Sie sind auf Seite 1von 108

Simulation kritischer Infrastrukturen (SIMKRIT)

Vom Denken in Systemen zu Prototypen von Simulationsmodellen

Ein subjektiver Rundgang durch die Fachliteratur

Dr. Friedmar Fischer

Karlsruher Institut für Technologie (K.I.T.) Institut für Kern- und Energietechnik (IKET) Campus Nord

Februar 2010

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

1

Inhaltsverzeichnis

1 Vorwort

3

2 Einleitung

5

3 Definitionen kritischer Infrastrukturen

9

4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen)

13

5 Modelltheorie (Prof. Wolthusen, Univ. Bochum)

19

6 P. Pederson: CI – Interdependency Modeling: A Survey

35

7 S. Rinaldi: Modeling and Simulating CI

41

8 SCADA Definition

47

9 E. Luiijf et al: Empirical Findings on CI Dependencies

51

10 DIESIS Project Description

57

11 K. Niemeyer: Simulation of Critical Infrastructures

63

12 W. Schmitz: Modellbildung und Simulation für KI

77

13 P. Gomez: Ganzheitliches Problemlösen

101

14 J. Sterman: Skeptic’s Guide to Computer Models

105

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

2

1 Vorwort

Aus der Projektskizze:

SIMKRIT: Simulation Kritischer Infrastrukturen für das Krisenmanagement

Kritische Infrastrukturen umfassen die Sektoren Energieversorgung, Versorgung mit Trinkwasser und Nahrungsmitteln, Gefahrenstoffe, Behörden und Verwaltung, Telekommunikation und Informationstechnik, Transport und Verkehrswesen, Finanz-, Geld- und Versicherungswesen und Sonstiges wie Großforschungseinrichtungen, symbolträchtige Bauwerke, Kulturgut und Medien.

Kritische Infrastrukturen haben komplexe innere Abhängigkeiten und sind außerdem stark miteinander vernetzt, was insbesondere beim Ausfall der Stromversorgung bei Großschadenslagen deutlich wird. Entscheidungsträger sind daher in solchen Situationen nicht nur durch einen generellen Mangel an Ressourcen und deren nur eingeschränkte Verfügbarkeit bzw. Leistungsfähigkeit sondern auch durch ein unzureichendes Verständnis der Auswirkungen angedachter Maßnahmen auf die komplexe Schadenslage eingeschränkt handlungsfähig.

Vorraussetzungen einer guten Entscheidungsstrategie im Krisenmanagement sind daher die Kenntnis der Schadenslage sowie der Überblick über die zu erwartenden Auswirkungen und der verfügbaren Ressourcen. Weitere Bedingung für ein erfolgreiches Krisen- und Notfallmanagement beim Ausfall von Versorgungssystemen ist zudem das Verständnis über das Verhalten der jeweils betroffenen kritischen Infrastrukturen bezüglich der vorrangigen Hilfsmaßnahmen und deren Auswirkungen auf das gesamte System. Um die Reaktion des Systems realitätsnah abzubilden, bieten sich Simulationsmodelle an. Das Problem existierender Ansätze ist jedoch ihre Inselcharakteristik. Simulationen von Verkehrströmen, Stromnetzen und Transportwegen sind weltweit verfügbar, allerdings sind diese Systeme weder vernetzt noch interagieren sie miteinander.

Die Ziele des Projektes im Einzelnen umfassen u.a. die folgenden Punkte:

Welche Modellansätze und Modelle existieren zur Abbildung kritischer Infrastrukturen und deren Vernetzung, die im Bereich der Bewältigung von Schadensereignissen aber auch bereits in der Planungsphase eingesetzt werden können, und welche Anforderungen werden an sie gestellt.

Welche Ansätze zur Entscheidungsunterstützung vermögen es, die komplexen Zusammenhänge zwischen den kritischen Infrastrukturen für einen Entscheidungsträger fassbar abzubilden.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

3

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

4

2 Einleitung

Aktuelle Naturkatastrophen, Terroranschläge der vergangenen Jahre (insbesondere der Anschlag auf das WTC in New York am 09. September 2001) haben die Verwundbarkeit unserer hoch technisierten Welt drastisch vor Augen geführt. Weltweit gibt es inzwischen zahlreiche Studien, Konferenzen zur Erörterung von sogenannten „kritischen Infrastrukturen“ in den unterschiedlichsten Bereichen des täglichen Lebens. Es gilt Schwachstellen herauszufinden, formale Lösungswege zur Sicherung der Infrastrukturen zu finden und Entscheidungshilfen und –methodiken anzubieten. Die vorangegangenen Auszüge aus der Projektskizze von SIMKRIT beschreiben Teilaspekte dieser immer wiederkehrenden Aufgabenstellungen.

Losgelöst von aktuellen (realen) Erereignissen beschreibt Klaus Niemeyer (IABG) im August 2000 in seiner Studie „Modell ausgewählter Branchen zur Simulation von kritischen Störungen (Bericht NOA-TR-1, www.n-o-a.de):

„Menschen leben in einer komplexen, dynamischen Realität von natürlichen und sozialen Systemen. Viele Systeme sind nicht im Gleichgewicht und der Zustand ändert sich kontinuierlich. Um dieses zu verstehen, sich anzupassen und um die Realität zu kontrollieren sind Methoden zu entwickeln und einzusetzen. Eine wichtige Methode ist die Beschreibung des Systems als formales Modell und die Nutzung auf einem Rechner in Sinne eines Berechnungsexperimentes.

Die mentalen Modelle des menschlichen Gehirns der Entscheidungsträger sind nicht in der Lage, die Komplexität, Variabilität und Vielfältigkeit der Prozesse der problematischen Systeme zu erfassen. Mit Hilfe von Computern ist es jedoch möglich auf explizite und anschauliche Weise die Zusammenhänge zu formulieren, zu programmieren und die Annahmen und Resultate an Entscheidungsträger zu vermitteln und damit eine konstruktive Kritik zu bewirken.

Speziell Simulationsmodelle können genutzt werden, um die unmittelbar existierenden Wechselwirkungen zwischen Struktur und Verhalten dynamischer Systeme zu untersuchen. Man kann problematisches Verhalten eines Systems in Zusammenhang bringen mit der Struktur des Systems und kann Veränderungen der Struktur zur Verbesserung des Verhaltens herausfinden.”

Diese

Fachliteratur dienen.

Statements

können als

roter Faden für einen ersten Rundgang durch die

einschlägige

Zunächst einmal gibt es eine Vielzahl von ähnlich klingenden internationalen Definitionen des Begriffs „Kritische Infrastrukturen“ (siehe Kapitel 3). Die George Mason University, School of Law, Center for Infrastructure Protection, Arlington, VA(USA), hat eine Zusammenstellung in Form von MindMaps gemacht. Die für Europa wesentlichen Teile daraus sind (als Text exportiert) dargestellt. Der US-Report for Congress, RL 31556, 2003, „Critical Infrastructures: What makes an Infrastructure Critical”, (siehe: http://www.fas.org/irp/crs/RL31556.pdf), beschreibt im Groben die wesentlichen anfälligen Infrastrukturbereiche und wie sich Kriterien und Komponenten kritischer Infrastrukturen im Laufe der Zeit verändern.

Damit zu verstehen ist, welche Hilfsmittel zur Entscheidungsunterstützung bei Problemlösungen kritischer Infrastrukturen sich wie in den wissenschaftlichen Kontext einordnen, erscheint es nützlich,

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

5

zunächst – quasi als Meta-Ebene der Betrachtung - einen Abstecher in den Bereich der Systemtheorie bzw. im Weiteren auch der Modelltheorie zu machen.

In einem Grundsatzartikel (siehe Kapitel 4) beleuchtet Prof. M. Schwaninger (Universität St. Gallen) „das Systemdenken als ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches Denken; es ist gleichzeitig analytisch und synthetisch orientiert. Für komplexe Aufgabenstellungen spielt die getroffene Unterscheidung zwischen geschlossenen und offenen Systemen eine wesentliche Rolle. Angesichts wachsender Komplexität und Dynamik unserer Welt stossen herkömmliche Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer Sachverhalte nicht adäquat Rechnung tragen, zunehmend an Grenzen. Zahlreich sind die Versuche, systemisch-kybernetisch geprägte Method(ik)en für einen "ganzheitlichen" Umgang mit komplexen Systemen anzubieten. Als ein wichtiges Beispiel dafür ist die am Massachusetts Institute of Technology entwickelte(top-down) System-Dynamics-Methodik. Sie beruht auf einer heute weit verbreiteten Technik für die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und Rückkopplungen. Komplementär dazu sind eher (bottom-up) orientierte agenten-basierte Simulationsmodelle.“

Prof. S. Wolthusen (Universität Bochum) skizziert in seinem modelltherethischen Übersichtsbeitrag (siehe Kapitel 5) den „Schutz kritischer Infrastrukturen und Informationssicherheit - Grundzüge der Modellierung und Simulation -“ und erschließt das Thema mit Schlüsselfragen. Was genau soll modelliert werden? Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr Einfluss(quantitativ)? In welchem Beziehungsgeflecht stehen die als wichtig identifizierten Größen miteinander? Mit welchem Instrumentarium lassen sich die Wechselwirkungen und Abhängigkeiten beschreiben? Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw. automatisierte Lösung geeignet? Es werden Fragen zur Bewertung (Validierung, Genauigkeit) und Klassifizierung (diskret vs. kontinuierlich; determinstisch vs. stochastisch) der Modelle gestellt.

In Kapitel 6 werden einige Aspekte der Problematik voneinander abhängiger bzw. kaskadierender Infrastrukturen angeschaut. P.Peterson et al. geben in Ihrem Artikel: “Critical Infrastructure Interdependency Modeling: A Survey of U.S. and International Research”, Idaho National Laboratory, Idaho Falls (USA) einige Hinweise auf die internationale Forschungsarbeit auf diesem Gebiet

In Kapitel 7 werden „Inderdependenz-Modelle“ kritischer Infrastrukturen kategorisiert. S. Rinaldi (Sandia National Laboratories) unterscheidet in seinem Konferenzbeitrag: „Modeling and Simulating Critical Infrastructures and their Dependencies“ z.B. aggregierte Angebots- und Nachfrage-Tools, dynamische Simulationen, agenten-basierte Modelle, ingenieurs-basierte Modelle, Bevölkerungs- Mobilitäts-Modelle, Leontief Input-Out-Modelle. Als eine der ganz grossen Herausforderungen zur Modellierung von Interdependenzen erweist sich nach seiner Auffassung die Erhebung und Bereitstellung entsprechender Daten. Auch die Validierung und Verifikation der verwendeten Modelle ist dabei von fundamentaler Bedeutung. In einem weiteren Beitrag weisen S. Rinaldi, J. Peerenboom, T. Kelly: „Identifying, Understanding, and Analyzing Critical Infrastructure Dependencies“ (IEEE Control Systems Magazine), auf die Bedeutung von sogenannten „Cyber“ – Interdependenzen hin.

Da das zuverlässige Funktionieren moderner Infrastrukturen inzwischen sehr stark von automatisierten („computerisierten“) Kontrollmechanismen abhängt („Cyber – Inderdependenz“) wird in Kapitel 8 eine allgemeine Beschreibung dieser sogeannten SCADA (supervisory and data aquisition) System gegeben. Cyber – Inderdependenzen verbinden Infrastrukturen untereinander durch elektronische informationelle „Links“. Daher gibt es dazu inzwischen auch den terminus technicus für diesen Teilbereich der „critical informational infrastructure protection“ (CIIP).

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

6

Während Rinaldi et al. und Wolthusen für die Erörterung der Abhängigkeiten kritischer Infrastrukturen einen theoretischen Modellzugang gewählt haben, gehen E. Luiijf et al. (TNO Defence, The Hague, NL) einen anderen Weg. Eine Skizze dieses Weges findet man in Kapitel 9. Es

werden europäische Datensammlungen zu Störfallen bei kritischen Infrastrukturen ausgewertet. In der Untersuchung werden die Störfallereignisse klassifiziert (auslösende, resultierende, oder unabhängige Ereignisse). Es gibt dabei u.a. kaskadierende auslösende bzw. resultierende

Erereignisse.

einer „Domino-Theorie“ für kritische Infrastrukturen nicht bestätigen. Kaskadierende Ereignisse (- bezogen auf unterschiedliche Sektoren des täglichen Lebens -) erwiesen sich als sehr asymmetrisch und gebündelt. Der Schwerpunkt der kaskadierenden Effekte lag im Energie- und Telekommunikationssektor. Ferner meinen die Autoren festgestellt zu haben, das weit weniger Interdependenzen aus empirischen Untersuchungen belegbar waren als beim Design theoretischer Modelle meist angenommen wird.

Aus der Vielzahl gesammelter empirische europäischer Daten läßt sich die Vermutung

Kapitel 10 skizziert das EU – Projekt DIESIS (Design of an Interoperable European federated -

die

wesentlichen Aufgaben beschrieben. “Die europaweit wachsende Abhängigkeit von kritischen Infrastrukturen wie Energieversorgung, Telekommunikation, Transportwesen oder Wasserstraßen birgt auch Risiken von internationalem Ausmaß. Katastrophen, menschliches Versagen oder technische Störungen der Informationstechnik und Telekommunikation können große Regionen von lebenswichtigen Infrastrukturen abschneiden. Zur Vorbeugung hat die Europäische Union das Forschungsprojekt DIESIS unter Federführung des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme IAIS gestartet. Die Forschung im Bereich komplexer Infrastruktursysteme ist darauf angewiesen, Modelle und Simulationsumgebungen als Hilfsmittel zu verwenden, da Untersuchungen oder Erprobungen von neuen Techniken aus Sicherheitsgründen nicht an den im Betrieb befindlichen Kontrollsystemen durchgeführt werden können. Für einzelne Infrastrukturen gibt es bereits sehr gute Simulatoren, jedoch gibt es bisher keine, die geeignet sind, eine koordinierte und sektorübergreifende Simulation von mehreren voneinander abhängigen Infrastrukturen zu leisten. Aufgabe und Ziel des Projekts DIESIS ist es nun, eine europaweit standardisierte Plattform für die Modellierungs- und Simulationsaufgaben zu konzipieren, die die Grundlage für eine grenzübergreifende Erforschung von Sicherheitsaspekten der kritischen europäischen Infrastrukturen bildet. Die Plattform soll im Rahmen eines später einzurichtenden »Europäischen Zentrums für die Simulation und Analyse kritischer Infrastrukturen EISAC« bereitgestellt werden. Das DIESIS-Konsortium besteht aus fünf Projektpartnern, neben dem Fraunhofer IAIS sind dies Ente per le Nuove Tecnologie, l‘Energia e l‘Ambiente ENEA (Italien), Consorzio Campano di Ricerca per l’Informatica e l‘Automazione Industriale CRIAI (Italien), TNO (Niederlande) sowie das Imperial College in London. “

Simulation

network

for

critical

InfraStructures).

In

einem

DIESIS

Projekttext

werden

In Kapitel 11 beschreibt K. Niemeyer (IABG, Ottobrunn) in einem Zeitschriftenartikel seine Vorgehensweise zur Darstellung von Modell-Prototypen zur Simulation kritischer Infrastrukturen. Er schreibt in z.B. in seinem Report NOA-TR-1 „Modell ausgewählter Branchen zur Simulation von kritischen Störungen“: “Um die impliziten Ursachen der Probleme der Struktur eines Systems zu identifizieren, sind die Modelle zu entwickeln, experimentell zu analysieren und zu modifizieren. Im „systems dynamics“ Kontext wird die Entwicklung des Modellkonzeptes und die Nutzung eines großen Spektrums an Kriterien für Vergleiche mit realen Systemen im Vordergrund gesehen, sowohl in struktureller Hinsicht als auch im Verhalten. Eine Reihe von Eigenschaften komplexer Systeme werden von menschlichen mentalen Modellen nur sehr schwer erfasst. Zunächst ist die Ursache des dynamischen Verhaltens zu erfassen . Weiterhin ist es schwierig die zeitlichen Verzögerungen in realen Systemen zu erfassen. Diese verursachen zeitlich verschobene Verteilungen der Auswirkungen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

7

von Parametern und Wirkungen. Verzögerungen verführen Menschen dazu Priorität den kurzfristigen Ergebnissen zu geben und langfristige Auswirkungen zurückzustellen oder zu ignorieren und damit möglicherweise erheblich schlechtere Gesamtresultate erzielen. Darüber hinaus gibt es Rückkopplungen, d.h. reale Systeme sind durch Wirkungen gekennzeichnet, die auf verursachende Parameter zurückwirken. Derartige Rückwirkungen können die Ursachen verstärken oder auch dämpfen, damit wird ein System instabil oder stabil. Wenn Menschen versuchen, die Rückkopplungen zu organisieren, sind Verstärkung oder Dämpfung richtig einzuschätzen um die Systemstabilität zu gewährleisten. Letztlich gibt es in erheblichem Maße nicht-lineare Prozesse. Dies führt zu unproportionalen Abhängigkeiten, die nicht oder nur unzureichend beurteilt werden können. Derartige Charakteristika komplexer Systeme verdecken die Zusammenhänge zwischen Ursache und Wirkung und führen zu schwerwiegenden Fehlentscheidungen. Erfolgreiche Lösungen sind häufig entgegengesetzt zur menschlichen Intuition und schwer zu finden. Zur visuellen Vorbereitung, Aufbereitung und Darstellung der dynamischen Prozesse („system dynamics“) werden existierende Softwarekonzepte genutzt wie etwa: GAMMA („Concept Mapping“, „holistic thinking“) von www.topsim.de und PowerSim von www.powersim.com.

