Die vertraute Geschichte ist unvollständig

Am 26. April 1986 explodierte Reaktor 4 des Kernkraftwerks Tschernobyl während eines nächtlichen Sicherheitstests. Die Katastrophe forderte das Leben von Kraftwerksmitarbeitern und Einsatzkräften, kontaminierte grosse Gebiete, zwang Menschen zur Evakuierung und hinterliess langfristige gesundheitliche, ökologische und soziale Schäden. Vierzig Jahre später hat sie noch immer eine besondere Wirkung auf unsere Vorstellungskraft: wegen ihres Ausmasses, wegen des physischen Schreckens eines offenen Reaktorkerns, der in die Nacht brannte, und weil sie wie eine Warnung aus dem Inneren moderner Organisationen wirkt.

Es liegt nahe, die Geschichte als technischen Unfall zu erzählen: Xenonvergiftung, Instabilität bei niedriger Leistung, ein positiver Dampfblasenkoeffizient, Graphitverdränger in Steuerstäben und ein Reaktordesign mit gefährlichen Eigenschaften. Diese technische Version ist nicht falsch, aber sie ist unvollständig. Die Katastrophe von Tschernobyl war auch ein organisatorisches Versagen, bei dem die physische Explosion der letzte Ausdruck von Schwächen war, die sich vorher in Design-Governance, Betriebsregeln, Sicherheitskultur, Eskalation, regulatorischer Aufsicht und der Übersetzung technischen Wissens in Entscheidungen aufgebaut hatten. Der Reaktor versagte in Sekunden, aber das Managementsystem hatte vorher versagt.

Das wiederkehrende Muster ist einfach und gefährlich: Bedingungen änderten sich, aber der Entscheidungsrahmen änderte sich nicht mit.

Ein vernünftiges Ziel unter veränderten Bedingungen

Der Test im Zentrum des Unfalls hatte einen legitimen Zweck. Wenn ein Kernkraftwerk die externe Stromversorgung verliert, braucht es trotzdem Strom für wesentliche Systeme, unter anderem für Pumpen; Dieselgeneratoren können Ersatzstrom liefern, benötigen aber Zeit, bis sie anlaufen und volle Leistung erreichen. Die Frage war, ob die verbleibende Bewegungsenergie der Turbine beim Auslaufen nach dem Schliessen der Dampfzufuhr genügend Strom für eine kurze Überbrückungszeit liefern könnte. Das war keine falsche Frage, sondern eine Sicherheitsfrage.

Das ist wichtig, weil organisatorisches Versagen oft nicht mit offensichtlich leichtsinnigen Absichten beginnt, sondern mit vernünftigen Zielen, die unter schlechter werdenden Bedingungen weiterverfolgt werden. Ein Test wird geplant, Bedingungen ändern sich, Beteiligte passen sich an, die ursprüngliche Entscheidung wird nicht neu geprüft, und die Eigendynamik übernimmt.

Der Test war bereits früher versucht worden, und das Kraftwerk bereitete einen weiteren Versuch während einer geplanten Abschaltung von Reaktor 4 vor. Die Leistungsreduktion für diese Abschaltung hatte bereits begonnen, als sich die betriebliche Lage änderte: Das Stromnetz benötigte weiterhin Leistung aus dem Block, weshalb der Abschaltvorgang auf halbem Weg angehalten wurde, statt wie geplant weiterzulaufen. Reaktor 4 blieb deshalb länger als vorgesehen in einem Zustand reduzierter Leistung, bevor der Test wieder aufgenommen wurde. Als die Nachtschicht die Situation übernahm, befand sich die Anlage nicht mehr in dem klaren, geplanten Zustand, den das Testverfahren vorausgesetzt hatte. Das ist die erste Governance-Lektion: Eine Entscheidung, die für bestimmte Bedingungen getroffen wurde, darf nicht stillschweigend unter anderen Bedingungen weitergelten. Risikomanagement scheitert oft genau an diesem Punkt, wenn eine Organisation sagt: "Wir haben die Aktivität genehmigt." Genehmigung ist jedoch keine Magie. Sie hängt von Annahmen über Zeitpunkt, technischen Zustand, verfügbare Marge, betriebliche Fähigkeiten, externen Druck und Wirksamkeit der Steuerungsmassnahmen ab. Wenn sich diese Annahmen ändern, sollte sich auch die Entscheidung ändern.

