont ____auftauchte, meldeten die Computerposten ____"Nuklearangriff". *___In einem ähnlichen Fall wurde ein Schwarm von ____Wildgänsen als einfliegende Formation von ____Atomsprengköpfen mißdeutet. *___Zwei U-Boot-Raketen im Anflug meldete Anfang Juni 1980 ____eine Warnstation des Strategischen Luftkommandos bei ____Omaha. Kurz darauf wollte das System dann auch noch im ____Schwarm anfliegende sowjetische Interkontinentalraketen ____ausgemacht haben. Erst als die Anlage dasselbe Szenario ____drei Tage später noch einmal zusammenphantasierte, ____wurde die Ursache des falschen Alarms gefunden. Ein ____fehlerhafter Billigchip vom Typ 74 175 hatte in den ____regelmäßigen Bereitschaftsmeldungen des Systems die 0 ____(für "keine besonderen Vorkommnisse") erst durch eine ____2, dann auch noch durch andere Ziffern ersetzt.
Sieben Menschen ertranken im Juni 1983 im Colorado River in den USA, weil das Computerprogramm zur Steuerung der Stauwerke einem ungewöhnlichen Wetterwechsel nicht gewachsen war. Ein schwerer Schneesturm noch Ende Mai war von einer plötzlichen Wärmeperiode in den Rocky Mountains abgelöst worden.
Nun drängten Tauwassermassen, die in der Software für diese Jahreszeit nicht mehr vorgesehen waren, in die bereits randvollen 14 Stauseen des Flusses. Zur Katastrophe kam es, als Schleusen geöffnet werden mußten, weil die Dämme zu bersten drohten.
Ein Programmfehler im Therapiegerät Therac 25, in US-Kliniken zur Bestrahlung von Krebspatienten eingesetzt, führte 1986 im Krebszentrum von Tyler (US-Bundesstaat Texas) zum Tod von zwei Menschen, mindestens drei weitere wurden in anderen Kliniken verletzt.
Jedesmal wenn der behandelnde Arzt bei der Eingabe der Parameter eine bestimmte Pfeiltaste benutzt hatte, führte das bei der Bestrahlung zur "Fehlfunktion 54" (Bildschirmmeldung). Doch weil in der mitgelieferten Dokumentation ein solcher Fehler nicht beschrieben war, wurden die Patienten einfach weiter mit überdosierter Strahlung (25 Millionen Elektronen-Volt) beschossen.
"Systemversagen" heißt es zugespitzt in einer Studie über Computerunfälle der letzten 20 Jahre, die kürzlich im britischen Wissenschaftsmagazin Futures veröffentlicht wurde, müsse mit "Desaster und Tod" übersetzt werden. "Die meisten Computerfehler", betonen die beiden australischen Informatiker Tom Forester und Perry Morrison, "werden von Softwaremängeln verursacht."
Kann bei Mikrochips noch im Dauertest ermittelt werden, ob sie zuverlässig funktionieren, so sind Computerprogramme für eine umfassende Prüfung oft zu komplex. "Während die Hardware immer besser wird", kritisiert Gary Chapman vom kritischen US-Informatikerverband CPSR, "steht es schlimm um die Software."
Zum selben Schluß kam im letzten Jahr eine Untersuchungskommission, die für den US-Kongreß Ursachen und Folgen von Softwaremängeln untersucht hatte. "Würden Architekten ihre Häuser so nachlässig bauen, wie manche Programmierer ihre Software schreiben", heißt es in dem Abschlußbericht, "dann hätte ein Specht das Schicksal unserer Zivilisation besiegeln können."
Mathematisch ausgetüftelte Prüfprogramme, mit denen Informatiker neu entwickelte Software nach Fehlern abklopfen können, müssen mindestens dreimal so lang sein wie der zu überprüfende Code. Aber allein die Programme, mit denen die Bordcomputer einer Lincoln-Continental-Limousine gesteuert werden, umfassen im Original schon über 83 000 Befehlszeilen.
Ein Kassenscanner im Supermarkt braucht 90 000, die PC-Bürosoftware Lotus 1-2-3 bringt es schon auf 400 000, und in einem Geldautomaten der neueren Generation werden 780 000 Zeilen hochkomplizierter Codes abgearbeitet. Rund 25 Millionen Programmzeilen mußten für die amerikanische Raumfähre Space Shuttle geschrieben werden.
So sind auch die Probleme des fehlsichtigen Weltraum-Teleskops Hubble, Ende April von der Space Shuttle Discovery in die Umlaufbahn gesetzt, geradezu vorprogrammiert. Der missionsgefährdende Knick in der Optik der Milliarden-Röhre (SPIEGEL 28/1990) ist längst nicht das einzige Hubble-Gebrechen.
Erst richtete sich das Teleskop regelmäßig nach rechts, wenn es eigentlich nach links gucken sollte. Ein Programmierer auf der Erde, so stellte sich heraus, hatte das Steuerkommando falsch eingegeben.