In Kapitel 12 wird beschrieben, wie N. Schmitz (IABG, Ottobrunn) auf den Überlegungen seines Kollegen K. Niemeyer aufbaut und ein ausgezeichnetes denkbares Vorgehensmodell für ein Kontrollmodell zum Schutz kritischer Infrastrukturen im Bereich Energie vorgestellt. Dabei werden zunächst häufige Fehler bei der Modellierung komplexer Systeme angesprochen. Er schreibt, die methodische Herausforderung bestehe darin, methodische Unzulänglichkeiten (Fehler) zu vermeiden und Antworten auf wichtige Fragen zu finden: Wie reagiert das System „Kritische Infrastrukturen“ auf bestimmte Ereignisse? Wie robust und flexibel ist das System? Wie kann sein Systemverhalten verbessert werden? Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt werden? Was sind die kritischen und unkritischen Bereiche des Systems? Die konkrete Umsetzung des gewählten Systembeispiels erfolgt mit den Software-Werkzeugen GAMMA und TopSim.

In Kapitel 13 würdigen die Autoren P. Gomez und G. Probst die Methode des „holistic thinking“ und gehen auch kurz auf die Software-Werkzeuge GAMMA und TopSim ein.

Zum Schluss werden in Kapitel 14 von J. Sterman in einem Überblicksaufsatz skeptische Blicke auf Simulationen durch Computermodelle geworfen. Es werden Grenzen der Simulation aufgezeigt, Fragen bzgl. der Genauigkeit von Entscheidungsregeln, der Berücksichtigung von sogenannten „weichen (soften)“ Einflussgrößen gestellt, die Problematik der Festlegung von Modellgrenzen der Simulation und der Feedbacks angerissen. Es würde den Rahmen dieses ersten Rundgangs durch die Fachliteratur sprengen, detaillierter auf die zahlreichen neueren Beiträge zu Detailaspekten der Modellierung und Simulation kritischer (auch Informations-) Infrastrukturen einzugehen.

Dazu sei verwiesen auf die Konferenzberichte zu CRITIS 2008 und 2009 (CRITIS = Critical Information Infrastructures Security) und auf das Projekt IRIIS (Integrated Risk Reduction for Information-based Infrastructure Systems). Im Projekttext steht u.a.: Aufgabe und Ziel von IRRIIS ist es, eine neue Simulationsumgebung aufzubauen. Das Tool SimCIP (Simulation of Critical Infrastructure Protection) ist ein agentenbasiertes Simulationssystem, das ganz unterschiedliches Zeitverhalten und Abhängigkeiten von kritischen Infrastrukturen simulieren kann. Um die erforderliche Präzision der Simulation zu erzielen, gestattet SimCIP über Federated Simulation spezielle Simulatoren zu integrieren, zum Beispiel für Energienetze oder Telekommunikationssysteme.

Für die Modellierung mittels des „system dynamics“ – Denkens und der „holististischen“ Herangehensweise gibt es weitere Produkte auf dem Markt (z.B. ithink!, Heraklit, VenSim, u.v.a.).

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

8

3 Definitionen kritischer Infrastrukturen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

9

From: http://cip.gmu.edu/research/CriticalInfrastructureMapping.php (reconstructed text from mindmapping charts) International Definitions of Critical Infrastructure

International Organizations with U.S. Participation North Atlantic Treaty Organisation (NATO)

"Critical infrastructure are those assets, facilities, networks and services which, if disrupted or destroyed, would have a serious impact on the health, safety, security, economic well being or effective functioning of a country."

Source: Backgrounder: NATO’s Role in Civil Emergency Planning, NATO Public Diplomacy Division, September 2006, p. 9. Available at: http://www.nato.int/docu/cep/cep-e.pdf (last accessed May 17, 2007).

Organisation for Economic Co-operation and Development (OECD)

"The Asian Development Bank (ADB) uses the definition of infrastructure developed by the Task Team on Infrastructure for Poverty Reduction, which distinguishes 'social infrastructure' (such as health, education, and culture) from 'economic infrastructure' (such as transport, energy, information and communication technology, and irrigation, drinking water, and sanitation)."

Source: Regional Cooperation on Disaster Management and Preparedness, Central Asia Regional Economic Cooperation, August 28-29, 2006, p. 4. Available at:

http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN025915.pdf (last accessed May 17,

2007).

United States

Critical infrastructure: "Assets, systems, and networks, whether physical or virtual, so vital to the United States that the incapacity or destruction of such assets, systems, or networks would have a debilitating impact on security, national economic security, public health or safety, or any combination of those matters."

Source: National Infrastructure Protection Plan (NIPP), U.S. Department of Homeland Security, June 2006, p. 103. (Aktuelles Dokument nun in: http://www.dhs.gov/files/programs/editorial_0827.shtm)

"As defined in the Homeland Security Act, 'key resources' are publicly or privately controlled resources essential to the minimal operations of the economy and government."

Source: NIPP, p. 104.

European Union (EU) European Critical Infrastructure – that is critical infrastructure that, if disrupted or destroyed, would significantly affect two or more Member States or a single Member State if the critical infrastructure is located in another Member State. With due regard to existing

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

10

Community competences, the responsibility for protecting National Critical Infrastructures falls on the NCI owners/operators and on the Member States. The Commission will support the Member States in these efforts only where requested to do so."

Source: "The European Programme for Critical Infrastructure Protection (EPCIP)," Press Release, Commission of the European Communities, December 12, 2006, p. 3. Available at:

http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/06/477&format=HTML&aged=0&language=

EN&guiLanguage=en (last accessed May 17, 2007).

Assessment for Critical Infrastructure Protection (ACIP)

"The term Large Complex Critical Infrastructure (LCCI) defines a distributed network of independent, mostly privately-owned, man-made systems and processes working collaboratively and synergistically to produce and distribute a continuous flow of essential goods and services.

An LCCI is an infrastructure (such as an electric grid, a telecommunications network or a railway/air/road transportation network) whose destruction or degradation can entail severe consequences to public health, safety, security, or the economy."

Source: Deliverable D7.5: Final Report (2-PR): Analysis and Assessment for Critical Infrastructure Protection (ACIP), Information Society Technologies, June 5, 2003, p. 36. Available at:

http://www.iabg.de/acip/doc/wp7/D75_final_progress_report_public.pdf (last accessed May 17, 2007).

Germany

"Critical infrastructures (CI) are organisations and facilities of major importance to the community whose failure or impairment would cause a sustained shortage of supplies, significant disruptions to public order or other dramatic consequences."

Source: "Critical Infrastructure Protection for Disaster Reduction," Presentation by Susanne Lenz, Federal Office of Civil Protection and Disaster Assistance, Centre for Critical Infrastructure Protection, August 29, 2006. Available at: http://www.davos2006.ch/Presentations/Lenz_S_Pres.pdf (last accessed May 17, 2007).

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

11

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

12

4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

13

Prof. Dr. Markus Schwaninger, Universität St. Gallen, „Systemtheorie“, Diskussionsbeitrag No, 19, Dezember 2004

(siehe

http://www.ifb.unisg.ch/org/ifb/ifbweb.nsf/SysWebRessources/beitrag+19/$FILE/DB_19.pdf)

den

kompletten

Beitrag:

Aus der Systemtheorie leiten sich verschiedene Systemmethodiken ab. Diesen liegt eine auf den Erkenntnissen der allgemeinen Systemtheorie basierende Denkweise zugrunde, die als Systemdenken bezeichnet wird. Zu diesen Erkenntnissen zählen etwa:

1. Das Ganze und die Teile:

Das Ganze ist nicht gleich der Summe der Teile.

2. Vernetztheit:

Komplexe Systeme sind vernetzte, dynamische Ganzheiten.

3. Das System und seine Umwelt:Offene Systeme sind jeweils mit ihrer Umwelt ernetzt und tauschen mit dieser Materie, Energie und Information aus.

4. Komplexität:

Das Verhalten komplexer Systeme lässt sich nicht im einzelnen vorhersehen,

aber beeinflussen.

5. Ordnung: Komplexe Systeme weisen erkennbare Ordnungsmuster auf, die (mit-) gestaltet werden können.

6. Lenkung:

7. Entwicklung:

Lenkung (Steuerung, Regelung) hält ein System unter Kontrolle.

Soziale Systeme können lernen und sich qualitativ entwickeln.

Systemdenken ist ein ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches Denken; es ist gleichzeitig analytisch und synthetisch orientiert.

Für komplexe Aufgabenstellungen spielt die getroffene Unterscheidung zwischen geschlossenen und

offenen Systemen eine wesentliche Rolle.

Informationsaustausch mit ihren Umsystemen in der Lage, zu wachsen und sich zu entwickeln. Sie können ein Fliessgleichgewicht mit ihrer Umwelt aufrechterhalten und trotz wechseln der Elemente ihre Identität aufrechterhalten. Die für geschlossene Systeme zwingende Zunahme der Entropie (Unordnung) im Zeitablauf (2. Hauptsatz der Thermodynamik) gilt nicht für offene Systeme. Diese können durch Aufnahme von Materie, Energie und Information Zustände wachsender Ordnung, resp. ein gehobenes Energieniveau auf bauen. Beer (1967) klassifiziert Systeme unter dem Beschreibungs- und Regelungsaspekt nach zwei Dimensionen:

Offene Systeme sind durch Materie-, Energie- und

Komplexität:

Einfach, komplex, äusserst komplex

Bestimmbarkeit: Determiniert versus stochastisch

Daraus ergeben sich 6 Stufen von einfach und determiniert bis äusserst komplex und

Den verschiedenen Systemtypen können jeweils geeignete Lenkungsty pen resp. Systemmethodiken

zugeordnet werden.

stochastisch.

Die mathematische Systemtheorie unterscheidet nach der Art der Transformation von zeitabhängigen Eingangsgrössen u(t) in Ausgangsgrössen y(t) folgende Merkmalsausprägungen:

linear, nichtlinear

zeitinvariant, zeitvariabel

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

14

statisch, dynamisch

sofortwirkend, zeitverzögert wirkend

deterministisch, stochastisch

Den Gegenstand z.B. betriebswirtschaftlicher Fragen bilden Systeme der Kategorien komplex und stochastisch (z. B. Lagerhaltung) sowie äusserst komplex und stochastisch (z. B. Unternehmungsführung). Boulding, K. (1956) klassifiziert Systeme anhand von 9 Stufen, die von 1. statischen Strukturen ("Fachwerken"), 2. Uhrwerken, 4. Zellen über 7. Menschen bis 8. soziale Organisationen und 9. transzendente Systeme reichen. Soziale Systeme unterscheiden sich von den Systemen der vorgelagerten Stufen vor allem insofern, als ihre Subsysteme (z. B. Gruppen) und Elementen (Individuen) sich an eigenen Werten und Zielen orientieren. …. Gegenstand der allgemeinen Systemtheorie ist die Abbildung von Systemen unterschiedlichster Inhalte mit demselben formalen Apparat. Geschah dies ursprünglich weitgehend verbal und unter Rückgriff auf Analogien wurden später zunehmend mathematische Strukturgleichheiten (Homomorphien) zwischen Systemstrukturen und -prozessen identifiziert. Dabei liegt der didaktisch-

lernökonomische Nutzen der Systemtheorie darin, dass vielfältige Einzelrscheinungen als Ausprägung weniger theoretischer Grundkonzepte erklärt und durchschaut werden können. Die mathematische Systemtheorie hat vielfältige Verfahren zur Beschreibung, Analyse und

auf

Optimierung komplexer Systeme hervorgebracht. Vollständigkeit oder perfekte Systematik:

Dazu einige Beispiele, ohne

Anspruch

- Lineare Systeme

- Nichtlineare Systeme

- Kontinuierliche und diskontinuierliche Systeme

- Adaptive Systeme

- Dynamische Systeme

- Hierarchische Systeme

- Interagierende systeme

Die neueren Methoden der mathematischen Modellierung offener Systeme ermöglichen es, komplexe organisationale Phänomene als notwendige Folgen nichtlinearer Wechselwirkungen zu erklären. Entsprechende Anwendungen sind insbesondere aus Chemie und Biologie bekannt. Diese Methoden sind im Prinzip nicht nur auf technisch-naturwissenschaftliche, sondern auch auf

soziale und ökologische Systeme übertragbar. Dort tritt allerdings, angesichts der hohen Komplexität der betrachteten Phänomene, anders als in den Naturwissenschaften, gegenüber der mathematischen Analyse und der Lösung von Gleichungssystemen die Simulation, oft in Verbindung mit der Optimierung, in den Vordergrund. Als besonders vielseitig anwendbar ist die System- Dynamics-Methodik hervorzuheben.

Angesichts wachsender Komplexität und Dynamik unserer Welt stossen herkömmliche Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer Sachverhalte nicht

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

15

adäquat Rechnung tragen, zunehmend an Grenzen. Optimierungsmodelle mit zu eng gesetzten Systemgrenzen beispielsweise generieren oft Lösungen, die nur kurzfristig attraktiv, langfristig aber kontraproduktiv sind, etwa wenn die ökologische Dimension von ökonomischen Sachverhalten künstlich abgetrennt wird. Zahlreich sind die Versuche, systemisch-kybernetisch geprägte Method(ik)en für einen "ganzheitlichen" Umgang mit komplexen Systemen anzubieten, dessen philosophische Basis ein "systemisches Weltbild" bildet. Grob vereinfachend kann zwischen positivistisch, objektivistisch, rationalistisch geprägten Ansätzen einerseits und hermeneutisch, interpretativ, subjektivistisch geprägten Ansätzen andererseits unterschieden werden. Erstere basieren auf sachlogischen und quantitativen Analysen, letztere auf qualitativen - sozio logisch, kulturell, politisch und handlungsorientierten - Betrachtungsweisen. Die folgende Gegenüberstellung muss vereinfachen, weshalb die Gegensätze zwischen den einzelnen Schulen grösser erscheinen mögen, als sie dies heute noch sind. Beispielsweise hat die ursprünglich streng positivistisch .geprägte System-Dynamics- Schule über die Zeit auch zunehmend sozio-logische und hermeneutische Aspekte in ihre Methodiken integriert. Postiivistische geprägte Methodiken: Beispiele aus Modellierung und Simulation Zunächst die von Jay W. Forrester am Massachusetts Institute of Technology entwickelte System-Dynamics-Methodik. Sie beruht auf einer heute weit verbreiteten Technik für die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und Rückkopplungen. Diese geht davon aus, dass das Verhalten eines komplexen Systems weitgehend durch dessen Struktur bestimmt ist. Kernelement der Methodik ist eine Darstellung des gegenständlichen Systems mit Hilfe eines Flussdiagrammes, das zwischen Bestandesgrössen ("stock variables", "levels"), Flussgrössen ("flow variables", "rates"), Hilfsgrössen und Parametern (im Sinne von charakteristischen Grössen, - meist Konstanten) unterscheidet. Weiter werden die im Diagramm dargestellten Beziehungen mittels quantitativer Funktionen (Gleichungen, Input-Outputtabellen) in ein formales Simulationsmodell übergeführt. Mit Hilfe der visuellen Abbildung und der Simulationen lassen sich wertvolle Einsichten in das Systemverhalten gewinnen. Mittlerweile ist eine Reihe von "System-Archetypen", - generischen Strukturen - formalisiert worden, die sich in vielfältigen Systemen immer wieder feststellen lassen.

Die Anwendungsgebiete von System Dynamics sind äusserst vielfältig. Sie reichen im sozioökonomischen und ökologischen Bereich von globalen Modellen zu Modellen von Volkswirtschaften, regionalen Systemen, Organisationen und Teilaspekten der Unternehmungs- führung. Seit einigen Jahren verfügbare, leicht handzuhabende und leistungsfähige Software (z.B.: Dynamo, PowerSim, Stella, Vensim) erleichtert die Erstellung von System Dynamics-Modellen erheblich und erlaubt teilweise auch die Optimierung von Modellparametern. Komplementär zu System Dynamics, das eher eine top-down-Betrachtung - den Blick auf Struk- turen und Verhaltensmuster auf hochaggregierter Ebene - anstellt, sind auch die agentenbasierten Simulationsmodelle von grosser Bedeutung. Sie weisen eine bottom-up-Orientierung auf, und zwar in dem Sinne dass das Verhalten der einzelnen Agenten auf Mikroebene in seiner Gesamtheit Verhaltensmus ter auf Makroebene erzeugt. Zwischen diesen beiden Welten - System Dynamics und agentenbasierter Simulation werden langsam Brücken gebaut. Hermeneutisch geprägte Methodiken: Beispiel Soft Systems Methodology Checklands Soft Systems Methodology wurde für den Umgang mit schlecht definierten, "weichen" Problemsituationen entwickelt. Sie versteht sich als eine firmere Leitlinie für das Handeln, als dies eine Philosophie sein könnte, nicht aber als eine präzise Technik der Modellierung. Sie bietet ein heuristisches Vorge henskonzept, in dem zwischen Aktionen in der realen Welt und Schritten des System denkens auf der formal-konzeptionellen Ebene unterschieden wird. Dabei wird eine Verwendung quantitativer Methoden oder Methodiken der Modellierung in bestimmten Phasen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

16

keineswegs ausgeschlossen. Besonderes Gewicht liegt auf einer Berück sichtigung multipler Perspek- tiven in der Definition und Abgrenzung der Problemdefinition. Integrative Systemmethodiken In jüngster Zeit wächst die Einsicht, dass wirksame Problemlösungen in Management-Kontexten auf einer Synthese beider Arten von Methodiken basieren. Damit sowohl den sachlogischen, als auch den sozio-logischen Aspekten der zu bewältigenden Probleme adäquat Rechnung getragen wird, sind für Anwendungen auf dem Gebiet des Managements Methodiken entwickelt worden, die Aspekte beider genannten Ansätze verknüpfen. Zu diesen zählen das Sensitivitätsmodell (Vester) und die Methodik des Vernetzten Denkens (Gomez, P./Probst, G.), Methodenpakete, die jeweils qualitative und grobe quantitative Verfahren kombinieren. Zur Unterstützung dieser Methodiken liegen die Softwarepakete 'Sensitivitäts modell', 'GAMMA' und 'Heraklit' vor.