Genehmigung ist bedingt. Wenn sich Zeitpunkt, technischer Zustand, verfügbare Marge oder externer Druck ändern, sollte die ursprüngliche Entscheidung neu geöffnet werden.

Wenn Druck das Stoppen erschwert

Die verfügbaren Unterlagen stützen ein klares Bild von operativem Druck: Der Test war bereits verschoben worden, das Abschaltfenster war begrenzt, und die Netzleitstelle hatte die Leistungsreduktion verzögert, weil weiterhin Strom benötigt wurde. Die Gelegenheit, den Test abzuschliessen, wurde enger.

Der Druck weiterzumachen musste nicht die Form eines ausdrücklichen Befehls aus Moskau annehmen; er war bereits in einer Situation angelegt, in der ein unerledigter Test, ein sich schliessendes Abschaltfenster, eine Verzögerung durch die Netzleitstelle und ein weiterhin bestehender Plan alle in dieselbe Richtung wiesen. Ein Stopp wäre kein neutraler technischer Vorgang gewesen, denn er hätte bedeutet, den nicht abgeschlossenen Test nach oben durch eine Hierarchie zu erklären, die nicht dafür bekannt war, unbequeme Vorsicht zu belohnen. Hier wird Kultur operativ: In einer gesunden Sicherheitskultur machen veränderte Bedingungen das Stoppen leichter; in einer schwachen Sicherheitskultur werden veränderte Bedingungen zu Hindernissen, die man umgehen muss. Der Unterschied zeigt sich nicht nur in Reden oder Richtlinien, sondern in dem Moment, in dem jemand entscheiden muss, ob er anhält, eskaliert, den Plan enttäuscht oder weitermacht.

Der Punkt ist nicht, dass jede einzelne Person Risiko wollte, sondern dass das organisatorische Umfeld Fortsetzung einfacher machte als Eskalation. Dieses Muster ist weit über die Kernenergie hinaus vertraut: Ein Projektmeilenstein ist bereits verspätet, eine Lieferantenbeurteilung ist unvollständig, aber die Produktivsetzung ist geplant, eine Schwachstelle ist bekannt, aber die Auslieferung läuft, ein Muster von Produktbeschwerden ist unangenehm, aber ein Rückruf wäre teuer, oder eine Risikoprüfung wird verschoben, weil die Unterlagen für den Verwaltungsrat bereits geschlossen sind. Niemand muss sagen: "Ignoriert das Risiko"; die Organisation macht Stoppen einfach zum gefühlten Scheitern. Ein schwaches Managementsystem macht Unterbrechung teuer und Fortsetzung gewöhnlich. Ein starkes Managementsystem kehrt diese Last um, indem es veränderte Bedingungen sichtbar macht, Eskalation glaubwürdig ermöglicht und konservative Entscheidungen legitim macht, bevor Mut erforderlich wird.