Die Hubble-Steuersoftware SOGS ("Science Operations Ground System"), meinen Experten, dürfte noch weitere unangenehme Überraschungen bereithalten. Insgesamt über 200 Programmierer hatten sich seit 1981 an dem Code zu schaffen gemacht, der immer wieder korrigiert und "entwanzt" werden mußte.
Mit einer Million Zeilen war er am Ende zehnmal länger als geplant und mehr als doppelt so teuer: über 70 Millionen Dollar. Das ganze System, kritisierte Projektmanager Ethan Schreier vom Space Telescope Science Institute in Baltimore, "war von Anfang an auf Ärger ausgelegt".
Die Komplexität der Software wurde vor zwei Jahren auch der sowjetischen Raumsonde Phobos I zum Verhängnis. Nur ein Buchstabe fehlte - darum ging sie Ende August 1988 auf dem Weg zum Mars verloren.
Ein Funkbefehl von der Bodenstation Jewpatorija (Krim), ein wissenschaftliches Instrument einzuschalten, sollte zwei Stunden später noch einmal von der Station Kaliningrad bei Moskau wiederholt werden.
Der überlastete Operator, eingeflogen aus Jewpatorija, tippte das Kommando auch in Kaliningrad ein und übersah dabei, daß die Software beider Stationen unterschiedlich programmiert war: Diesmal hätte er seinem Befehl noch ein B anhängen müssen. Der kleine Unterschied kostete die UdSSR mehr als 300 Millionen Rubel.
Ohne B bedeutete der Befehl für den pedantischen Phobos-Computer etwas völlig anderes. Er unterbrach den Kontakt zur Erde und schaltete dann die Lagekontrolle und die Schubsysteme ab. Dabei wurden auch die Solarpaddel aus der Sonne geschwenkt. Die Instrumente jedoch arbeiteten weiter, und als nach fünf Stunden die Batterien leer waren, konnten die Sowjets ihre Sonde endgültig abschreiben.
Mit "menschlichem Versagen" allein sind solche Pannen nicht erklärt. Denn selbst der Versuch, die beiden hochkomplexen Kontrollprogramme einander anzugleichen, hätte mit hoher Wahrscheinlichkeit zu noch mehr Fehlerquellen geführt. Solche Systeme sind für ihre Programmierer völlig unüberschaubar geworden.
In Programme dieser Größenordnung sind Tausende von Variablen eingebaut, die wiederum Tausende von Werten enthalten können. Außerdem gibt es zahllose Übergänge, sogenannte Schnittstellen, zu anderen Systemen. Die Software absolviert also Millionen, manchmal Milliarden von Betriebszuständen.
Die Mittel der Wahrscheinlichkeitsrechnung, unzulässige Kombinationen herauszufiltern, sind demgegenüber begrenzt. Oft versagt solche Software "unter Umständen, bei denen selbst Fachleute von Zufall reden müssen", sagt der Wissenschaftler Peter Mellor vom Londoner Zentrum für Software-Zuverlässigkeit. "Selbst mathematische Korrektheitsbeweise", meint Mellor, "können da keine Funktionstüchtigkeit garantieren."
In fertigen und getesteten Programmen, schätzen Informatiker, liegt pro 5000 Zeilen Code immer noch mindestens ein Fehler verborgen. "Die Unzuverlässigkeit von Computern", so das Fazit der australischen Forscher Forester und Morrison, "wird eine der größten gesellschaftlichen Schwachstellen der Zukunft sein."
Auch mit verstärkten Prüfungen und Kontrollen, etwa durch einen "Software-TÜV" oder durch Behörden, dürfte dem Problem nicht beizukommen sein, wie schon im letzten Jahr die Autoren der Studie für den US-Kongreß feststellten.
Es gebe "keine sichere Methode", hieß es in dem Untersuchungsbericht, mit der eine Aufsichtsbehörde gewährleisten könne, daß Software "nicht Tod oder Verletzungen" verursacht.
Prüfer haben, das belegte auch wieder der Störfall im kanadischen Atommeiler bei Kincardine, mit Programmierern vor allem eines gemeinsam: Sie sind auch nur Menschen.
Der Fehler, der zu dem Unfall mit der Umlademaschine führte, war - mit einigen anderen - schon lange vorher bei einem Softwaretest entdeckt worden.
Die anderen wurden korrigiert, dieser wurde vergessen. o
* Alexander Roßnagel, Peter Wedde, Volker Hammer, Ulrich Pordesch: "Die Verletzlichkeit der Informationsgesellschaft". Westdeutscher Verlag, Wiesbaden; 280 Seiten; 39 Mark.

DER SPIEGEL 42/1990
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


DER SPIEGEL 42/1990
Titelbild
Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Die programmierte Katastrophe

  • Doku über DNA-Reproduktion: Missy, die Mammut-Leihmutter
  • Jagdtricks von Delfinen: Die "Hau-drauf-hau-rein"-Technik
  • Starkes Gewitter im Tatra-Gebirge: Mindestens fünf Menschen getötet
  • Nach Notwasserung: Pilot filmt eigene Rettung