Es wurde eine systemisch-kybernetische Management-Methodik, die

entwickelt, die auf der Soft Systems Methodology aufbaut. Sie ist speziell darauf angelegt, dass im Entscheidungsprozess nicht nur das Problem an sich (Objektebene), sondern auch der Zusammenhang, in den das Problem eingebettet ist (Kontextebene), in seiner Dynamik berücksichtigt wird. Auf dieser Grundlage wurde eine Integrative Systemmethodik erarbeitet, die eine Reihe von Anforderungen und neuen Möglichkeiten einbezieht. Sie soll Akteuren in Organisationen helfen, ihr Verhaltensrepertoire im Sinne einer "Requisite Variety" zu verbessern. Die Integrative Systemmethodik bildet einen methodologischen Rahmen, der vor allem zwei bis anhin zu wenig berücksichtigten Aspekten speziell Rechnung trägt:

a) der Überwindung der Kluft zwischen der positivistischen und der interpretativen Tradition:

Methodology

Cybernetic

- objektivistische versus subjektivistische Weltsicht

- strukturalistische versus diskursive Ausrichtung

- qualitative versus quantitative Methoden

- instrumentalistischer und kommunikativer Rationalität,

b) der Validierung der verwendeten Modelle.

Einen Überblick zum Prozess vermittelt Abbildung 3. Im ersten Teil der Abbildung (3/1) wird die dem Problemlösungsprozess zugrundlegende Sequenz von Schritten gezeigt. Die Unterscheidung von Inhalts- und Kontextebene gilt für den gesamten Prozess, der auf beiden Ebenen geführt werden muss. Im zweiten Teil (3/2) wird eine etwas detailliertere Sequenz von Schritten dargestellt, die jeweils für beide Ebenen gelten. Im Zentrum steht der Aspekt der Validierung. Dies ist die stete Bemühung um bessere Modelle und Strategien. Zu diesem Zweck sind besondere Methoden und Techniken entwickelt worden.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

17

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur - 18
Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur - 18

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

18

5 Modelltheorie (Prof. Wolthusen, Univ. Bochum)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

19

Aus:

http://www.crypto.rub.de/imperia/md/content/lectures/kritis/wolthusen/28012006/segment2.pdf

Schutz kritischer Infrastrukturen und Informationssicherheit

Grundzüge der Modellierung und Simulation WS 2005/06

Prof. Dr. Stephen D. Wolthusen

Grundmerkmale von Modellen

Modelle sind, wie alle Abbildungen, durch drei Merkmale gekennzeichnet (Stachowiak1973):

Stachowiak, H. (1973): Allgemeine Modelltheorie. Wien: Springer.

1) Abbildungsmerkmal: Modelle sind stets Modelle von etwas, nämlich Abbildungen, Repräsentationen natürlicher oder künstlicher Originale, die selbst wieder Modelle sein können.

2)

Verkürzungsmerkmal: Modelle erfassen im Allgemeinen nicht alle Attribute des durch sie repräsentierten Originals, sondern nur solche, diejeweils relevant erscheinen.

3)

pragmatisches Merkmal: Modelle sind ihrem Original nicht unbedingt eindeutig zugeordnet:

Sie erfüllen eine Ersetzungsfunktion für bestimmte Subjekte, innerhalb eines bestimmten Zeitintervalls und unter Einschränkungen auf bestimmte gedankliche oder tatsächliche Operationen.

auf bestimmte gedankliche oder tatsächliche Operationen. Friedmar Fischer; Simulation kritischer Infrastrukturen -

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

20

Das System und seine Bestandteile

Ein System S ist ein Quadrupel, das aus

(1) der Menge der Attribute, (2) der Menge der Funktionen, (3) der Menge der Subsystemeund (4) der Menge der Relationen gebildet wird.

(1) Attribute: Die äußeren Merkmale und Eigenschaften eines Systems bilden die Menge seiner Attribute. Diese wird in disjunkteTeilmengen (zum Beispiel Input, Output) unterteilt. Ein Attribut hat mindestens eine Ausprägung (zum Beispiel Wert). Ein Attribut isteine nicht-leere Menge von Eigenschaftsausprägungen.

(2) Funktion: Die Beziehungen zwischen den Attributen eines Systems bilden die Menge der Funktionen. Eine Funktion wird als n-Tupelaufgefaßt, bei dem jede Stelle durch das Element eines Attributs besetzt ist. Eine Funktion ist eine Teilmenge des kartesischen Produkts zwischen Attributen.

(3) Subsysteme: Die inneren Bestandteile eines Systems bilden die Menge der Subsysteme. Jedes Subsystem kann selbst als System aufgefaßt werden; es besitzt daher auch eine eigene Menge von Attributen. Systemumgebung: Ausgehend von einer Grundmenge, die die Menge aller Subsystemeenthält, erhält man die Umgebung, wenn man die Differenzmenge zwischen der Grundmenge und der Menge aller Subsysteme bildet.

(4) Relationen: Die Beziehungen zwischen den Attributen verschiedener Subsysteme bilden die Menge der Relationen. Eine k-stelligeRelation ist eine Teilmenge des kartesischen Produkts zwischen k Attributen von k Subsystemen.

Modellierung

Vereinfachende

Gegenstands

Abbildung

(abstrakte

Repräsentation)

eines

Wirklichkeitsausschnittes

/

Abhängig von dem verfolgten Zweck bzw. der Sichtweise

Eingeschränkte

durch

die

Modellierungskonstrukte

Modellierungsmethode

bzw.

die

entsprechenden

Subjektiver Prozess(in der Regel nicht automatisierbar)

Dient insbesondere der Bewältigung von Komplexität

Voraussetzung für eine informationstechnische Umsetzung

Basiert in der Regel auf Abstraktion

(Verallgemeinerung, Loslösung vom Konkreten, Theoretisierung)–Typisierung relevanter Sachverhalte– Nicht-Abbildung irrelevanter Aspekte

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

21

Unternehmensmodellierung: Das Unternehmen bzw. betriebliche Gegebenheiten stellen den betrachteten Wirklichkeitsausschnitt dar

Definition Modellierung (1)

Modell : (vereinfachendes) Abbild einer (partiellen) Realität

konkret: z.B. Modellbau, Experimente (Windkanal)

abstrakt: formale Beschreibung, typischerweise (aber nicht nur) mit dem Methodenapparat der Mathematik

mathematische Modellierung : Prozessder formalen Herleitung und Analyse eines mathematischen Modells

zunächst: informale Beschreibung des Problems (Prosa)

daraus: semiformale Beschreibung mit Instrumentarium der Anwendungswissenschaft

daraus schließlich: streng formale Beschreibung (Konsistenz!)

D.h.: Formalisierung bzw. Mathematisierung eines Problems zur besseren Lösbarkeit!

Definition Modellierung (2)

Beispiel: Stunden-und Raumbelegungsplan einer Schule

zunächst Beschreibung mit Text

daraus Kärtchentableau

daraus Graph und Scheduling-Problem

Simulation:

Modellierung

virtuelles

(i.A.

rechnergestütztes)

Experiment

am

Modell,

eigentliches

Ziel

der

Modellbildung unterschiedlich naheliegend und etabliert

exakte Naturwissenschaften: lange Tradition, Formulierungen derPhysik etwa per se mathematisch, heute i.W. anerkannt

staatliche Wirtschaftspolitik: stark umstritten, mindestens zwei Lager (Monetaristen und Keynesianer), beide fahren Modelle auf

Klimamodellierung: stark abweichende Theorien zu Ozonloch und globaler Erwärmung, alle modellgestützt

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

22

Spieltheorie: von Neumanns MinMax-Prinzipvon Vorsicht geprägt (worstcase), kaum realistisch für Zocker etc.

Modellierung und Simulation

Was ist der Zweck einer Simulation?

ein bekanntes Szenario verstehen bzw. nachvollziehen:

- Naturkatastrophen (Erdbeben etc.): warum überhaupt, warum an diesem Ort und zu dieser Zeit, warum so heftig?

- Einsturz des World Trade Centers

ein bekanntes Szenario optimieren:

- Flugeinsatzplan der Lufthansa

- Wärmeabtransport eines Kühlsystems-Durchsatz durch ein Rechensystem oder das Internet

ein unbekanntes Szenario vorhersagen:

- Klimaveränderungen, Wettervorhersage

- Entwicklung des Bevölkerungswachstums

- Eigenschaften neu konzipierter Materialien (Verbundwerkstoffe, Legierungen,

Anwendungsbeispiele (1)

Wo wird modelliert und simuliert?

)

Physik: Astrophysik, Geophysik,

Chemie: Proteinforschung, Drug Design

Biologie: Limnologie, Bioverfahrenstechnik,

Materialwissenschaften: Smart materials, Nanostrukturen

Klima & Wetter: Global Warming, Golfstrom, Ozonloch,

Automobilindustrie: Crashtests (Strukturmechanik), Windkanal (Strömungsmechanik), Einspritzung und Zündzeitpunkt (Verbrennung), Airbags (Mikrosystemtechnik, Kopplungen), Fahrdynamik (Optimalsteuerung), Schallabstrahlung (Akustik)

Volkswirtschaft:

Wirtschafts-und Steuerpolitik,

Konjunkturmodelle

(Zyklen,

),

Preisbildungsmechanismen,

Finanzwirtschaft: Kursprognosen, Option Pricing,

Anwendungsbeispiele (2)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

23

Wo wird überall modelliert und simuliert?

Halbleiterindustrie: Bauelementsimulation (npn-Übergangim Transistor), Prozesssimulation(Herstellung von hochreinen Kristallen), Schaltkreissimulation, Chip-Layout,

Computergraphik: lokale und globale Beleuchtungsmodelle

Logistik/Ablaufplanung: Routing, Scheduling, Fuhrparkmanagement,

Verkehrstheorie: Stauprävention, Verkehrssteuerung, Durchsatzerhöhung,

Strategie:

militärische/politische/ökonomische

Faktorenanalyse,

Szenarien•Wahl

-und

Codierungstheorie: Informationsmodell

Meinungsforschung:

Versorger: Lastmodelle, Redundanz und Sicherheit•Steuerung : Funktionieren komplexer Systeme

Software Engineering: Abläufe (Workflow)

Herleitung von Modellen

Was genau soll modelliert werden?

der Wirkungsgrad eines Katalysators oder die der die detaillierten Reaktionsvorgänge in ihm?

das Bevölkerungswachstum in Afrika oder nur in Kairo in Kairo?

der Durchsatz durch ein Rechnernetz oder die mittlere Durchlaufzeit eines Pakets?

Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr Einfluss(quantitativ)?

optimale Flugbahn des SpaceShuttle: Gravitation des Mondes, des Pluto, des Hörsaals?

Dow Jones Index morgen um 12 Uhr: Äußerungen des Notenbankpräsidenten

i.A. alles andere als offensichtlich (Expertise, Studien, Hypothesen); frühe Festlegungen bestimmen spätere Simulationsergebnisse (vgl.Klima!)

Beziehungsgeflecht von Einflussgrößen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

24

In welchem Beziehungsgeflecht stehen die als wichtig identifizierten Größen miteinander?

qualitativ: Vorzeichen von Ableitungen, “wenn –dann” etc.

quantitativ: konkrete Größe der Abhängigkeiten

typischerweise sehr komplizierte Beziehungen:

-Normalerweise beeinflusstdie CPU-Leistung die Job-Bearbeitungszeit stark. -Bei heftigem Seitenflattern spielt sie dagegen kaum eine Rolle! -allgemeine Beschreibung dieser schwankenden Abhängigkeit?

Mit welchem Instrumentarium lassen sich die Wechselwirkungen und Abhängigkeiten beschreiben?

algebraische Gleichungen und Ungleichungen

beschreiben?  algebraische Gleichungen und Ungleichungen Beschreibungsmittel (2) Instrumentarien zur Beschreibung von

Beschreibungsmittel (2)

Instrumentarien zur Beschreibung von Beziehungen

Automaten, Zustandsübergangsdiagramme

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

25

-Modellierung von Warteschlangen (Zustände: verschiedene Füllgrade; Übergänge: Ankunft bzw. Bearbeitungsende)

-Modellierung von Texterkennung (Zustände: bisherige Struktur; Übergänge: neues Zeichen)

-Modellierung von Wachstumsprozessen mit zellulären Automaten (Zustände:

Gesamtbelegungssituation (Zellen voll, gefüllt, leer), Übergänge durch Regeln)

Graphen

-Modellierung von Rundreisen (Problem des Handlungsreisenden; Knoten: Orte; Kanten:

Wege)

-Modellierung von Reihenfolgeproblemen (Knoten: Teilaufträge auf einer Maschine; Kanten:

zeitliche Reihenfolge)

-Modellierung von Rechensystemen (Komponenten und Kanäle)

-Modellierung von Abläufen (Datenflüsse, Workflows)

Beschreibungsmittel (3)

Instrumentarien zur Beschreibung von Beziehungen

Wahrscheinlichkeitsverteilungen

-Ankunftsprozessin einer Warteschlange

-Zustimmung zur Regierungspolitik in Abhängigkeit von der Arbeitslosenquote

-Kontrolltheorie: Störterme, Rauschen

-randomisierteHeuristiken (Greedy, simulatedannealing,

FuzzyLogic

)

-Regelung von Geräten der ConsumerElectronics (Waschmaschinen, Spülmaschinen, Fotoapparate)

neuronale Netze

algebraische Strukturen :

-Gruppen in der Quantenmechanik

-endliche Körper in der Kryptologie

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

26

Simulationsaufgabe

Welche Gestalt hat die resultierende Aufgabenstellung?

finde eine Lösung zu gegebenem Gleichungssystem -Bestimmung einer gültigen Startlösung in linearer Optimierung

finde die Lösung zu gegebenem Gleichungssystem -eindeutig lösbare partielle Differentialgleichung

löse Existenzaufgabe -Gibt es überhaupt Lösung (Hamiltonschen Weg im Graphen)?

löse unbeschränkte Extremalaufgabe -kürzester Weg von der Quelle zur Senke

löse beschränkte Extremalaufgabe -Rucksackproblem -lineare Optimierung

ermittle Störenfried bzw. Flaschenhals -kritischer Pfad -Komponente maximaler Auslastung

Analyse von Modellen

Aussagen zur Handhabbarkeit und Lösbarkeit

Existenz von Lösungen:

-Populationsdynamik: Gibt es stationären Grenzzustand? Wenn ja, wird dieser erreicht? -Reihenfolgeproblem: Ist der Präzedenzgraph zyklenfrei? -Minimierung: Gibt es Minima oder nur Sattelpunkte?

Eindeutigkeit von Lösungen:

-Minimierung: Lokales oder globales Minimum? -Stabile Zustände oder Oszillationen zwischen verschiedenen Lösungen (Molekulardynamik)? -Alle Lösungen gleichwertig?

stetige Abhängigkeit der Resultate von den Eingabedaten:

-Eingabe: Anfangswerte, Randwerte, Startzustände, -entspricht Kondition bzw. Sensitivität

Sachgemäß gestellte Probleme

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

27

Hadamard1923: Existenz + Eindeutigkeit + Stetigkeit

allerdings: die meisten Probleme sind‘s nicht (John, Tikhonov), sondern unsachgemäß gestellt (ill- posed)

Beispiel: inverse Probleme (Antwort/Ergebnis ist vorgegeben, gesucht ist die Anfangseinstellung) -Wirtschaftpolitik: was heute tun, damit im Oktober 2002 die Arbeitslosenzahl in D unter 3.5 Millionen? -Technik: wie Stanzmaschine einstellen, damit bestimmtes Blech herauskommt? -Rechnernetz: wie Netzkomponenten auslegen, damit erforderlicher Mindestdurchsatz garantiert ist?

Strategien für inverse Probleme:

-(sinnvolles) Ausprobieren und Anpassen (Folge von Vorwärtsproblemen) -Löse verwandtes (regularisiertes) Problem, das sachgemäß gestellt ist.

Eignung für weitere Verarbeitung

Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw. automatisierte Lösung geeignet?