Wenn sich der Betriebs­zustand ändert, aber die Entscheidung nicht

Um die technische Abfolge zu verstehen, brauchen wir etwas Reaktorphysik. Wir brauchen nicht genug Details, um Fachleute für Kerntechnik zu werden, aber genug, um zu sehen, warum das Governance-Versagen relevant war. Während des Betriebs erzeugt die Kernspaltung Iod-135, das zu Xenon-135 zerfällt. Xenon-135 absorbiert Neutronen sehr stark. Bei normaler Leistung wird Xenon auch durch Neutronenabsorption abgebaut, sodass Produktion und Abbau ungefähr im Gleichgewicht bleiben können. Wenn die Leistung reduziert wird, stehen jedoch weniger Neutronen zur Verfügung, um Xenon abzubauen, während Iod, das bereits im Kern vorhanden ist, weiter zu neuem Xenon zerfällt. Xenon kann sich deshalb nach einer Leistungsreduktion aufbauen und die Kettenreaktion unterdrücken. Dies wird oft Xenonvergiftung genannt. Bei Reaktor 4 hatte der Abschaltvorgang bereits begonnen, als die Verzögerung durch die Netzleitstelle den Block länger als geplant bei reduzierter Leistung hielt. Später, als die Leistung weiter reduziert wurde und viel tiefer fiel als vorgesehen, wurde die Xenonvergiftung zu einem ernsthaften Steuerungsproblem. Der Reaktor verhielt sich nicht wie eine einfache Maschine, bei der das Betriebspersonal die Leistung nach Belieben hoch- und herunterdrehen konnte. Xenon absorbierte Neutronen und hielt die Reaktion zurück.

Um die Leistung zu erhöhen, zog das Betriebspersonal Steuerstäbe heraus. Das stellte etwas Reaktivität wieder her, aber zu einem Preis. Der Reaktor wurde nun mit vielen herausgezogenen Stäben betrieben, wodurch die verbleibende Steuerreserve kleiner wurde. Die Anlage stabilisierte sich schliesslich weit unter der ursprünglich vorgesehenen Testleistung, in einem Zustand, der zu wenig Raum für Fehler liess. Technisch befand sich die Anlage nicht mehr in dem Zustand, den der Test vorausgesetzt hatte. Organisatorisch hatte die alte Entscheidung jedoch weiterhin Eigendynamik.

An dieser Stelle werden Schuldzuweisungen oft zu einfach: Die Geschichte wird dann darauf reduziert, dass das Betriebspersonal Regeln verletzte, hätte stoppen müssen oder schlicht Fehler machte. Der Betriebszustand war unsicher, und wichtige Grenzen wurden verletzt. Eine Governance-Analyse stellt jedoch eine andere Frage: Warum konnte die Organisation in diesen Zustand geraten und trotzdem weitermachen? Ein gut gestaltetes Managementsystem verlässt sich nicht auf perfektes Urteilsvermögen um 1 Uhr morgens unter Produktionsdruck, Testdruck und hierarchischem Druck. Es schafft Barrieren, bevor Menschen in Grenzsituationen geraten, und es definiert, welche Zustandsänderungen eine erneute Freigabe erfordern statt lokaler Improvisation. Das Problem bei Reaktor 4 war nicht nur, dass sich der Reaktor in einem gefährlichen Zustand befand. Das Problem war, dass dieser gefährliche Zustand die Organisation nicht zum Stoppen brachte.

Die Verstärkungs­schleife im System

Das RBMK-Reaktordesign hatte Eigenschaften, die den Betrieb bei niedriger Leistung besonders gefährlich machten. Der Reaktor war graphitmoderiert und wassergekühlt: Graphit verlangsamt Neutronen, und in diesem Design half diese Moderation, die Kettenreaktion aufrechtzuerhalten, während Wasser Wärme abführte und zugleich einige Neutronen absorbierte. In vielen Reaktordesigns, insbesondere dort, wo Wasser auch der Hauptmoderator ist, senkt das Sieden von Kühlwasser zu Dampf tendenziell die Reaktivität, weil Dampf deutlich weniger dicht ist als flüssiges Wasser und weniger Neutronen in den Bereich verlangsamt, in dem Spaltung effizient aufrechterhalten wird. Das wirkt stabilisierend. Im RBMK konnte unter bestimmten Betriebsbedingungen das Gegenteil geschehen. Wenn Wasser zu Dampf wurde, stand weniger Wasser zur Verfügung, um Neutronen zu absorbieren, während der Graphitmoderator erhalten blieb. Mehr Dampf konnte deshalb die Reaktivität erhöhen, mehr Wärme erzeugen und noch mehr Dampf erzeugen. Das ist der positive Dampfblasenkoeffizient; in einfacher Organisationssprache befand sich das System in einer Konstellation, in der eine Störung sich selbst verstärken konnte.

