Eine nicht kopierte Datei. 440 Millionen US-Dollar in 45 Minuten.

Das Deployment-Skript eines Market-Makers übersprang einen von acht Servern. Auf diesem Server schlummerte noch acht Jahre alter Testcode — und ein umfunktioniertes Flag weckte ihn auf, was eine Flut außer Kontrolle geratener Trades auslöste und das Unternehmen fast vor dem Mittagessen ruiniert hätte.

Knight Capital Trading-Panne Knight Capital 440-Millionen-Dollar-Verlust algorithmischer Handelsausfall Beispiel für Kosten einer fehlerhaften Bereitstellung
Scrollen für die Zeitleiste
45 Min. Von Marktöffnung bis Handelsstopp
440 Mio. $ Verlust — nahezu die gesamte Marktkapitalisierung des Unternehmens

Was passiert ist, in einer Tabelle.

Quellen sind im Text verlinkt; dieser Vorfall ist dank der anschließenden Untersuchung und öffentlichen Verfügung der SEC ungewöhnlich gut dokumentiert.

Datum 1. August 2012, ab Marktöffnung um 9:30 Uhr Eastern Time.
Was ausfiel Ein Techniker, der neuen Order-Routing-Code bereitstellte, vergaß, ihn auf einen von Knights acht Produktionsservern zu kopieren. Dieser Server enthielt noch eine alte, ungenutzte Testfunktion namens „Power Peg", und ein im neuen Code umfunktioniertes Flag reaktivierte sie versehentlich — wodurch eine Flut unbeabsichtigter Kauf- und Verkaufsaufträge in den Markt gesendet wurde.
Ausmaß Innerhalb von etwa 45 Minuten sendete Knights System mehr als 4 Millionen Orders, während es versuchte, lediglich 212 legitime Kundenaufträge zu verarbeiten, handelte dabei rund 397 Millionen Aktien über etwa 154 Titel hinweg und baute große, unerwünschte Positionen auf.
Erkennung und Stopp Knights Ingenieure benötigten fast 45 Minuten, um den fehlerhaften Handel zu diagnostizieren, bevor sie das System abschalteten — es gab keinen automatischen Notschalter oder Kill-Switch, der den spezifischen fehlerhaften Prozess eigenständig hätte stoppen können.
Gemeldete Kosten Knight Capital gab einen Handelsverlust von 440 Millionen US-Dollar bekannt — mehr als die Gewinne des Unternehmens der vorangegangenen mehreren Jahre zusammen. Der Verlust vernichtete nahezu die gesamte Marktkapitalisierung, erzwang eine Notkapitalerhöhung, und innerhalb weniger Monate wurde Knight vom Konkurrenten Getco im Rahmen einer Rettungstransaktion übernommen.

Kein Rollback-Plan, kein Kill-Switch.

Dies ist der schnellste, konzentrierteste Verlust auf dieser Liste — eine Erinnerung daran, dass die Erkennungsgeschwindigkeit bei automatisierten Systemen fast wichtiger ist als alles andere.

01

Toter Code ist kein harmloser Code

Die Power-Peg-Funktion war jahrelang ungenutzt, wurde aber nie entfernt — ein an anderer Stelle im Code umfunktioniertes Flag genügte, um sie zu wecken. Veraltete Codepfade bergen ein latentes Risiko, solange sie existieren.

02

Teilweise Deployments sind schlimmer als gar kein Deployment

Sieben von acht Servern erhielten das korrekte Update; der achte nicht. Ein Deployment-Prozess ohne automatisierte Verifizierung, dass jeder Knoten dem beabsichtigten Zustand entspricht, kann ein System in einen schlechteren Zustand versetzen als vor der Änderung.

03

Die Erkennungszeit ist hier der gesamte Kostenfaktor

Jede Minute, die das System weiterlief, erhöhte die Verluste in einem Tempo, das kaum ein anderer Vorfall auf dieser Liste erreicht — bei automatisiertem Handel ist ein schneller, automatischer Kill-Switch mehr wert als fast jede andere einzelne Investition in Zuverlässigkeit.

Knight Capital, erklärt.

Fragen, die aufkommen, wenn dieser Vorfall in einem Fall zur Deployment-Sicherheit oder Handelsinfrastruktur zitiert wird.

War das ein Hackerangriff oder ein Versuch der Marktmanipulation? Nein — Regulierungsbehörden und Knight selbst führten den Vorfall auf einen internen Deployment-Fehler zurück, nicht auf einen externen Angriff oder eine vorsätzliche Manipulation.
Hat sich Knight Capital erholt? Nicht eigenständig — das Unternehmen überlebte nur durch eine Notkapitalzufuhr von Investoren und wurde innerhalb weniger Monate von Getco übernommen, später Teil von KCG Holdings.
Was änderte sich danach in der Branche? Der Vorfall wurde zu einem vielzitierten Beispiel für die Bedeutung von Checklisten vor der Bereitstellung, Canary Releases und automatischen Notschaltern in jedem System, das ohne menschliche Prüfung finanzielle Aktionen auslösen kann.
Wie lässt sich das auf den Rechner übertragen? Siehe den Rechner für Broker-Dealer, der genau diese Art von seltenem, aber schwerwiegendem Risiko in der Handelsinfrastruktur mit einem kurzen MTTR-Ziel modelliert.

Was würden Sie 45 Minuten außer Kontrolle geratener Automatisierung kosten?

Modellieren Sie Ihre eigenen Handelssysteme, Umsatzrisiken und Wiederherstellungszeiten mit derselben Formel.

Modus

Akzentfarbe