Verfügbarkeit der Eingabedaten (in hinreichender Genauigkeit)

Implementierungsaufwand -Verfügbarkeit von (ggfs. zu erweiternder) Software etc.

erforderlicher Rechen-und Speicheraufwand absolut -Beispiel: NP-vollständige Probleme -Beispiel: Wettervorhersage: Rechenzeit > Echtzeit

erforderlicher Rechen-und Speicheraufwand relativ -Ist das Modell kompetitiv(cost-benefit-ratio)?

Empfindlichkeit

-Bei schlecht gestelltem Problem können kleinste Trübungen der Eingabe das Ergebnis komplett verfälschen (vgl. Chaos, “Schmetterlingsflügel”)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

28

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur - 29

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

29

Bewertung von Modellen (1)

Validierung: „Stimmt das Modell?”

Vergleich mit Experimenten -“1:1 Experimente” (Windkanal, Crashtest,

)

-Laborexperimente an (verkleinerten) Prototypen; Problem: Skalierung sichergestellt?

a-posteriori-Beobachtungen -Realitäts-Test (Wetter, Börse, militärische Szenarien) -Zufriedenheits-Test (Verkehrssteuerung, Beleuchtungsmodelle in der Computergraphik)

Plausibilitäts-Test -Test der Simulationsergebnisse auf Konsistenz mit bestehenden Theorien (Astrophysik, Quantenphysik)

Modellvergleich -Vergleich der Ergebnisse zu auf unterschiedlichen Modellen basierenden Simulationen

Bewertung von Modellen (2)

Genauigkeit: “Wie präzise ist das Modell?”

Genauigkeit im Hinblick auf die Qualität der Eingabedaten

(bei Messdaten auf 3 Stellen genau als Eingabe kann kein Resultat auf 8 Stellen genau erwartet werden!)

Genauigkeit im Hinblick auf die Fragestellung

-Beispiel Bundestagswahl -Frage: welche Regierung? -Modell erlaubt Wahlprognose mit +/-2% Genauigkeit -Koalitionsaussagen: Rot-Grün und Gelb-Schwarz -Simulation liefert: FDP 4%, Grüne 6%, Union 45%, SPD 45% -keine Aussage möglich! -Somit taugt das verwendete Modell im Grunde genommen nicht für unsere Fragestellung!

Sicherheit: worst case oder average case Aussagen?

Klassifizierung von Modellen (1)

Möglichkeit 1: diskret vs. Kontinuierlich

diskretes Modell nutzt diskrete / kombinatorische Beschreibung:

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

30

binäre oder ganzzahligeGrößen

Zustandsübergänge in Graphen oder Automaten

kontinuierliches Modell nutzt kontininuierliche/ reellwertigeBeschreibung:

reelle Zahlen, physikalische Größen

algebraische Gleichungen, Differentialgleichungen

naheliegend, aber nicht zwingend: Einsatz für entsprechende Phänomene

Beispiel: Verkehrsflussdurch Stadt

-diskret: Anzahl der Autos im System, an Ampeln, Warteschlangen -kontinuierlich: Dichten, Flüsse (Fluid-Modellmit Kanälen, Sperren)

Klassifizierung von Modellen (2)

Möglichkeit 2: deterministisch vs. Stochastisch

wiederum

Instrumentarium:

kein

zwingender

Beispiel 1: Würfeln

Bezug

zwischen

dem

zu

modellierenden

Phänomen

und

dem

-offensichtlich Zufallsexperiment (d.h. probabilistischeRealität) -sinnvollerweise auch stochastisches Modell (Zufallsvariable)

Beispiel 2: Crash-Test

-deterministisches Phänomen -üblicherweise deterministisches Modell

Beispiel 3: Wettervorhersage

-deterministisch (Strömungsmechanik etc.) oder Chaos-Theorie?

Beispiel 4: Paketankunft an Bedieneinheit im Internet

-im Grunde deterministisch (hoffentlich) -für den Betrachter ohne Außensicht aber eher zufällig -außerdem interessieren v.a. Durchschnittsgrößen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

31

Unternehmensmodellierung: Klassifikationsmerkmale  Betrachtungsgegenstand  Zweck / Charakte r: Beschreibung,

Unternehmensmodellierung: Klassifikationsmerkmale

Betrachtungsgegenstand

Zweck / Charakter: Beschreibung, Erklärung, Gestaltung

Sicht: Daten, Funktionen, Prozesse,

Detaillierung (Granularität)

Betrachtungsebene: fachlich, DV-, Implementierung

Individualität: unternehmensspezifisch vs. Referenz•Abstraktionsgrad: Ausprägung, Typ, Meta

Formalisierung: nicht fomal, semi-formal, formal

Integration: Sichten, Ebenen, Gegenstand, Detaillierung,

Unternehmensmodellierung: Zweck / Charakter

Aufgaben der Wirtschaftsinformatik:

Beschreibung, Erklärung, Gestaltung, --> Modellierung kann verschiedenen Zwecken dienen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

32

Modellcharakter: Vorbild (Soll) vs. Nachbild (Ist)

Beispiele für konkrete Zwecke:

–Gestaltung von Informationssystemen / Softwareentwicklung –Planung einer integrierten Datenhaltung –Dokumentation / Analyse / Verbesserung von Geschäftsprozessen –Unterstützung von Konfiguration und Einführung von Standardanwendungssoftware –Simulation einer neuen Fertigungsanlage –Ableitung von (objektiven) Informationsbedarfen–Wissensmanagement –Prozesskostenrechnung

Unternehmensmodellierung: Sichten

Daten

–Abbildung von Sachverhalten (passiv) –Zustandsbeschreibung (“Stammdaten”) –Ereignisbeschreibung (“Bewegungsdaten”)

Funktionen/Prozesse

–Abbildung von Vorgängen (aktiv) –Funktionen: Werkstoffe oder Informationen transformierende Aktivitäten im Hinblick auf eine Aufgabe bzw. Zielsetzung –Prozesse: dynamische Abläufe, expliziter Zeitbezug

Organisationseinheiten/Ressourcen

-Personen –Stellen (Rollen in der Organisation) –technische Einheiten

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

33

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

34

6 P. Pederson: CI – I n terdependency Modeling: A Survey (Idaho National Laboratory)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

35

P. Pederson et al: Critical Infrastructure Interdependency Modeling:

A Survey of U.S. and International Research

(see: http://www.inl.gov/technicalpublications/Documents/3489532.pdf)

INTRODUCTION

“The Nation’s health, wealth, and security rely on the production and distribution of certain goods and services. The array of physical assets, processes, and organizations across which these goods and services move are called critical infrastructures.”2 This statement is as true in the U.S. as in any country in the world. Recent world events such as the 9-11 terrorist attacks, London bombings, and gulf coast hurricanes have highlighted the importance of stable electric, gas and oil, water, transportation, banking and finance, and control and communication infrastructure systems.

Be it through direct connectivity, policies and procedures, or geospatial proximity, most critical infrastructure systems interact. These interactions often create complex relationships, dependencies, and interdependencies that cross infrastructure boundaries. The modeling and analysis of interdependencies between critical infrastructure elements is a relatively new and very important field of study.

Much effort is currently being spent to develop models that accurately simulate critical infrastructure behavior and identify interdependencies and vulnerabilities. The results of these simulations are used by private companies, government agencies, military, and communities to plan for expansion, reduce costs, enhance redundancy, improve traffic flow, and to prepare for and respond to emergencies.

Modelers have developed various innovative modeling approaches including agent based modeling, effects-based operations (EBO) models, input-output models, models based on game theory, mathematical models, and models based on risk. These have been applied to infrastructure of shipboard systems, University campuses, large power grids, and waterways to name a few. Modeling is complicated by the quality and availability of data, intricacy of systems, sectors, and implications and sensitivity of results. This survey identifies and catalogs much of the state-of-the-art research being conducted in the area of infrastructure interdependency modeling and analysis.

Technical Support Working Group

The U.S. Technical Support Working Group (TSWG) is the sponsor for this effort.3 TSWG is a national forum to identify, prioritize, and coordinate interagency and international research and development (R&D) requirements for combating terrorism. The aim of TSWG is to support rapidly developed technologies and product development to provide tools for combating terrorism. It supports multiple U.S. government agencies as well as major allies.

The main objective of this study is to develop a single source reference of critical infrastructure interdependency modeling tools (CIIMT) that could be applied to allow users to objectively assess the capabilities of CIIMT. This information will provide guidance for directing R&D to address the gaps in development. The results will inform the R&D efforts of the TSWG Infrastructure Protection Subgroup of R&D efforts and allow a more focused approach to addressing the needs of CIIMT end- user needs.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

36

Background

The study and analysis of infrastructure interdependencies is relatively new. The interdependencies between critical infrastructures received little attention in the early 1990s. However, in the mid 1990s events such as the Oklahoma City bombing in 1995 and the report from the Defense Science Board Task Force on Information Warfare in 1996, and the increased reliance on information and computerized control systems brought the increasing importance of infrastructure interdependencies into focus. Also in 1996, President Clinton established the President’s Commission on Critical Infrastructure Protection (PCCIP). …….

INFRASTRUCTURE

INTERDEPENDENCIES

“One of the most frequently identified shortfalls in knowledge related to enhancing critical infrastructure protection capabilities is the incomplete understanding of interdependencies between infrastructures. Because these interdependencies are complex, modeling efforts are commonly seen

as a first step to answering persistent questions about the “real” vulnerability of infrastructures.”

The importance of “What are infrastructure inter-dependencies, and how are they modeled?” is addressed in this section. References to interdependent relationships in this paper are actually referring to as dependent relationships or influences between infrastructures. The following Figure illustrates common representations of infrastructure based on the scenario of a flooding event and the subsequent response. Parallels to this scenario with the events in New Orleans during Hurricane

Katrina can easily be drawn. Within the figure, individual infrastructure networks are represented on

a single plane. The parallel lines represent individual sectors or subsets within that particular

infrastructure. The spheres or nodes represent key infrastructure components within that sector from the events in New Orleans The energy sector infrastructure, for example, during Hurricane Katrina contains the sectors of electrical generation and distribution, natural gas production and distribution, etc. Ties and dependencies exist within each infrastructure and between the different sectors. The solid lines in the Figure, crossing sectors and connecting nodes, represent internal dependencies, while the dashed lines represent dependencies that also exist between different infrastructures (infrastructure interdependencies).

The example in the Figure is a simple attempt to portray the complexity of dependencies that may exist between components. In chaotic environments such as emergency response to catastrophic events, decision makers should understand the dynamics underlying the infrastructures. Failure to understand those dynamics will result in ineffective response and poor coordination between decision makers and agencies responsible for rescue, recovery, and restoration. It could also cause the mismanagement of resources, including supplies, rescue personnel, and security teams. At best, emergency responders will lose public trust, at worst, human life.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

37

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur - 38

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

38

Sample dependency matrix (from: http://www.inl.gov/technicalpublications/Documents/3489532.pdf ) Pederson et al: Critical

Sample dependency matrix (from:

http://www.inl.gov/technicalpublications/Documents/3489532.pdf)

Pederson et al: Critical Infrastructures Interdependency Modeling: A Survey of. U.S. and International Research

Again, while the dependencies within an individual infrastructure network are often well understood, the region of interest in interdependency and effects modeling is the influence or impact that one infrastructure can impart upon another. Therefore, the key effects to model and gain understanding of are the chains of influence that cross multiple sectors and induce potentially unforeseen n-ary effects. These chains, potentially composed of multiple interdependency types, compose the paths

or arcs between infrastructure components or nodes denoted as {(a,b), (b,c), (c,d),

particular path represents the cascading consequence of an event or the derived dependency of

node z on node a, further denoted (aDz). Likewise the genesis of the chain may not be singular in

that the end effect is the influence of multiple nodes, denoted by (abc

unique in terms of effect, they may change over time, and their behavior may be cumulative in nature, i.e., the end effect may be the culmination of multiple predicated events. The intertwining of networks in this fashion represents a complex system where emergent behaviors are rarely fully understood. Rinaldi, Peerenboom and Kelly (see Reference 13) provide a nice visual representation of this intertwining and the potential cascading effects. This is shown in the following figure.

These paths may not be

This

(y,z)}.

Dz).

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

39

Figure: Cascading consequence example In the Pederson document a survey of existing CI interdependence modeling

Figure: Cascading consequence example

In the Pederson document a survey of existing CI interdependence modeling and simulation tools around the world are presented.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

40

7 S. Rinaldi: Modeling and Simulating CI (and their Interdependencies)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

41

From Steven Rinaldi: Modeling and Simulating Critical Infrastructures and Their Interdependencies (Proceedings of the 37th Hawaii International Conference on System Sciences – 2004)

See: http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=01265180

……….

Modeling and Simulation Techniques (M & S)

Models and simulations of individual infrastructures are rather well developed today – numerous products are available commercially that enable infrastructure owners to develop, operate, and manage their systems. However, M&S of multiple, interdependent infrastructures are immature by comparison. A number of different approaches to interdependent infrastructure M&S have emerged that address various factors listed in Table 1. This section provides a high-level description of several of these techniques.

Table 1. Factors affecting interdependencies analyses

Factor

Implications for Analyses

 

Time Scales

Infrastructure dynamics vary from millisec onds (e.g., electrical grid disturbances) to decades (construction of major new facilities). f

Diff

t i

t

t

ill h

i

ti

l

f

Geographic Scales

Specific scenarios and issues range from cities to national or international levels in scale. Scale affects the resolution and quantity f

f i

t

t

d i

t

d

d

d

t

i

d f

d

l

Cascading and Higher Order Effects

Disruptions in one infrastructure can ripple or cascade into other infrastructures creating second and higher order

 

Social / Psychological Elements

Infrastructures are socio-technical systems. Social networks and behavioral responses can influence infrastructure operations, such as d

th

f

i

f

ti

di

d th

f th

bli

Operational Procedures

Company-specific procedures influence the state of an infrastructure, such as responses to market fluctuations

Business Policies

Specific corporate business policies affect the operations of the infrastructures

 

Restoration and Recovery Procedures

Company-specific procedures influence the state of an infrastructure during a crisis or emergency, and may affect coordination among various

Government Regulatory, Legal Policy Regimes

Government actions will influence operational behaviors as well as the response to and recovery from disasters or disruptions

 

Stakeholder Concerns

Stakeholders have differing motivations and different sets of concerns that drive M&S requirements.

 

We group interdependency models into six broad categories. These categories range from highly aggregated tools to very detailed, high resolution and fidelity models. We are currently developing detailed interdependencies models and simulations in the first three classes described below at Sandia National Laboratories.

Aggregate Supply and Demand Tools. This category of tools evaluates the total demand for infrastructure services in a region and the ability to supply those services. Multiple infrastructures can be linked by their demand for commodities or services provided by other infrastructures, and the ability of those infrastructures to satisfy demands. The ability of an

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

42

infrastructure to meet its instantaneous or forecast demands can provide an indication of its health or early warning of potential problems (e.g., the inability to meet demand in multiple infrastructures). We have developed a prototype model that links the electrical grid, oil and natural gas systems, wireline telecommunications, and inland waterways in the Pacific Northwest. The prototype includes the ability to perform “what-if” analyses, so that the consequences and cascading effects of the loss of additional infrastructure assets can be determined in terms of aggregate supply and demand.

Dynamic Simulations. We are employing dynamic simulations to examine infrastructures operations, the effects of disruptions, and the associated downstream consequences.The generation, distribution, and consumption of infrastructure commodities and services can be viewed as flows and accumulations in the context of dynamic simulation. Interdependencies among infrastructures are readily incorporated into system dynamics models as flows of infrastructure commodities among multiple infrastructures. Moreover, dynamic simulations can examine the effects of policies, regulations, and laws upon infrastructure operations. We have developed detailed dynamic simulations of multiple, linked infrastructures, including energy (electricity, oil, natural gas), communications, transportation (waterways, highways, rail), emergency services, banking and finance, agriculture, water, shipping, and markets. We have constructed system dynamics models of infrastructures in California and the Pacific Northwest for analyses of the Northridge earthquake, the California energy crisis, and the impacts of security policies in the ports of Seattle and Portland.

Agent-Based Models. Agent-based models have been used in a wide spectrum of interdependency and infrastructure analyses. Physical components of infrastructures can be readily modeled as agents, allowing analyses of the operational characteristics and physical states of infrastructures. Agents can also model decision and policy makers involved with infrastructure operations, markets, and consumers (such as firms and households). We have developed agent-based models of supply chains (manufacturers, distributors, households, labor sectors), telecommunications (wireline, wireless, satellite), electric power, transportation, banking, and governmental policies. Using these models, we have examined the consequences of the losses of infrastructure services upon manufacturing supply chains. These microeconomic analyses have enabled us to examine how infrastructure disruptions affect firms, their relative ability to compete during disruptions, and the effects of infrastructure-related policies on the ability of firms to survive disruptions.

Physics-Based Models. Physical aspects of infrastructures can be analyzed with standard engineering techniques. For example, power flow and stability analyses can be performed on electric power grids, and hydraulic analyses can be used with pipeline systems. These models can provide highly detailed information, down to the individual component level, on the operational state of the infrastructures. These techniques have been applied to interdependent energy infrastructures, examining issues such as outage areas associated with single and multiple contingencies.