Das ist nicht automatisch katastrophal, wenn diese Konstellation gut verstanden, eng kontrolliert und von konservativen Betriebsgrenzen umgeben ist. Gefährlich wird es jedoch, wenn das Betriebspersonal nicht genügend nutzbare Informationen über die Gefahr hat und wenn Governance-Mechanismen die Organisation nicht zwingen, instabile Zustände zu vermeiden.

Der Ausdruck "positiver Dampfblasenkoeffizient" klingt technisch, aber für Governance ist das Konzept vertraut, weil viele Organisationen Systeme haben, in denen Druck die Instabilität erhöht. Eine Bank kann Verluste erleiden, die Liquiditätsdruck auslösen, der wiederum Vertrauensverlust auslöst und noch mehr Liquiditätsdruck erzeugt; ein Lieferantennetzwerk kann eine Störung auffangen, indem Nachfrage zu einem anderen Lieferanten verschoben wird, bis auch dieser ausfällt; ein Cybervorfall kann Notlösungen erzwingen, die Kontrollen schwächen und neue Exposition schaffen; und ein Spital unter Druck kann Wartelisten, Personallücken und Rückstände bei der Vorfallbearbeitung aufbauen, die sich gegenseitig verstärken. Der technische Mechanismus unterscheidet sich, aber die Governance-Frage bleibt gleich: Wissen wir, wann unser System sich selbst verstärkt? Wenn Risiko schneller zunimmt, als Information fliessen kann, oder schneller, als Eskalation und Steuerungsmassnahmen reagieren können, ist das Managementsystem bereits hinter dem Ereignis zurück.

Wenn Steuerungs­massnahmen verborgene Fehler­modi haben

Das beunruhigendste Detail in der Unfallsequenz ist das Notabschaltsystem. Nachdem der Turbinenauslauf begonnen hatte, drückte das Betriebspersonal AZ-5, den Notabschaltknopf, offenbar um den Reaktor im Rahmen der Betriebssequenz abzuschalten und nicht, weil aufgezeichnete Parameter eine Notfallintervention erforderten. Nach gewöhnlicher Intuition war die Funktion dieses Knopfs klar: Er sollte die Gefahr beenden. Die Steuerstäbe fahren in den Kern ein, Neutronen werden absorbiert, und die Reaktion verlangsamt sich.

Im RBMK-Design jener Zeit waren die Steuerstäbe keine einfachen Absorbersäulen. Der neutronenabsorbierende Teil war mit Graphitverdrängern verbunden, und der Zweck dieser Verdränger war nicht, einen eingefahrenen Steuerstab wirksamer zu machen. Er bestand darin, die Neutronenökonomie zu verbessern, wenn der Absorber herausgezogen war: Statt den Kanal nur mit Wasser gefüllt zu lassen, das Neutronen absorbierte, verdrängte der Graphit einen Teil dieses Wassers und machte mehr Neutronen verfügbar, um die Spaltung aufrechtzuerhalten. Der Graphit war bei vollständig herausgezogenem Stab nicht einfach ausserhalb des Reaktors; er befand sich im brennstoffführenden Bereich des Kerns. Weil er aber nicht die gesamte Kernhöhe abdeckte, blieb in Teilen des Kanals Wasser zurück. Unter den Bedingungen jener Nacht war das enorm wichtig. Als AZ-5 gedrückt wurde und vollständig herausgezogene Stäbe in den Kern einzufahren begannen, verdrängte Graphit zunächst Wasser im unteren Teil des Kanals. Weil Wasser Neutronen absorbierte, konnte der Ersatz von Wasser durch Graphit die Reaktivität lokal kurzzeitig erhöhen, bevor der neutronenabsorbierende Teil des Stabs vollständig einfuhr.

Mit anderen Worten: Das Notabschaltsystem konnte unter bestimmten extremen Bedingungen zunächst Reaktivität hinzufügen. Das Sicherheitssystem fehlte nicht einfach; es war vorhanden, wurde vertraut und war auf eine Weise gefährlich, die für das Betriebspersonal nicht ausreichend sichtbar war. Das sollte jeden Governance-Praktiker beunruhigen, weil es den Unterschied zeigt zwischen einer vorhandenen Steuerungsmassnahme und dem Verständnis dessen, was diese Steuerungsmassnahme unter Stress tatsächlich tut.

Eine Steuerungsmassnahme ist nicht verlässlich, nur weil sie existiert. Sie ist nur verlässlich, wenn ihr Verhalten unter Stress bekannt, getestet und steuerbar ist.

Die meisten Organisationen haben Steuerungsmassnahmen, von denen angenommen wird, dass sie schützen:

• einen Eskalationsprozess;

• Genehmigungsabläufe;

• eine Due-Diligence-Checkliste für Lieferanten;

• ein Auditprogramm;

• ein Risikokomitee;

• einen Incident-Response-Plan;

• Dashboards mit Rot, Gelb und Grün.

Die Katastrophe hinterlässt eine Reihe unbequemer Fragen für jede Organisation, die sich auf formale Steuerungsmassnahmen verlässt. Was tut die Steuerungsmassnahme tatsächlich unter Stress? Klärt Eskalation Verantwortlichkeit, oder verteilt sie sie? Trifft ein Risikokomitee Entscheidungen, oder absorbiert es Unbehagen? Zeigt ein Dashboard schlechter werdende Bedingungen, oder versteckt es sie hinter Durchschnittswerten? Deckt Lieferanten-Due-Diligence Abhängigkeiten auf, oder erzeugt sie Papiervertrauen? Bei Reaktor 4 war der Abschaltknopf real. Die Organisation hatte seinen Fehlermodus jedoch nicht gesteuert.

Wenn Risiko­wissen nicht nutzbar ist

Eine der wichtigsten Lehren aus der Katastrophe ist, dass Risikoinformation vorhanden und trotzdem nutzlos sein kann. Einige gefährliche Eigenschaften des RBMK-Designs waren in Teilen des wissenschaftlichen, konstruktiven und regulatorischen Systems bekannt, während andere durch Betriebserfahrung und Lücken in der Sicherheitsanalyse ausreichend angezeigt waren, um eine vertiefte Prüfung auszulösen. Risiko wird nicht gesteuert, nur weil es irgendwo dokumentiert, irgendwo teilweise verstanden oder irgendwo vermutet wird. Das Wissen muss die Personen erreichen, die es benötigen, in einer Form, in der sie handeln können, und mit Autorität verbunden.

Wenn das Betriebspersonal nicht versteht, unter welchen Bedingungen ein Reaktor instabil wird, ist das Wissen operativ nicht wirksam. Wenn Verfahren sicherheitskritische Designmerkmale nicht in harte Grenzen und Stoppkriterien übersetzen, ist das Wissen nicht steuerbar. Wenn Aufsichtsbehörden und Konstrukteure nicht sicherstellen, dass Betreiberorganisationen sicherheitskritisches Designverhalten verstehen, ist das Wissen nicht abgesichert.

Diese Unterscheidung ist weit über die Kernenergie hinaus wichtig. Organisationen verwechseln oft "dokumentiert" mit "gemanagt". Sie pflegen Risikoregister, Richtlinien, Schulungsunterlagen und technische Beurteilungen, aber wenn eine echte Entscheidung ansteht, ist die Information zu abstrakt, zu fragmentiert, zu spät oder politisch zu unbequem. Risikomanagement ist nicht die Existenz von Information. Es ist die Umwandlung von Information in bessere Entscheidungen.

Risikowissen wird erst nützlich, wenn es Autorität, Stoppkriterien oder operatives Verhalten im Moment der Entscheidung verändern kann.