Population Mobility Models. This class of model examines the movement of entities through urban regions. Entities interact with one another, generating and consuming infrastructure commodities in the process. For example, the entities may be people following their daily routines in a city. By generating and simulating these routines, a population mobility model can determine the use of multimodal transportation assets and assist with urban transportation or evacuation planning. An important characteristic of these models is that they develop detailed insights into social networks, which can be critical for certain types of studies such as epidemiology. Population mobility models have been used for extremely high resolution and fidelity urban interdependencies studies of multimodal transportation, electrical power girds (including electrical markets), wireless telecommunications, and epidemiology.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

43

Leontief Input-Output Models. Leontief’s model of economic flows can be applied to infrastructure studies. The basic model provides a linear, aggregated, time-independent analysis of the generation, flow, and consumption of various commodities among infrastructure sectors. This model has been extended to include nonlinearities and time dependencies, and applied to examining the spreading of risk among interdependent infrastructures.

Future Challenges

A number of significant challenges face developers of interdependencies models and simulations. These hurdles and potential solutions are not just technical; some may require changes in laws or regulations. We will discuss several of the key challenges in this section. Obtaining the requisite data to enable the models to accurately represent infrastructures presents arguable the biggest hurdle. First, there are several crucial forms of data to which a modeler must have access. The infrastructure topology – how the infrastructure is built and interconnected with other infrastructures – is clearly essential. Key data also include the operational, emergency, and other procedures used by infrastructure owners that influence infrastructure states during normal or crisis operations. Government and corporate policies also influence operations and comprise an element of data. The modeler must be cognizant of these and other data types and, importantly, have access to the data. However, gaining access to data is not necessarily easy. The private sector owns and operates the vast majority of infrastructures and consequently controls access to substantial quantities of crucial information, much of which is proprietary. There are significant barriers to sharing information between the private sector and government. These barriers include concerns about release of information under the Freedom of Information Act (FOIA), antitrust laws, confidentiality and privacy issues, liability issues, access to classified national security information, and reservations about sharing information with the law enforcement community. Although some of the barriers are currently being addressed by legislation, such as FOIA, obtaining access to sufficiently detailed and high quality data remains a crucial issue to the development of interdependencies M&S. Data must also be available in a timely fashion, particularly for certain applications. Real-time monitoring of infrastructures requires real-time access to data across multiple infrastructures. Even if access to such information is granted, ingesting, verifying, warehousing and using the data in real- time is a nontrivial problem. Moreover, data necessary for nonreal-time applications are perishable and must be updated and verified regularly. For example, physical infrastructure topologies are not static – telecommunications and information service providers regularly augment their networks with new lines and equipment, new roads and highways may be added to a region, airlines may modify their flight schedules and routes, and so forth. For certain stakeholder issues, it may be desirable to integrate multiple models or different classes of models together in a “co-simulation.” There are substantial technical issues to creating a co- simulation, such as embedded (and often conflicting) assumptions in the models, different time steps, varying spatial scales, and different data requirements. Comprehensive simulation frameworks that couple disparate models to address the spectrum of stakeholder concerns are only beginning to emerge, and will take time to mature. Verification and validation are fundamentally important to M&S development. We have used several techniques with our models and simulations, including comparing model outputs to historical data, using widely accepted models as benchmarks for testing new models, and obtaining feedback from experts in seminar settings. One must take care when comparing model outputs to historical data, as infrastructure technology in use during the timeframe of the comparison. For example, the information infrastructure of the United States has advanced tremendously over the past decade – a

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

44

fact which must be taken into account in any comparisons to historical data more than a few years old. Similarly, models and simulations must keep abreast of changes in infrastructure technology. Models that accurately reflect the state of technology today could be outdated in a few years. This problem may be particularly challenging for cyber interdependencies, given the explosive growth in information technology. Finally, metrics that accurately represent the state of infrastructures present another major challenge. There are no satisfactory metrics today that would enable:

comparisons of mitigation, response, recovery, reconstitution, and restoration strategies;

comparisons of the “criticality” of nodes and links;

determination of appropriate investment strategies to increase security; and

evaluation of the relative effectiveness of security measures and policies.

Development of a comprehensive and widely accepted set of metrics should be a component of the national critical infrastructure protection program.

of the national critical infrastructure protection program. From: Rinaldi, Peerenboom, Kelly: “Critical Infrastructure

From: Rinaldi, Peerenboom, Kelly: “Critical Infrastructure Interdependencies”, IEEE Control Systems, Dec 2001, p. 11-25

(see: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=969131&isnumber=20901)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

45

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

46

8 SCADA Definition (Supervisory Control and Data Aquisition)

8 SCADA Definition (Supervisory Control and Data Aquisition) Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

47

Supervisory Control and Data Acquisition

SCADA definition (from http://www.topbits.com/scada.html)

SCADA is an acronym that stands for Supervisory Control and Data Acquisition. SCADA refers to a system that collects data from various sensors at a factory, plant or in other remote locations and then sends this data to a central computer which then manages and controls the data.

SCADA is a term that is used broadly to portray control and management solutions in a wide range of industries. Some of the industries where SCADA is used are Water Management Systems, Electric Power, Traffic Signals, Mass Transit Systems, Environmental Control Systems, and Manufacturing Systems.

SCADA as a System

There are many parts of a working SCADA system. A SCADA system usually includes signal hardware (input and output), controllers, networks, user interface (HMI), communications equipment and software. All together, the term SCADA refers to the entire central system. The central system usually monitors data from various sensors that are either in close proximity or off site (sometimes miles away).

For the most part, the brains of a SCADA system are performed by the Remote Terminal Units (sometimes referred to as the RTU). The Remote Terminal Units consists of a programmable logic converter. The RTU are usually set to specific requirements, however, most RTU allow human intervention, for instance, in a factory setting, the RTU might control the setting of a conveyer belt, and the speed can be changed or overridden at any time by human intervention. In addition, any changes or errors are usually automatically logged for and/or displayed. Most often, a SCADA system will monitor and make slight changes to function optimally; SCADA systems are considered closed loop systems and run with relatively little human intervention.

One of key processes of SCADA is the ability to monitor an entire system in real time. This is

facilitated by data acquisitions including meter reading, checking statuses of sensors, etc that are communicated at regular intervals depending on the system. Besides the data being used by the RTU,

it is also displayed to a human that is able to interface with the system to override settings or make changes when necessary.

SCADA can be seen as a system with many data elements called points. Usually each point is a monitor or sensor. Usually points can be either hard or soft. A hard data point can be an actual monitor; a soft point can be seen as an application or software calculation. Data elements from hard and soft points are usually always recorded and logged to create a time stamp or history

User Interface (HMI)

A SCADA system includes a user interface, usually called Human Machine Interface (HMI). The HMI

of a SCADA system is where data is processed and presented to be viewed and monitored by a human operator. This interface usually includes controls where the individual can interface with the SCADA system.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

48

HMI's are an easy way to standardize the facilitation of monitoring multiple RTU's or PLC's (programmable logic controllers). Usually RTU's or PLC's will run a pre programmed process, but monitoring each of them individually can be difficult, usually because they are spread out over the system. Because RTU's and PLC's historically had no standardized method to display or present data to an operator, the SCADA system communicates with PLC's throughout the system network and processes information that is easily disseminated by the HMI.

HMI's can also be linked to a database, which can use data gathered from PLC's or RTU's to provide graphs on trends, logistic info, schematics for a specific sensor or machine or even make troubleshooting guides accessible. In the last decade, practically all SCADA systems include an integrated HMI and PLC device making it extremely easy to run and monitor a SCADA system.

SCADA Software and Hardware Components

SCADA systems are an extremely advantageous way to run and monitor processes. They are great for small aplications such as climate control or can be effectively used in large applications such as monitoring and controlling a nuclear power plant or mass transit system.

SCADA can come in open and non proprietary protocols. Smaller systems are extremely affordable and can either be purchased as a complete system or can be mixed and matched with specific components. Large systems can also be created with off the shelf components. SCADA system software can also be easily configured for almost any application, removing the need for custom made or intensive software development.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

49

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

50

9 E. Luiijf et al: Empirical Findings on CI Dependencies

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

51

Empirical findings on Critical Infrastructure Dependencies in Europe Eric Luiijf, Albert Nieuwenhuijs, Marieke Klaver, Michel van Eeten and Edite Cruz

Critical Information Infrastructure Security: Third International Workshop, CRITIS 2008, Rome, Italy, October13-15, 2008. Revised Papers book contents Pages: 302 - 310 Year of Publication: 2009

ISBN:978-3-642-03551-7

http://www.springerlink.com/content/7404012311x77786/fulltext.pdf

Abstract One type of threat consistently identified as a key challenge for Critical Infrastructure Protection (CIP) is that of cascading effects caused by dependencies and interdependencies across different critical infrastructures (CI) and their services. This paper draws on a hitherto untapped data source on infrastructure dependencies: a daily maintained database containing over 2375 serious incidents in different CI all over the world as reported by news media. In this paper we analyse this data to discover patterns in CI failures in Europe like cascades, dependencies, and interdependencies. Some analysis results indicate that less sectors than many dependency models suggest drive cascading outages and that cascading effects due to interdependencies are hardly reported.

Dependencies - state of the art

Most CI dependency literature use a theoretical modelling approach to dependencies, e.g., Rinaldi et al, and Svendsen and Wolthuysen. Most post mortem analysis reports about CI disruption incidents describe the incident from a single CI view. Cascading effects and dependency consequences are often hidden in government reports about their emergency response efforts to disasters, e.g., Von Kirchbach. Other research focuses on the modelling and simulation of CI and cross-links between different CI sectors. Generally spoken, these models are not based on real life data or on a full dependency analysis of past incidents. The empirical work in this paper discusses observations made on CI dependencies based on news and other reports about serious CI events. There exist, however, databases which focus on collecting empirical data of infrastructure incidents. Without exception, however, these databases focus on a specific environment, a single CI sector, or a specific type of risk. Examples of foci of such databases are for instance terrorism-caused energy infrastructure disruptions, process industry safety, electric power disturbances (e.g., national or European grid disturbance reports), radiological incidents, and aircraft incidents. No databases have been found which focus on serious disturbances of all CI and the cascading effects using an ’all-hazards’ approach.

Method

At the core of our analysis is a database with public reports of CI disruptions, collected from open sources like newspapers and internet news outlets. If possible, the data is augmented by official incident reports. An event in one of the CI sectors will be added to the database if there is a serious impact: only events are recorded which had a noticeable effect to society, e.g., at least 10.000 affected electric power customers. Daily occurring local and scheduled operational disturbances are excluded. For each event we record, e.g., affected CI sector and service, initiating event, the concerned organisation(s), start and end times/dates, country, affected geographic area and its size, description of the cause, threat category and subcategory, consequences/damages and impact, recovery process, and references. While data has been collected on a variety of countries in the

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

52

world, for the purposes of this paper we focus on a subset: 1749 CI failure incidents in 29 European nations (95% of them occurred after 2000). Based on this subset, we empirically study CI (inter) dependencies. A CI dependency is the relationship between two CI products or services in which one product or service is required for the generation of the other product or service; a CI interdependency is a mutual CI dependency. We understand that the data set and approach has limitations. We explored the validity of the findings by triangulating the Dutch national data with outage data from a Dutch CI operator. We also found self-similarities in the Dutch, EU and US subsets of the event database. However, we realise that the data is biased by the limited set of European languages (Dutch, English, French, German, Portuguese, and Spanish) which we use to identify and extract media reports. Another bias may be the reporting practices of news media as not every serious CI incident is reported by news media. Among other factors, the news reports likely reflect what the news outlets assume is of interest to their audience. It is not clear if and how our findings are affected by these limitations. We are not aware of any research that has studied biases in how the media report on CI failures. That said, we believe that in light of the overall paucity of empirical research on this topic our analysis contributes much needed data to the policy debates on CIP and the risk of CI cascading failure.

In our analysis, we will classify events in cascade initiating events, cascade resulting events and

independent events. A cascade initiating event is an event that causes an event in another CI or CI service; a cascade resulting event is an event that results from an event in another CI or CI service,

and an independent event is an event that is neither a cascade initiating event, nor a cascade

resulting event. These categories are not mutually exclusive. Because an event can be both caused by

an event outside a CI sector and propagate as another event outside the CI sector, some events are

both a cascade initiating and a resulting event. This may cause the sum of initiating, resulting and independent events to exceed the total number of events (e.g., the ”Total column” in Table 1). The analysis below is performed at the level of CI services. This means that we only consider a cascading

resulting event to be a dependency -and include it into the results- if the event takes place in another

CI service than the one of the cascade initiating event. For readability, most results below are

aggregated to the CI sector level. Consequently, dependencies between underlying services within a CI sector appear as occuring within a single CI sector.

CI dependencies in Europe

Number of cascades

We have first analysed the data by distinguishing cascading events from noncascading events (Table

1). Interestingly, 29% of the reported incidents in Europe result from incidents in other services (501

of the 1749 events). Anecdotal evidence about dependencies and cascading sometimes conveys the

sense of reporting on rather unlikely scenarios, suggesting that cascades are events of low probability and high consequence. Our data, however, shows that they are significant more frequent.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

53

Directionality of cascades Next, we established in which CI sector an event originates and which

Directionality of cascades

Next, we established in which CI sector an event originates and which CI sectors are affected (Table 2). The events that are not cascade-related are labelled no sector”. They comprise disruptions due to a large range of external events (e.g., weather, deliberate human actions, and economical factors) and internal failures (e.g., human error, technical failure). Table 2 shows that the energy and telecommunication sectors are the main cascading initiating sectors. Energy is the only sector which initiates more cascades than it ends up receiving. When disregarding not cascade initiated events, the empirical data confirms that the dependency matrix is sparsely populated and that cascades are highly asymmetrical. The energy and telecommunication sectors cause outages in other sectors (60% and 24% respectively), but not many other CI sectors cause outages in energy, telecommunication and internet (Table 2). The affected energy, telecommunication and internet sector event percentages of 15%, 25% and 10%, respectively, are for a large part generated by services within these three sectors. In short, the dependencies are very focused and directional. In fact, one may want to stop talking about inter-dependencies, as this suggests a reciprocal relationship that the data simply does not warrant as occurring frequently. Actually, only two weak European interdependencies are recorded.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

54

This raises an important issue: does this mean that, while dependencies and interdependencies are everywhere,

This raises an important issue: does this mean that, while dependencies and interdependencies are everywhere, at least theoretically, they are rarely strong enough to trigger a secondary outage which is reported by the news media? Do they only occur after a longer period of disruption than is often the case? Or are these cascading outage events so hidden in the chaos caused by the primary CI outage and its effects that the press does not report on them?

The dependency of many sectors on energy and telecommunications has been reported widely. The Table 3 data suggests that the CI dependency on energy is substantially higher (taken mitigation measures into account) as 60% of all cascades originate within the energy sector, 28% in the telecommunication and internet sectors, and 5% in the transport sector, 3% in the water sector, and 4% in the remaining CI.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

55

Our findings raise several important issues. First, while the current literature gives very little clues

Our findings raise several important issues. First, while the current literature gives very little clues as to the probability of cascading failures, our empirical data suggests that such cascades are in fact fairly frequent. This forms a sharp contrast with the typical examples of events of low probability and high consequence that are often presented as evidence of the urgency of dealing with CI dependencies. Second, they question the validity of the Domino Theory of CI. While there are an almost unlimited number of dependencies and interdependencies among CI possible, i.e., there are many pathways along which failures may propagate CI sector boundaries, we found that this potential is not expressed in the empirical data on actual events. The cascades that were reported were highly asymmetrical and focused. The overwhelming majority of them originated in the energy and telecom sectors. This is not unexpected, but what is new is the fact that so few cascades took place in other CI sectors. Third, interdependencies far less occur than analysts have consistently modelled. We found only two cases on a total of some 770 CI failures. In short, while dependencies and interdependencies exist everywhere, they rarely appear to be strong enough to trigger a reported serious cascading CI outage. It is unclear whether this is because the CI operators manage the (inter)dependencies effectively or because the dependencies are not that powerful to begin with.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

56

10 DIESIS Project Description

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

57

DIESIS:

Design of an interoperable European federated simulation network for critical infrastructures

From http://www.diesis-project.eu/include/Documents/Deliverable2.3.pdf

In contrast to the utmost importance of critical infrastructures like electricity and telecommunication for all European citizens, the European economy and the European society at large, the understanding of the complex system of critical infrastructures with all their dependencies and interdependencies is still immature. The study of these complex infrastructure systems demands joint interdisciplinary efforts of researchers, industrial stakeholders and governmental organisations to overcome all the difficulties involved (e.g. availability of models and data for single infrastructures, interoperable simulation of multiple infrastructures, testbeds and benchmarks for protection solutions).

In order to address these challenges, DIESIS proposes to establish the basis for a European modelling and simulation e-Infrastructure based upon open standards to foster and support research on all aspects of critical infrastructures with a specific focus on their protection. This European e-Infrastructure will support full cooperation of the different partners in charge for studying (inter) dependencies of critical infrastructures, while preserving the confidentiality of the proprietary knowledge embedded into the different models and simulation packages. Indeed for a lot of economical, political, technological and social reasons, the European critical infrastructures (CI), once isolated and autonomous, are becoming more and more coupled. As a consequence, breakdowns in an infrastructure are no longer sector-specific, but can result in cascading effects that disturb other sectors also. Then it is necessary to have modelling and simulation tools able to provide useful support to understand the complex system of systems composed by the interdependency of these critical infrastructures. This is a prerequisite to develop adequate solution for Critical Infrastructure Protection (CIP) strategies.