Das organisatorische Versagen vor der Explosion

Die organisatorischen Grundursachen der Katastrophe lassen sich in mehrere Muster gruppieren.

Diese Einordnung ist auch historisch wichtig: Spätere Analysen, einschliesslich des INSAG-7-Berichts der IAEA, verschoben den Schwerpunkt weg von einer einfachen Schuldzuweisung an das Betriebspersonal hin zur Wechselwirkung von Reaktordesign, Betriebsverfahren, Sicherheitskultur und regulatorischer Aufsicht.

Erstens gab es eine schwache Sicherheitskultur. Dieser Ausdruck wird manchmal vage verwendet, hat hier aber eine praktische Bedeutung. Eine starke Sicherheitskultur macht konservatives Hinterfragen legitim. Sie erlaubt es, Arbeit zu stoppen, wenn sich Bedingungen ändern. Sie behandelt Unsicherheit als Grund zum Pausieren, nicht als Peinlichkeit, die überwunden werden muss.

Zweitens war die Governance des Tests schwach. Ein sicherheitsrelevanter Test hätte klare Voraussetzungen, Stoppkriterien und Auslöser für eine erneute Freigabe haben müssen. Wenn der Reaktor nicht unter den geplanten Bedingungen betrieben werden konnte, hätte der Test gestoppt oder neu gestaltet werden müssen.

Drittens schützten die Betriebsverfahren nicht ausreichend vor den gefährlichen Eigenschaften des Reaktors bei niedriger Leistung, und das System verliess sich zu stark darauf, dass das Betriebspersonal einen komplexen, instabilen Zustand in Echtzeit bewältigt.

Viertens waren sicherheitskritische Designmerkmale für das Betriebspersonal nicht ausreichend transparent. Der Effekt beim Einfahren der Steuerstäbe und das Verhalten des Reaktors unter bestimmten Bedingungen niedriger Leistung wurden nicht als operativ kritisches Wissen gesteuert.

Fünftens bildete die regulatorische Aufsicht keine starke unabhängige Barriere. Ein Regulator sollte nicht nur als Institution existieren, sondern muss die Autorität, Unabhängigkeit und technische Fähigkeit haben, Design- und Betriebsannahmen vor einer Katastrophe herauszufordern.

Das sind keine exotischen, sondern managementsystembezogene Versagen: Entscheidungsschwellen waren unklar, Eskalation war schwach, kritisches Wissen gelangte nicht wirksam von Design und Regulierung in das operative Urteil, und unabhängige Herausforderung bildete keine ausreichend starke Barriere. Die Organisation verliess sich zu stark auf lokales Urteil unter Druck, und sie versäumte es, die Entscheidung zur Fortsetzung neu zu prüfen, als sich die Bedingungen änderten. In moderner Governance-Sprache bestand das Versagen nicht nur darin, dass Gefahren existierten, sondern darin, dass das System veränderte Bedingungen nicht in eine neue Entscheidung mit genügend Autorität übersetzte, um die Arbeit zu unterbrechen.

Das wiederkehrende Governance-Muster

Die Katastrophe von Tschernobyl zeigt ein Muster, das in vielen Managementsystem-Versagen vorkommt:

1. Bedingte Genehmigung: Eine Aktivität wird unter einem definierten Satz von Annahmen genehmigt.

2. Zerfall von Annahmen: Zeitpunkt, technischer Zustand, Ressourcen, Exposition oder Vertrauen in Steuerungsmassnahmen ändern sich.

3. Schutz der Eigendynamik: Fortsetzung bleibt einfacher als Verzögerung, Neugestaltung oder Eskalation.

4. Lokale Anpassung: Personen nahe an der Arbeit kompensieren, statt eine erneute Freigabe auszulösen.

5. Übervertrauen in Steuerungsmassnahmen: Formale Steuerungsmassnahmen werden vertraut, ohne unter Stress getestet zu sein.