The core of this e-Infrastructure will be contained in a middleware that will allow interoperable simulations and that will offer similar services to those provided by the High Level Architecture (HLA) to federated simulations in the military sector. DIESIS will leverage on existing computing facilities, which will be typically organised into disjoined and heterogeneous GRIDs. DIESIS will enable the reuse of existing simulators to setup complex simulation models.

The DIESIS middleware should allow research institutions, industrial stakeholders and governmental organisations concerned with CIP to run complex joint simulations where each partner contributes with its own simulator using the data available. Around this core, additional value of the research e-Infrastructure consists in establishing a platform for trusted information exchange on the subject of CIP, establishing reference scenarios for the study of critical infrastructures, CIP strategies and technology and providing decisions makers with access to reliable information in case of emergencies.

The purpose of this deliverable is to review, to the best of our knowledge, the available infrastructure simulators. Indeed, the DIESIS middleware should be aware of the current

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

58

simulators models in order to accomplish its task. Then, when it has been possible to gather sufficient information and enough knowledge about the available simulators, their review will be organized as follows:

General description of simulator;

2. Suitability for modelling;

3. Suitability for simulation;

4. Conclusion.

The deliverable is organised as follows: The beginning chapters respectively describe simulators of power grids, telecommunications, water (and flood forecasting) and transportation infrastructures. Another Chapter describes other infrastructure simulators, which although not considered critical,

simulators, which although not considered critical, have been brought to DIESIS consortium attention by the

have been brought to DIESIS consortium attention by the DIESIS survey (see Section 1.3). An overview of the available analysis tools is presented. The analysis of the federated simulators logs will be a crucial component of the DIESIS middleware. In addition, available European data sources are of fundamental importance to DIESIS. To demonstrate the validity of the DIESIS approach, realistic scenarios will be needed. The term realistic refers to the

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

59

simulated Critical Infrastructures topologies and to the data available for the simulation. To this end, a final chapter describes data sources available in EU databases.

Some sentences will be devoted to a discussion of the infrastructures interdependencies of simulators. The main objective is to describe promising CI interdependency analysis tools that exist in the literature. The deliverable finalises with References and sthat describe,

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

60

respectively: the Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die
respectively:
the
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur -
61

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

62

11 K. Niemeyer: Simulation of Critical Infrastructures

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

63

Klaus Niemeyer, “Simulation of Critical Infrastructures”, Information and Security, 15, No. 2, October 2005, 120-143

see: http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?ots591=&lng=en&id=14175

siehe auch ausführliche deutsche Dokumente, die beim Autor K.Niemeyer (www.n-o-a-de). z.B. Report NOA-TR-1: Modell ausgewählter Branchen zur Simulation von kritischen Störungen, 2000

Model prototypes have been developed to simulate the most critical areas of a highly-developed region in social, economic, technical and informational terms. The models were developed inspired by the fact that the highly integrated information infrastructure creates risks of failure and intrusions with a possible consequence of total loss of vital resources, such as energy or traffic. The models are seen on three levels of abstraction and are programmed and executed with tools from System Dynamics.

On the highest level of abstraction, the modelled region is described and calculated using system attributes and variables like productivity, social pressure, satisfaction, etc.

On the medium level of abstraction, critical areas of an advanced society are identified and calculated using variables that represent an entity in the reality and that, in general, have an empirical context. Identified critical areas for the first experiments with the model were the sectors of energy, communications, traffic, security, government, and defence. Applying a methodology to identify value drivers and to visualise the interrelations of components in complex systems helped in developing the model inputs and descriptive factors. This approach was used together with a group of experts in each area.

On a low level of abstraction, a model prototype was developed using variables that in general

can be measured and quantified based on real-life empirical sources. The latter approach is very complex and resource-intensive and requires detailed insight and knowledge.

Socio-Economic Systems

The problem of vulnerability of mo dern socio-economic systems is considered ex tremely important. The critical conditions of modern, technologically -based economies are not enough explored and researched from the holistic point of view of the whole system.

Crisis Team

In a crisis or catastrophe, the crisis team is the crucial group of people that can pre vent possible chaotic development and disorganisation and can act to avoid disastrous consequences. These are people that come from various organisations, administra tions and industries and have to get organised for the required purpose. Due to the fact that different organizations often work in normal circumstances in conditions of competition, it cannot be assumed that the designated people in the crisis team immediately find a harmonic basis for cooperative work. It is, therefore,

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

64

necessary to establish methods and mechanisms for the formation of a crisis team to compensate these negative effects.

In addition, it has to be assumed that the members of the crisis team originate from very diverse knowledge areas. Although this is an essential element of crisis man agement, this substantial problem has to be taken into consideration in the internal communication since the different knowledge areas have developed their own, very specific languages that hinder the communication within the crisis team.

An essential attribute of crises and catastrophes is their sudden, partially very sur prising emergence. Since crises are characterized by a series of unexpected and quick events, a requirement exists for the crisis team to react under very high time pressure. Since only a few people are able to act in these circumstances and since there are psychological group -dynamic effects in addition, a relevant and rational work is pos sible only within a very rigid configuration. For the successful work of the group, a crucial prerequisite is the structure of the team and accordingly trained personnel to fill the positions.

For the purposes of the consequent analysis, the decisions and actions of the crisi s group necessitate a maximum transparency. The analysis of a crisis is required in all related areas in order to systematically gain experience. In addition, the actions of the members of the crisis team often have legal, ethical or moral consequences tha t are justified only with a complete set of well - documented underlying principles, causes, and effects.

Methodology

A top-down approach of system analysis and related modelling is pursued in the presented work. Starting from a holistic point of view, the socio-economic system of a highly-developed region is identifiable by very general element areas or object classes. On this high level of abstraction, variables and objects are postulated that can be programmed in the model. This model on high abstraction level is seen as a first and rapid procedure for testing only some of the relationships and for preparation to get improved insights into system behaviour. Since almost no experience is available, such as the interactions of the information networks with the physical and social systems in mathematical-logical form, assumptions and hypotheses are made that appear plausible, but an intensive examination and verification is required.

There is a small amount of systematic and useful research and practical resu lts available for development of such models. Nevertheless, a model of high abstraction has been chosen as a first design and quick prototype for generation of initial guess for the system structure.

In a second step, a relatively low abstraction -level model has been developed. Here, the reference to real objects is much better; however, there are also major problems regarding data collection and modelling of system structure. In addition, a much big ger effort is required for model development. Due to thi s reason, only a model of the traffic sector has been developed, which required considerably more time and effort for development compared to the high abstraction level model. Nevertheless, this ap proach should still be pursued in order to find better solutions.

Third; as a compromise, a model has been developed that can be represented as a model of medium abstraction level. In order to collect the required input data and to generate an acceptable model of the system structure, a series of seminars and bra instorming sessions were conducted. The

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

65

seminars were supported intensively by the methodol ogy “Gamma.” This effort led to the development of a model that can serve as a driving force for exercises and follow -on research.

Gamma

For initial structuring, generation of assumptions, and estimation of factors and pa rameters, a brainstorming approach supported by computer software called Gamma was used. Gamma provides tools for interactive visualisation and analysis of complex interrelationships of systems and from the beginning it generates a holistic view.

The graphical toolset generates a net diagram as a result of the thinking process of session participants and captures parameters and values of identified links between system elements. Understanding relationships of type cause and effect becomes possible. This provides a good ground for mutual acceptance and a common view of system interrelations. The generated values are available for subsequent analysis.

Gamma is not a rigid methodology providing decision optimisation with a guarantee to find the best solution. It rather belongs to the group of the so-called heuristic approaches that improve the likelihood of locating a good solution.

In an initial step, relevant influential factors and elements of the system under consideration are drafted. This is followed by the creation of a graphical network of interrelationships. Direction, type, intensity and frequency determine the relationships between the elements. The objective is to get knowledge about the structure and dynamics of the essential processes in the system.

System Dynamics

For simulation, the method of System Dynamics has been chosen due to the fact that it is very well suited for quick prototyping.

This method has been applied to a wide vari ety of problems in both the public and private sectors. Large corporations and governmental agencies make use of the in sights gained from building System Dynamics models while designing policies and strategies and in tactical and operational decision making.

Within the System Dynamics paradigm, emphasis is placed on model conceptualisa tion and on the utilization of a wide spectrum of criteria for model validation that help to ensure that the resulting models correspond to real systems structurally as well as behaviourally.

In particular, there are four types of structural properties that humans find cognitively challenging in dynamic systems.

First, there is the origin of dynamic behaviour itself, the relationship between flows and levels. Second, there are delays or lags in actual systems. Third, there is a feedback. Finally, there are nonlinear relationships.

Powersim

The availability of easy-to-use software engineering tools such as Powersim enabled a fast model development process.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

66

Powersim is a software package that facilitates the study of dynamic systems. It makes possible the formulation of simulation models in the graphical notation as de fined in the System Dynamics methodology.

Powersim is particularly convenient for use of generic models. These models can be stored in a library, from which they can be copied, modified, and incorporated as co models or integrated (pasted) as sub-models in a larger “main” model.

The ability of Powersim to describe and solve problems, however, suggests that its rea l benefit comes from its application in the model -building process itself, rather than from its ability to simulate a particular model. As a result, the people who both know the system experiencing the problem and are charged with implementing model-based results should participate fully in the modelling process. Their partici pation increases the probability that they will trust the model they helped to create and will implement its results. Powersim’s graphical user interface greatly reduces the barriers to the participation of policy makers in the modelling process. In addition, the graphical notation and the user -friendly interface make possible the fast develop ment and rapid prototyping of simulation models.

High Abstraction-Level Model

On a high abstraction level, the system to be simulated is determined by variables that are defined in relation to a maximum possible value. In this way, it is not necessary to introduce absolute values since the variables are defined without a physical dimension and c an only take values between 0 and 1. Relative variables of this type make possible the quantitative calculations with freely chosen, normally only qualitatively describable, parameters such as, for example, “satisfaction” or “alteration pressure,” especial ly in areas where no or only restricted empirical data is available. Quickly-developed abstract models can be generated with relative variables although with the disadvantage of being highly speculative.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

67

In the high abstraction-level model, the elemen ts are subdivided into three areas: the physical

In the high abstraction-level model, the elemen ts are subdivided into three areas: the physical area, the information area and the social area. The physical area contains all the components that are physically defined, and can be physically measured and de¬scribed. The information area contains all the components that can be assigned to an information network: the logical and virtual elements, the procedures, programs, data, or, in other words, the software and the databases. Computers, cable, storage medi¬ums, electronic devices, etc., or the hardware, are physical components. The social area consists of humans, groups, hierarchies, organizations, etc. The elements of the social area could be allotted to the physical and information area. However, since this area contains important feedbacks, the social area is identified explicitly (Figure 2).

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

68

For each area, one can identify and describe sectors of industries, administration, se curity area,

For each area, one can identify and describe sectors of industries, administration, se curity area, etc. The following six sectors were defined in the initial research phase: energy sector, information industry, civil service, security, traffic and transportation, and finance. Table 1 presents some of the real objects and elements that were as signed to these sectors and outlines the areas for further explanation and develop ment.

Figure 3 illustrates the physical area. Some important interrelations are defined that already describe the structure of the simulation model in the graphical notation used by the Powersim simulation software. The variable physical performance as relative value describes the contribution of each element to the total productivity of the viewed system considering all sectors. The total productivity or the success of the system has an effect on the satisfaction of the social system in the social area in con sequence. At the same time, the performance of a given sector is influenced by the performance of other sectors. Furthermore, the performance is diminished by random disturbances from the environment.

Each system has internal forces that keep the processes running and produce the performance. These forces are controlled by a feedback loop that tries to keep the performance level close to a desired value; in other words, the system tries to maintain equilibrium or a stable state. The role of feedback is played by the size of the variable physical pressure. By definition, the influence of the physical pressure is delayed in time and depends on performance. In addition, the physical pressure is influenced by satisfaction in the social area and information in the information area.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

69

Similarly the “Information Area” and the “Social Area” Friedmar Fischer; Simulation kritischer Infrastrukturen -

Similarly the “Information Area” and the “Social Area”

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

70

Figure 5 defines the social area. The variable satisfaction describes in relative terms the general

Figure 5 defines the social area. The variable satisfaction describes in relative terms the general status of the social part of the considered system for each element in all sectors. The satisfaction of a sector depends on the performance and the information from the other areas. Again, a feedback loop is considered to cover the inner forces for maintaining a stable state.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

71

Here, the variable social pressure that also depends on performance and information plays the role

Here, the variable social pressure that also depends on performance and information plays the role of a feedback. Figure 5 presents a typical diagram of the model in System Dynamics notation as realized in Powersim. Most of the variables are defined as vectors, where the index represents the sectors under consideration. The detailed description of the model is part of Powersim’s code. The code and the interpretation of the variables can only be seen in the context while the model is executed and calculation experiments are performed.

Low Abstraction-Level Model

Essentially, the system under consideration consists of the various types of transpor tation: road, rail, air and sea (water), split into transportation of goods and transpor tation of people. The traffic elements or the vehicles depend on the existence of a transportation network. The transportation network is simplified according to the traf fic elements. For road and rail transportation, the traffic within the region and traffic in the outside world are separately modelled. For the model of the traffic within the region, the traffic is considered as a sort of container with a corresponding descriptive size; for the traffic in the outside world the region is viewed as a node of a network.

For

air and water transport, the region represents only one node, i.e. an airport or s eaport.

For

details see the complete article of K. Niemeyer, please.

Medium Abstraction-Level Model

Experiments with the high abstraction-level model revealed the difficulty to establish

postu-

a relationship

lated. On the other hand, this is a prerequisite for application of models in exercises.

between

realistic

absolute

values

and

the

generic

variables

as

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

72

For this reason, it is necessary to do some brainstorming with the objective to generate real objects, entities, variables of the system and the sectors, as well as to quantitatively define their relationships.

A list of elements was used as a basis for creation of cause-and-effect network in Gamma. With the

help of Gamma’s graphical tools it was possible to arrange the elements as components of a network on the screen. Simultaneously, values for the influences were defined with the help of lines and arrows and their strength estimated. All the models were executed during the brainstorming sessions and corrections were made in multiple iterations, considering the different points of view of the participating experts.

A typical Gamma diagram for the transportation case study was created during these sessions as

shown in Figure 7.

In a later phase, delay times of the influences of one element on another were defined. These delay

times and the effects are direct results of the Gamma sessions; they are collected in tables and serve as input to the System Dynamics model of medium-abstraction level.

The diagram also indicates by means of lines and arrows how strong is the influence of each entity on other entities in the postulated system, which can be transformed easily into a matrix of influences. A different view at these dependencies for the en ergy sector is demonstrated in Figure 8.

for the en ergy sector is demonstrated in Figure 8. Friedmar Fischer; Simulation kritischer Infrastrukturen -

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

73

The horizontal axis represents on a scale between 0 and 1 the relative strength of

The horizontal axis represents on a scale between 0 and 1 the relative strength of the influence of an entity on other entities in the system, while the vertical axis represents on a scale between 0 and 1 the relative strength by which an entity is influenced by other entities in the system. Each entity has a well-defined position on the diagram. The distribution of positions demonstrates which entities are highly sensitive and require further specific attention in a straightforward manner.

Modelling and simulation of critical business and public sectors of a highly developed technical society is based on the entities, relationships and sensitive parameters as developed in brainstorming sessions by sector experts utilising the Gamma methodology. These relations are then transformed into a logical structure based on the System Dynamics methodology using Powersim.

On this medium level of abstraction the system to be simulated is determined and described by parameters and values, which are again defined relatively to a maximum possible absolute value. In this way, setting absolute values is not necessary since the parameters are defined without a measurement dimension and can take only values between 0 and 1. Relative parameters of this type make also possible quantitative calculations with freely-chosen, normally only qualitatively describable, parameters as defined in the expert sessions with the Gamma methodology.

In normal conditions the system of each sector is in a stable state or in equilibrium, i.e. the parameters do not change with time. These changes only occur if disturbances from outside act on the system. And this is the case in reality, although disturbances are continuously balanced by system internal regulations and control mechanisms. The system state becomes stable and eventually fluctuates only around the equilibrium. Only unusual disturbances are able to generate unstable behaviour, however, leading to stable state again although at different level. Theoretically, the set of relationships among the elements, as defined with the Gamma methodology, should cover this

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

74

stabilisation effect. Unfortunately, this was not the case; all relationships were defined as positive feedbacks in the System Dynamics notation.

Therefore: In any system, for stabilising control mechanisms negative feedbacks have to be available in order to create a stable equilibrium.

-----------------------------

Software for example:

GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :

http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf

PowerSim Studio Express 7

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

75

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

76

12 W. Schmitz: Modellbildung und Simulation für KI

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

77

Walter Schmitz, „Modellbildung und Simulation für Kritische Infrastrukturen“; IABG, 02/2004

(siehe: http://www.competence-site.de/downloads/93/9f/i_file_3951/B2_M%26S%20f%C3%BCr%20CI.doc)

1 Einführung

Kritische Infrastrukturen sind komplexe Systeme, deren Überlebensfähigkeit zu gewährleisten ist. Die Erfahrungen mit komplexen Systemen haben gezeigt, dass das Wissen über Einzelteile nicht ausreicht, komplexe Systeme zu erfassen und zu bewerten. Mindestens genau so wichtig ist es, die Vernetzung der Einzelteile zu berücksichtigen. Es sollte sowohl eine statische wie auch eine dynamische Analyse der Infrastrukturen durchgeführt werden. Das Ziel der statischen Analyse ist, für jede der betrachteten Infrastrukturen die wichtigsten Elemente der Infrastrukturen zu identifizieren, das Wirkungsgefüge zwischen den Elementen sichtbar zu machen, die „Rollen“ der Elemente innerhalb dieses Netzwerkes zu erkennen sowie die inneren kybernetischen Regeln der Infrastrukturen aufzudecken, um geeignete Überlebensstrategien für die Infrastrukturen daraus ableiten zu können. Das Ziel der dynamischen Analyse besteht in erster Linie darin, Auswirkungen von Störungen aufzuzeigen. Hauptaugenmerk gilt dabei vor allem den Dominoeffekten, die sich kaskadenartig über die einzelnen Infrastrukturen ausbreiteten.

2 Häufige Fehler bei der Modellierung komplexer Systeme

Eingriffe in die Vernetzung verändern die Beziehungen zwischen den Komponenten und damit den Charakter des Gesamtsystems. Offene Systeme wie z.B. ökologische Systeme erfahren immer wieder „Störungen“ von außen und reagieren darauf. Aber gerade durch diesen permanenten Austausch bewahren sie ihre Überlebensfähigkeit. Denn ein solcher Austausch verursacht Rückkopplungen und Selbstregulation – Eigenschaften, die nicht in den einzelnen Komponenten des Systems enthalten sind. Überlebensfähigkeit des Gesamtsystems kann also nicht alleine aus der Überlebensfähigkeit seiner Komponenten abgeleitet werden, sondern beruht mehr auf kybernetischen Prinzipien. Das ist auch ein Grund, weshalb viele komplexe Projekte, die deterministisch geplant und ohne Rückkopplung mit ihrem Umfeld durchgeführt wurden, gescheitert sind. Typische strategische Fehler im Umgang mit komplexen Systemen sind:

Falsche Zielbeschreibung des Gesamtsystems

Unangemessene Abbildung / Beschreibung des Systems

Auswahl ungeeigneter Lösungsstrategien.

2.1

Zielbeschreibung des Gesamtsystems

Suboptimierung und Auswahl nicht zutreffender Zielfunktionen sind oft bei der Analyse komplexer Systeme zu beobachten. Anstatt sich auf die Überlebensfähigkeit des Gesamtsystems zu konzentrieren, verfolgen die Planer oft Reparaturstrategien oder wählen z.B. Shareholder Value als Zielfunktion aus. Die Konsequenz ist, dass Nachhaltigkeit, Stabilität und Robustheit des Systems nicht gefördert werden, was gerade bei kritischen Infrastrukturen ein verhängnisvoller Fehler wäre.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

78

2.2

Systemmodellierung

Typische Modellierungsfehler sind:

1. Unausgewogene Auflösungsebenen

2. Vernachlässigung wichtiger Interdependenzen

3. Nichtberücksichtigung wesentlicher Systemkomponenten

4. Verzicht auf „weiche“ Faktoren

5. Missachtung von Störungen

6. Unüberlegte Anwendung der Extrapolationsmethode.

(1) Unausgewogene Auflösungsebenen

Oft sind die Auflösungsebenen der einzelnen Systemkomponenten nicht problemadäquat ausgewählt. Zu hohe Auflösung führt zu einer Informationsüberflutung. Große Datenmengen werden gesammelt, die ihrerseits aber verhindern, dass die Systemstruktur aufgedeckt wird. Wichtige Beziehungen und Interaktionen werden dadurch übersehen. Die Datenmenge kann nicht zielgerichtet ausgewertet werden. Wichtige Eigenschaften wie Rückkopplungen und Selbstregulierung bleiben unerkannt und damit auch der dynamische Charakter des Systems. Die Aufgabe besteht also darin, die Interaktionen der einzelnen Ereignisse auf der geeigneten Auflösungsebene zu erkennen, die Datenmenge auf die wesentlichen Schlüsselkomponenten zu beschränken und nur diese Schlüsselkomponenten miteinander zu vernetzen.

(2) Vernachlässigung wichtiger Interdependenzen

Erziehung und Ausbildung zum Spezialistentum veranlasst uns, eher ins Detail zu gehen anstatt den Gesamtzusammenhang zu erfassen. Dies führt oft dazu, einzelne Komponenten im Detail zu analysieren und dafür die Vernetzung der Komponenten untereinander zu vernachlässigen. Aber ohne Kenntnis der Vernetzung – verursacht durch die Interdependenzen zwischen den Komponenten – lässt sich das Verhalten und die Leistungsfähigkeit des Gesamtsystems nicht bewerten, wie groß die Detailkenntnisse über die Einzelteile des Systems auch sein mögen. Die Rolle der Komponenten im Netzwerk bleibt unbekannt. Die Konsequenz ist, dass Symptome anstatt Ursachen behandelt werden.

(3) Nichtberücksichtigung wesentlicher Systemkomponenten

Oft ist die Tendenz zu beobachten, sich auf Sachverhalte zu konzentrieren, die man als richtig erkannt hat. Dafür werden aber oft gravierende Elemente in anderen Bereichen ignoriert oder übersehen. Bewusstes oder unbewusstes Übersehen wesentlicher Komponenten reduziert zwar die Datenmenge, vermittelt aber einen falschen Eindruck vom Gesamtsystem.

(4) Verzicht auf weiche Faktoren

Die Negierung weicher Faktoren wie Konsens, Vertrauen, Zufriedenheit, Motivation, Lebensqualität und andere mehr führt ebenfalls zu einer unvollständigen und einseitigen Systembeschreibung. Zur Erfassung der Leistungsfähigkeit des Systems sind qualitative Faktoren ebenso wichtig wie quantitative Faktoren.

(5) Missachtung von Störungen

Verfangen im linearen Ursachen-Wirkungs-Denken wird immer wieder versucht, alle Planungsfaktoren so genau wie möglich zu bestimmen anstatt Puffer für unvorhergesehene

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

79

Störungen vorzuhalten. Es wird getan, als ob es ein geschlossenes System vorliegen würde, das keine Störungen von außen zu befürchten hätte.

(6) Unüberlegte Anwendung der Extrapolationsmethode

Unüberlegte Anwendung der Extrapolationsmethode führt oft zu falschen Lösungen, weil diese Methode – wenn überhaupt – das Verhalten komplexer Systeme nur für ein kleines begrenztes Zeitintervall voraussagen kann. Abhängigkeiten und Störungen können bei komplexen Systemen überraschende Effekte hervorrufen, die selten auf direkte Ursachen-Wirkungsbeziehungen zwischen benachbarten Elementen zurückzuführen sind. Dies ist einer der wichtigen Gründe, weshalb komplexe Systeme so schwierig zu planen und verstehen sind und Extrapolation als Lösungsmethode nur selten taugt. Prognosemodelle dieser Art sind ungeeignet, weil sie nur dann hinreichend gute Antworten geben können, wenn alle Daten bezüglich der Interaktionen bekannt sind und es sich um ein geschlossenes System handelt.

2.3 Auswahl von Lösungsstrategien

Typische Fehler bei der Auswahl von Lösungsstrategien sind:

1. Ignorierung von Seiteneffekten

2. Festhalten an Reparaturstrategien

3. Tendenz zur Überreaktion

4. Tendenz zu diktatorischem Verhalten.

(1) Ignorierung von Seiteneffekten

Herkömmliches Planen auf der Basis linearer Ursachen-Wirkungsbeziehungen versucht zwar konsequent, die Situation zu verbessern, kümmert sich aber zu wenig darum, Seiteneffekte der ausgewählten Maßnahmen aufzudecken. Was-wäre-wenn-Überlegungen müssen angestellt werden, um die Seiteneffekte der ausgewählten Strategien zu erfassen.

(2) Festhalten an Reparaturstrategien

Reparaturstrategien sind nicht nur kostspielig, sie verursachen auch noch Folgeschäden, weil sie Interdependenzen zwischen den Systemkomponenten missachten. Die bessere Strategie ist, die Systemkonstellationen zu finden, die zu Selbstregulation führt.

(3) Tendenz zur Überreaktion

Beim Steuern komplexer Systeme zeigen wir oft ein typisches Verhalten:

Zurückhaltung, wenn erste Korrekturmaßnahmen durchgeführt werden.

Heftige Eingriffe, wenn sich das Systemverhalten nicht verändert.

Notbremsung, sobald die ersten unbeabsichtigten Effekte im Systemverhalten eintreten.

Ein solches Steuerungsverhalten negiert, dass sich die Auswirkungen der ersten zaghaften Steuerungsmaßnahmen infolge von Zeitverzögerungen unbemerkt kumuliert haben. Ein solches Zeitverhalten kann in Simulationen erforscht werden.

(4) Tendenz zum diktatorischen Verhalten

Das Gefühl, das Verhalten des Systems steuern zu können und der Glaube, alle Systemfunktionen zu kennen, verführt oft zu einem diktatorischen Verhalten, das jedoch völlig ungeeignet ist im Umgang

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

80

mit komplexen Systemen. Ein Steuerungsansatz, der die inhärenten Systemregeln und – eigenschaften ausnutzt, ist wesentlich effektiver. Die kybernetischen Systemeigenschaften müssen identifiziert werden, um Kontrollschleifen und Rückkopplungen ausnutzen zu können.

3 Ein denkbares Vorgehensmodell

Die methodische Herausforderung des Schutzes kritischer Infrastrukturen besteht darin, die oben

aufgeführten methodischen Unzulänglichkeiten zu vermeiden und Antworten auf folgende Fragen zu

finden:

Wie reagiert das System „Kritische Infrastrukturen“ auf bestimmte Ereignisse?

Wie robust und flexible ist das System?

Wie kann sein Systemverhalten verbessert werden?

Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt werden?

Was sind die kritischen und unkritischen Bereiche des Systems?

Vester, Probst and Gomez zeigten, dass die Methode des Vernetzten Denkens das Verhalten

komplexer Systeme hinreichend genau beschreiben kann, selbst wenn nur Rohdaten der einzelnen

Komponenten vorliegen, aber die Abhängigkeit der Komponenten untereinander erfasst sind.

Die Arbeitsschritte eines solchen Ansatzes sind in Abbildung 1 dargestellt. Obgleich in diesem Bild die

einzelnen Arbeitsschritte konsekutiv dargestellt sind, sind sie doch als rekursiver Prozess aufzufassen:

nach jedem Schritt kann zu einem der vorangegangenen Schritte zurückgesprungen und der

Sachverhalt entsprechend verändert werden.

und der Sachverhalt entsprechend verändert werden. Abbildung 1: Prozessmodell zum Schutz kritischer

Abbildung 1: Prozessmodell zum Schutz kritischer Infrastrukturen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

81

3.1

Schritt 1: Zielfunktionen und Systemmodellierung

Eine korrekte Problembeschreibung ist ausschlaggebend für eine erfolgreiche Problemlösung. Zusammenhang, Beziehungen und Interaktionen zwischen den Elementen müssen erfasst und verstanden werden. Ebenso wichtig ist es, die wahren Zielsetzungen zu erkennen, die uns zu den tatsächlichen Problemlösungen leiten. Allerdings sind in komplexen Situationen oft nur vage Zielsetzungen anzutreffen und einzelne Zielfunktionen können auch im Interessenkonflikt stehen. Zum Beispiel sind Überlebensfähigkeit, Risikominimierung, Shareholder Value, Versorgungssicherheit und technische Funktionsfähigkeit oft genannte Zielfunktionen, wobei z.B. Maximierung des Shareholder Value im Interessenkonflikt zu Risikominimierung stehen kann.

im Interessenkonflikt zu Risikominimierung stehen kann. Abbildung 2: Kontrollmodell „Schutz kritischer
im Interessenkonflikt zu Risikominimierung stehen kann. Abbildung 2: Kontrollmodell „Schutz kritischer

Abbildung 2: Kontrollmodell „Schutz kritischer Infrastrukturen“

Das Verhalten einer kritischen Infrastruktur kann gemäß Abbildung 2 als Kontrollmodell beschrieben werden, wobei folgende Elemente zu unterscheiden sind:

Akteure wie z.B. Bedienungspersonal, Nutzer, Kunden

Kontrollierbare Faktoren wie Computer, Netzwerk, Verteiler etc.

Kriterien oder Indikatoren, die den Erreichungsgrad der Zielfunktion angeben.

Akteure kontrollieren die kontrollierbaren Faktoren. Umgekehrt beeinflussen die Indikatoren das Verhalten der Akteure. Da kritische Infrastrukturen keine abgeschlossenen Systeme darstellen, können auch externe Faktoren die kritische Infrastruktur beeinflussen. Beispiele für solche externe von der Infrastruktur nicht direkt beeinflussbare Faktoren sind die Gesetzgebung und internationale Standards. Diese Faktoren beeinflussen sowohl das Verhalten der Akteure als auch die internen von der Infrastruktur direkt kontrollierbaren Faktoren. Externe und interne Faktoren beeinflussen den Wert der Indikatoren und damit auch den Wert der Zielfunktion wie z.B. die technische

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

82

Funktionsfähigkeit. Der Wert der Zielfunktion wiederum veranlasst die Akteure, die internen Faktoren zu ändern, wenn der wert der Zielfunktion außerhalb des Normalbereiches liegt.

3.2 Arbeitsschritt 2: Analyse der Kausalitäten

Geeignete Analysetools werden benötigt, um Beziehungen, Einflüsse und Zeitverhalten komplexer System untersuchen und besser verstehen zu können. Die Darstellungen durch Netzwerke erlauben uns, die Kausalitäten der Beziehungen zu beschreiben und ihre Eigenschaften zu analysieren. Dazu wird zunächst dieses Bild um die Größen Zielfunktion und Kriterien zum Messen der Zielfunktion erweitert (siehe Abbildung 3). Gemäß Abbildung 3 soll die Überlebensfähigkeit des Systems „Kritische Infrastrukturen“ gewährleistet werden. Überlebensfähigkeit ist eine komplexe Funktion, die über Kriterien oder Teilziele wie technische Funktionsfähigkeit, Akzeptanz und Umweltverträglichkeit verfeinert wird. Akteure dieses Systems sind: Elektrizität, Telekommunikation, Wasser, Gas, Öl, Transport. Alle Elemente sind mit Pfeilen verbunden, die die charakteristischen Beziehungen zwischen den Elementen anzeigen.

Beziehungen zwischen den Elementen anzeigen. Abbildung 3: System interdependenter kritischer

Abbildung 3: System interdependenter kritischer Infrastrukturen

Die Farben der Pfeile sollen unterschiedliche Einflusssphären kennzeichnen: Schwarz für physikalische Einflüsse, rot für Cyber-Einflüsse, braun für Managementeinflüsse und blau für strategische Einflüsse.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

83

Falls Element A das Element B beeinflusst, stellt sich die Frage, ob A eine verstärkende oder dämpfende Wirkung auf B ausübt. Plus- oder Minus-Zeichen in der Pfeilspitze sollen diese verstärkende oder dämpfende Wirkung anzeigen.

Zeitaspekte spielen ebenfalls eine wichtige Rolle im Systemverständnis. Planer schätzen die Reaktionszeit des Systems oft falsch ein, wenn sie Korrekturmaßnahmen einleiten. Sie mögen zwar die individuellen Antwortzeiten der einzelnen Elemente kennen, aber in aller Regel nicht die vernetzten Zeitaspekte, die durch Rückkopplungen über mehrere Stationen hervorgerufen werden. Die Erfahrung hat gezeigt, dass es oft schon ausreicht zwischen kurz-, mittel- und langfristig zu unterscheiden, um zu brauchbaren Ergebnissen zu kommen. Allerdings können die Vorstellungen über diese Zeitangaben von Sektor zu Sektor sehr unterschiedlich sein.

Die Dicke der Pfeile zeigt die Stärke der Beeinflussung an, denn nicht alle Beziehungen haben den gleichen Effekt. Mit Hilfe der Beeinflussungsstärke lassen sich die Elemente in Klassen oder Rollen einteilen:

Elemente, die das Verhalten des Gesamtsystems stark beeinflussen, ohne dass sie selbst stark beeinflusst werden, werden als „aktive“ Elemente oder auch „Treiber“ bezeichnet.

Elemente, die andere nur schwach beeinflussen, aber selbst stark beeinflusst werden, werden „reaktiv“ oder „passiv“ oder auch „getriebene“ Elemente genannt.

Elemente, die sowohl stark beeinflussen als auch stark beeinflusst werden, werden „kritisch“ genannt.

Elemente, die weder stark beeinflussen noch stark beeinflusst werden, werden als puffernde Elemente bezeichnet.