6. Fragmentierung von Wissen: Kritische Information existiert, ist aber dort nicht nutzbar, wo Autorität ausgeübt wird.

7. Verengter Handlungskorridor: Optionen schrumpfen, bis die Organisation unter Druck zwischen schlechten Optionen wählen muss.

Was Risiko­management lernen sollte

Für Risikomanagement lautet die zentrale Lehre der Katastrophe: Risikomanagement versagte, weil sich die Testbedingungen änderten, der Entscheidungsrahmen aber nicht. Das Betriebspersonal und die verantwortlichen Manager führten nicht mehr den Test durch, der ursprünglich vorgesehen war. Reaktorzustand, Leistungsniveau, Steuerreserve und Unsicherheit hatten sich verändert, aber die organisatorische Eigendynamik blieb bestehen: den Test fortsetzen. Das ist ein häufiges Risikomanagement-Versagen. Eine Organisation genehmigt ein Projekt, einen Lieferanten, eine Produkteinführung, eine Restrukturierung oder eine technische Änderung. Später verschlechtern sich Annahmen, Kosten steigen, Fristen verdichten sich, Personal ändert sich und Warnsignale erscheinen, während die ursprüngliche Genehmigung die Entscheidung weiter bestimmt. Der Risikoprozess sollte diese Eigendynamik unterbrechen.

Ein nützlicher Risikoprozess macht die Annahmen hinter einer Entscheidung sichtbar. Er definiert, welche Indikatoren zeigen, dass sich Bedingungen geändert haben, wer die Autorität zum Pausieren oder Stoppen hat, was eskaliert werden muss, wie Restrisiko akzeptiert wird und wann eine neue Entscheidung erforderlich ist. Er gibt geänderter Information auch einen Weg in die Autorität, damit ein schlechter werdender Betriebszustand nicht als lokale Unannehmlichkeit behandelt wird. Ohne das wird Risikomanagement zum Ritual. Die Organisation kann die richtigen Begriffe verwenden, die Formulare pflegen und trotzdem in Gefahr hineindriften.

Was Governance-Design lernen sollte

Für Governance-Design ist die Katastrophe von Tschernobyl ein Fall über Entscheidungsrechte unter Druck. Governance ist nicht nur ein Organigramm und auch nicht einfach eine Komiteestruktur. Sie ist die Gestaltung von Autorität, Verantwortlichkeit und Eskalation, damit wichtige Entscheidungen auf der richtigen Ebene und mit der richtigen Information getroffen werden. Ein gutes Governance-Design hätte mehrere Dinge ausdrücklich gemacht: wer den Sicherheitstest verantwortete, wer die Fortsetzung genehmigen konnte, wenn sich Testbedingungen änderten, welche Betriebszustände automatisch Stopp oder Eskalation erforderten, welche technischen Risiken vom Betriebspersonal verstanden werden mussten, welche unabhängige Funktion den Test hinterfragen konnte und wie Produktions- oder Netzdruck gegen Sicherheitsbedingungen abzuwägen war.

Die wichtigste Governance-Frage lautet nicht, wer nach der Katastrophe verantwortlich war, sondern wer die Autorität hatte, vorher zu stoppen, bevor die Unfallsequenz unkontrollierbar wurde. In vielen Organisationen ist Verantwortlichkeit retrospektiv: Nach dem Scheitern wird Verantwortung rekonstruiert, während vor dem Scheitern Autorität unklar ist. Governance sollte Autorität vor der Entscheidung klar machen. Die Katastrophe zeigt, was geschieht, wenn Stop-Autorität zu schwach, zu unklar oder kulturell zu schwierig nutzbar ist.

Hätte die Katastrophe vermieden werden können?

Die Katastrophe hätte vermieden werden können, wenn auch nicht durch eine perfekte Einzelentscheidung im Kontrollraum. Es hätte mehrere Barrieren gebraucht, von denen jede die finale Katastrophe weniger wahrscheinlich gemacht hätte. Das Reaktordesign hätte sicherer sein können: Der positive Dampfblasenkoeffizient hätte reduziert werden können, und die Steuerstäbe hätten so gestaltet werden können, dass die Notabschaltung keinen positiven Reaktivitätseffekt erzeugt. Nach der Katastrophe wurden RBMK-Reaktoren modifiziert, was zeigt, dass das Design kein Schicksal war. Auch Betriebsgrenzen hätten strenger und wirksamer durchgesetzt werden können, denn Betrieb bei niedriger Leistung in einer instabilen Konfiguration hätte nicht als beherrschbare Unannehmlichkeit behandelt werden dürfen.

Das Testverfahren hätte eine erneute Freigabe verlangen können, sobald sich Bedingungen änderten. Wenn die geplante Leistung nicht erreicht werden konnte, hätte der Test gestoppt oder neu gestaltet werden müssen. Das Betriebspersonal hätte klarer zu Xenonvergiftung, Steuerreserve, positivem Dampfblasenverhalten und den Grenzen des Abschaltsystems geschult werden können. Eine unabhängige Sicherheitsprüfung hätte Testdesign und Betriebsbedingungen hinterfragen können, denn risikoreiche Tests sollten nicht von lokaler operativer Eigendynamik abhängen. Am wichtigsten ist jedoch: Die Organisation hätte eine Sicherheitskultur haben können, in der Stoppen normal und nicht heldenhaft oder karrieregefährdend war. Vermeidung war mit anderen Worten keine einzelne fehlende Handlung. Sie war ein fehlendes System von Barrieren.

Die Lehre für heutige Organisationen

Die Katastrophe von Tschernobyl kann fern wirken, weil sie vierzig Jahre zurückliegt, weil Katastrophen dieses Ausmasses selten sind und weil die meisten Leser nicht für den Betrieb oder die Governance von Kernreaktoren verantwortlich sind. Die meisten Organisationen betreiben keine graphitmoderierten Reaktoren mit positivem Dampfblasenkoeffizienten und fehlerhaften Steuerstabdesigns, aber jede Organisation hat instabile Zustände: Eine Bank kann in eine Liquiditätsspirale geraten, ein Spital kann unsichere Wartezeiten normalisieren, ein Softwareunternehmen kann Deployments schneller automatisieren, als es Änderungen validieren kann, ein Hersteller kann Feldbeschwerden als Rauschen behandeln, bis daraus ein Rückruf wird, eine Behörde kann sich auf Entsorgungsroutinen verlassen, die niemand tatsächlich abgesichert hat, und ein Lieferantennetzwerk kann fragil werden, weil jeder einzelne Vertrag isoliert betrachtet akzeptabel aussieht. Der Mechanismus ändert sich, aber das Governance-Problem bleibt.

Die Lehre der Katastrophe von Tschernobyl ist nicht, dass Menschen Fehler machen, weil diese Schlussfolgerung zu einfach ist. Die anspruchsvollere Schlussfolgerung betrifft das System um sie herum.

Die Lehre ist nicht, dass Menschen Fehler machen. Die Lehre ist, dass Organisationen so gestaltet werden müssen, dass veränderte Bedingungen bessere Entscheidungen erzwingen, bevor Optionen enger werden.

Die Frage für Entscheidungsträger, Risikomanager und Auditoren lautet daher nicht nur, ob so etwas hier passieren könnte. Die nützlicheren Fragen sind spezifischer: Wo machen wir mit einer alten Entscheidung weiter, obwohl sich die Bedingungen geändert haben? Wo nehmen wir an, dass eine Steuerungsmassnahme uns schützt, ohne zu verstehen, wie sie unter Stress funktioniert? Wo ist kritisches technisches Wissen irgendwo bekannt, aber für die Personen, die es brauchen, nicht nutzbar? Wo ist Stoppen formal möglich, aber kulturell schwierig? Wo ist Risikomanagement zum Ritual geworden statt zu einem Entscheidungssystem? Vierzig Jahre nach der Katastrophe von Reaktor 4 sind diese Fragen noch immer lebendig.