Wie Abbildung 4 zeigt, wird in diesem Demonstrationsbeispiel der Sektor „Elektrizität“ als kritische Größe, die Sektoren „Öl“, „Telekommunikation“ sowie „Transport/Verkehr“ als Treiber bzw. aktive Größen, der Sektor „Erdgas“ als passive und „Wasser“ als puffernde Größe eingeschätzt. Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen werden das Verhalten des Gesamtsystems der hier abgebildeten kritischen Infrastrukturen empfindlich beeinflussen. Im Störungsfall macht sich besonders negativ bemerkbar, dass in diesem Netzwerk keine dämpfende Rückkopplungen enthalten sind, die auf die Infrastruktursektoren direkt einwirken könnten (siehe Abbildung 5). Das heißt, das Gesamtsystem enthält keine Kontrollschleifen, die Selbstregulierung auslösen oder fördern könnten. Auf diesen Schwachpunkt wird in Arbeitsschritt 4 „Einflussanalyse“ (siehe Kapitel 3.4) noch genauer eingegangen.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

84

Abbildung 4: Die Rolle der Elemente Abbildung 5: Verstärkende Rückkopplungen Friedmar Fischer; Simulation kritischer

Abbildung 4: Die Rolle der Elemente

Abbildung 4: Die Rolle der Elemente Abbildung 5: Verstärkende Rückkopplungen Friedmar Fischer; Simulation kritischer

Abbildung 5: Verstärkende Rückkopplungen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

85

3.3

Arbeitsschritt 3: Scenario Entwicklung

Komplexe Systeme verhalten sich nach ihren eigenen Regeln. Insofern kann ihre Zukunft nicht exakt vorausgesagt werden. Aber es können Szenarien entwickelt und die daraus folgenden Konsequenzen simuliert werden. In der Praxis hat es sich bewährt, ein Basis-Scenario mit Alternativen zu entwickeln wie z.B. ein optimistisches und ein pessimistisches Scenario. Die Scenarioentwicklung erfordert folgende Arbeitsschritte:

Festlegung des Zeithorizontes

Ermittlung der Einflussgrößen des Netzwerkes

Entwicklung des Basis-Scenarios

Entwicklung der alternativen Szenarien

Interpretation der Szenarien.

3.4 Arbeitsschritt 4: Einflussanalyse

In diesem Arbeitsschritt sollen die Kontroll- oder Steuerungsmöglichkeiten ermittelt werden. Die Analyse der Steuerungsmöglichkeiten beinhaltet die Analyse von Rückkopplungsschleifen, Selbstregulierungsmechanismen, Beeinflussungsstärken sowie Zeitverhalten. Hierbei ist zu beachten, durch welche Maßnahmen die Elemente beeinflusst werden können und wer die Kompetenz dazu hat. Maßnahmen und Kompetenzverteilung legen letztendlich die Auflösungsebene des Netzwerkes fest. Um gezielt Standards zur Vermeidung oder Milderung von Störungen in der Infrastruktur „Elektrizität“ erlassen zu können, muss diese Infrastruktur genauer untersucht werden, was in unserem Fall höhere Auflösung des Netzwerkes der Infrastruktur „Elektrizität“ bedeutet. Ein mögliches Beispiel zeigt Abbildung 6.

In diesem Beispiel sind die Leitzentralen zur Energieerzeugung und zur Energieverteilung am stärksten vernetzt, was auf eine Sonderstellung dieser beiden Größen schließen lässt. Gleichzeitig werden beide Leitzentralen von der externen Größe IuK (Element 24) sehr stark beeinflusst. Die Portfolio-Betrachtung (siehe Abbildung 7) bestätigt die obige Vermutung und weist die beiden Leitzentralen als die kritischen Elemente des Netzwerkes aus.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

86

Abbildung 6: Netzwerk „Elektrizität“ (Variante 1) Beeinflussung Liste der Elemente 1 Versorgungssicherheit 14
Abbildung 6: Netzwerk „Elektrizität“ (Variante 1) Beeinflussung Liste der Elemente 1 Versorgungssicherheit 14
Abbildung 6: Netzwerk „Elektrizität“ (Variante 1) Beeinflussung Liste der Elemente 1 Versorgungssicherheit 14
Abbildung 6: Netzwerk „Elektrizität“ (Variante 1)
Beeinflussung
Liste der Elemente
1 Versorgungssicherheit
14
100
A
2 Verfügbarkeit Gewerbe
A
3 Verfügbarkeit Industrie
A
4 Verfügbarkeit Haushalt
90
A
5 Verfügbarkeit Verkehr
6
Rekonstitution
B
7 Wasserkraftwerke
80
8 konvent. therm. KW
9 KKW
1
15
C
10 KW erneuerbareEnergie
70
11 Raffinerien
B
12 Trsp Primärenergie
60
13 Trsp Endenergie
14 Leitzentr. Energieerzeugung
15 Leitzentr. Trsp / Verteilung
13
8
50
16 Leitungsgebunde Energie Verte
18
17 Nichtleitungsgebundene Energie
18 Krisen-/Einsatzstab
40
19 Medienarbeit
20 Schlüsselpersonal
6
A
16
30
21 Staatl. Sicherheitsdienste
9
17
22 Medien
C
23 Verkehr
B
20
24 Telekommunikation/IT
21 22
11
19
10
C
20
24
0
0
10
20
30
40
50
60
70
80
90
100
Einflußnahme
0 0 10 20 30 40 50 60 70 80 90 100 Einflußnahme Abbildung 7: Portfolio

Abbildung 7: Portfolio „Elektrizität“ (Variante 1)

Trotz starker Einflussnahme auf die Leitzentralen wird IuK (Element 24) als pufferndes Element eingestuft und nicht als Treiber wie die Elemente 11, 16 und 17.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

87

Geht man aber zum Beispiel von der Annahme aus, dass aus Kostengründen die Leitzentralen ihre Kontrollfunktion über das Internet abwickeln und nicht mehr ein eigenes Steuerungsnetz aufrecht erhalten, dann muss die Abhängigkeit der Leitzentrale von IuK als extrem hoch eingeschätzt werden, was in Abbildung 8 angenommen wird.

eingeschätzt werden, was in Abbildung 8 angenommen wird. Abbildung 8: Netzwerk „Elektrizität“ (Variante 2)

Abbildung 8: Netzwerk „Elektrizität“ (Variante 2)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

88

Dieser Eingriff in das Netzwerk bewirkt, dass IuK zum Treiber des Netzwerkes wird. Die beiden Leitzentralen werden weiterhin als die kritischen Elemente eingeschätzt (siehe Abbildung 9).

die kritischen Elemente eingeschätzt (siehe Abbildung 9). Abbildung 9: Portfolio „Elektrizität“ (Variante 2) Die

Abbildung 9: Portfolio „Elektrizität“ (Variante 2)

Die Konsequenz bei der Absicherung der kritischen Infrastruktur „Elektrizität“ muss also sein, vor allem diese drei Größen einer genaueren Analyse und Beobachtung zu unterziehen. Dies bedeutet, dass die beiden Leitzentralen weiter aufgelöst werden müssen (höhere Aggregationsebene), um den Einfluss von IuK auf die Leitzentralen und der Einfluss der Leitzentralen auf die anderen Größen genauer analysieren zu können.

3.5 Arbeitsschritt 5: Lösungsstrategien und Maßnahmen

Die Ermittlung von Lösungsstrategien und Steuerungsmaßnahmen ist ein kreativer Prozess, der den Planer vor große Herausforderungen stellen kann. So zeigt z.B. das Netzwerk in Abbildung 3 auf Seite 83 nur selbst verstärkende Rückkopplungen, Ansätze zur Selbstregulation fehlen vollständig. Das bedeutet, dass dieses System kritischer Infrastrukturen instabil und nicht fehlertolerant ist. Fordert man aber auf der hohen Aggregationsebene von Abbildung 3 die Möglichkeit der Selbstregulation, dann muss die Topologie des Netzwerkes geändert werden. Zu diesem Zwecke soll jetzt eine Regulierungsbehörde für „Elektrizität“ eingeführt werden (siehe Abbildung 10), die z.B. über Verschärfung von Standards technischen Unzulänglichkeiten oder umweltschädlicher Stromerzeugung entgegenwirken kann.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

89

Abbildung 10: Einführung einer Regulierungsbehörde „Elektrizität“ Mit der Einführung der Regulierungsbehörde

Abbildung 10: Einführung einer Regulierungsbehörde „Elektrizität“

Mit der Einführung der Regulierungsbehörde können in diesem Netzwerk mindestens zwei Selbstregulierungsschleifen identifiziert werden (siehe Abbildung 11).

identifiziert werden (siehe Abbildung 11). Friedmar Fischer; Simulation kritischer Infrastrukturen -

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

90

Abbildung 11: Selbstregulation im erweiterten Netzwerk

In diesem Fall können mindestens zwei Rückkopplungsprozesse mit der Fähigkeit zur Selbstregulierung identifiziert werden:

(1) Kontrolle der technischen Funktionsfähigkeit: Falls die Regulierungsbehörde eine Verschlechterung der technischen Funktionsfähigkeit des Gesamtsystems feststellt, die beispielsweise durch geringere Leistungsfähigkeit der Elektrizitätswirtschaft hervorgerufen werden könnte, dann kann sie dieser Entwicklung durch Verabschiedung strengerer Standards entgegenwirken und so zu einer Verbesserung der technischen Funktionsfähigkeit des Gesamtsystems beitragen.

(2) Kontrolle der Umweltverträglichkeit: Falls die Regulierungsbehörde abnehmende Umweltverträglichkeit feststellt, die beispielsweise durch zu starke Berücksichtigung konventioneller Kraftwerke verursacht sein könnte, dann kann sie dieser Entwicklung durch entsprechende Auflagen entgegenwirken und so zu einer Verbesserung der Umweltverträglichkeit beitragen.

Dieses einfache Beispiel soll zeigen, wie durch Veränderung der Systemtopologie das Systemverhalten stabilisiert werden kann.

3.6 Arbeitsschritt 6: Entwicklung robuster und anpassungsfähiger

Problemlösungen Die Problemlösungen sollten so ausgewählt werden, dass sie auch unter widrigen Umständen beibehalten werden können, indem sie sich der veränderten Situation anpassen können. Das heißt, Reparatur- und Anpassungseigenschaft müssen in die Problemlösung integriert werden. Dazu ist ein Kontrollprozess zu installieren, der die notwendigen Korrekturmaßnahmen erkennt und initiiert. Voraussetzung hierfür ist, dass das System über Frühwarnsignale verfügt, die Abweichungen so früh wie möglich anzeigen. Um aber Frühwarnsignale bestimmen zu können, müssen Erkenntnisse über das Zeitverhalten des Systems vorliegen. Solche Erkenntnisse können mit Simulationen erforscht werden. Ebenso können Kaskadeneffekte, die auf den Interdependenzen der Infrastrukturen beruhen, mit Simulationen aufgezeigt werden wie die folgenden Beispiele einer dynamischen Analyse kritischer Infrastrukturen zeigen.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

91

4

Dynamische Analyse der kritischen Infrastrukturen

Die Simulation kritischer Infrastrukturen basiert auf den in den vorangegangenen Kapitelen vorgestellten Netzwerken. Diese Netzwerke werden mit Hilfe einer Simulationssprache in eine logische Struktur transferiert, die auf der Systems Dynamics Methode basiert. Diese Methode erlaubt die dynamische Darstellung aller erfassten Parameter mit ihren Interaktionen. So sind in Abbildung 12 die Infrastrukturen aufgeführt, die in der Simulation zur Zeit abgebildet sind. Darüber hinaus zeigen die Verbindungslinien zwischen den Infrastrukturen deren vielfältigen Interaktionsprozesse an. Potentielle Störungen – verursacht durch Terroranschläge, Naturkatastrophen oder große Unfälle – verursachen Probleme im Betrieb der Infrastrukturen. In der Simulation reagieren die Variablen auf solche Einwirkungen durch einen Abfall ihrer Produktionskurven, die sich hinsichtlich Schwere und Dauer deutlich unterscheiden können.

Schwere und Dauer deutlich unterscheiden können. Abbildung 12: Startbild der Simulation Friedmar Fischer;

Abbildung 12: Startbild der Simulation

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

92

Zunächst wollen wir davon ausgehen, dass in den ersten 6 Stunden keine Störung in den Infrastrukturen auftreten. In diesem Fall arbeiten alle im Normalbetrieb, was in der Simulation bedeutet, dass die Produktivität mit dem Wert 0,9 beschrieben wird (siehe Abbildung 13). Nach den sechs Stunden ungestörten Betriebes wird angenommen, dass eine extreme schwere Störung in der Energieverteilung auftritt, die über ein entsprechendes Eingabefenster eingegeben werden kann (siehe Abbildung 14).

Eingabefenster eingegeben werden kann (siehe Abbildung 14). Abbildung 13: Simulation im ungestörten Falles Friedmar

Abbildung 13: Simulation im ungestörten Falles

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

93

Abbildung 14: Eingabe einer extrem schweren Störung in der Energieverteilung Darüber hinaus wird angenommen, dass

Abbildung 14: Eingabe einer extrem schweren Störung in der Energieverteilung

Darüber hinaus wird angenommen, dass diese Störung erst nach 12 Stunden behoben werden kann. Die Auswirkungen dieser Störung auf die einzelnen Infrastrukturen zeigen die Abbildung 15 bis Abbildung 17. Nach einer kurzen Verzögerung macht sich die Störung der Energieverteilung in der Infrastruktur „Transport & Verkehr“ bemerkbar, nicht aber in der Telekommunikation, weil diese über Notstrom verfügt. Sobald die Störung in der Energieverteilung beseitigt ist, reagieren die Kurvenverläufe der Infrastruktur „Energie“ und streben dem Normalwert entgegen, den sie aber erst mit einer Zeitverzögerung erreichen können (Abbildung 18). Ein solcher Trend, wenn auch mit wesentlich größerer Zeitverzögerung, lässt sich bei den Kurven der Infrastruktur „Transport & Verkehr“ beobachten (Abbildung 20), wogegen die Kurven der Infrastruktur „Telekommunikation“ erst jetzt auf die Störung reagieren, deren Auswirkungen noch nicht ganz überwunden sind (Abbildung 19). Der Grund ist, dass in der Simulation eine Notstromversorgung von 12 Stunden für die Telekommunikation angenommen wird. Diese Beispiele zeigen, dass sich die Störung in der „Energie“ kaskadenartig auf die anderen Infrastrukturen ausbreitet, aber mit unterschiedlicher Geschwindigkeit und Auswirkung.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

94

Abbildung 15: Simulationsverlauf „Energie“ im gestörten Fall Friedmar Fischer; Simulation kritischer Infrastrukturen

Abbildung 15: Simulationsverlauf „Energie“ im gestörten Fall

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

95

Abbildung 16: Simulationsergebnisse der Infrastruktur „Telekommunikation“ Friedmar Fischer; Simulation kritischer

Abbildung 16: Simulationsergebnisse der Infrastruktur „Telekommunikation“

der Infrastruktur „Telekommunikation“ Friedmar Fischer; Simulation kritischer Infrastrukturen -

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

96

Abbildung 17: Simulationsergebnisse der Infrastruktur „Transport & Verkehr“

der Infrastruktur „Transport & Verkehr“ Abbildung 18: Simulationsverlauf „Energie“ nach

Abbildung 18: Simulationsverlauf „Energie“ nach Beseitigung der Störung

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

97

Abbildung 19: Simulationsverlauf „Telekommunikation“ nach Beseitigung der Störung Abbildung 20: Simulationsverlauf

Abbildung 19: Simulationsverlauf „Telekommunikation“ nach Beseitigung der Störung

„Telekommunikation“ nach Beseitigung der Störung Abbildung 20: Simulationsverlauf „Transport&Verkehr“

Abbildung 20: Simulationsverlauf „Transport&Verkehr“ nach Beseitigung der Störung

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

98

5 Empfehlungen

(1) Der Schutz wirtschaftlicher Systeme war bisher nicht gegen Terror ausgerichtet, sondern auf

Gegenspionage und / oder Wirtschaftsspionage. Hier muss dringend nachgebessert werden. Bin

Laden drohte unverhohlen auch der amerikanischen Wirtschaft. Diese Drohung muss ernst

genommen werden. Sie wird im Erfolgsfall unmittelbare Auswirkung auch auf Europa und die

Weltwirtschaft haben. Bin Laden und seine Unterstützer haben umsichtige Planung und

weitsichtiges Handeln nachgewiesen. Allein schon die Nutzung der dort konzentrierten

wirtschaftlichen Macht kann Turbulenzen an Börsen hervorrufen, da ein Handeln nicht auf

Gewinnmaximierung ausgerichtet sein wird, sondern auf Schadensmaximierung. Terroristen mit

diesen Fähigkeiten sind in der Lage, Schwachpunkte kritischer Infrastrukturen zu identifizieren

und geeignete Angriffsstrategien zu ermitteln, um mit einem Minimum an Risiko und Aufwand

ein Maximum an Schaden und öffentlicher Aufmerksamkeit zu erreichen.

(2) Zum Schutz kritischer Infrastrukturen sind Werkzeuge zu entwickeln sind, die zum einen das

Zusammenspiel kritischer Infrastrukturen mit und ohne Störungen simulieren können und zum

andern dem Planer helfen, die kybernetische Eigenschaften des Gesamtsystems aufzudecken und

zu verstehen. Nur so kann entschieden werden, ob Eingriffe in das System zur Beeinträchtigung

seiner Überlebensfähigkeit führen oder nicht und welche Maßnahmen die Überlebensfähigkeit

stabilisieren bzw. verbessern.

(3) Simulationen sind hilfreich, um die Dynamik des Systems untersuchen zu können. Sie lassen den

Planer erkennen, wie empfindlich das System reagiert und wo die Risiken liegen, welche

Vorsichtsmaßnahmen zu ergreifen sind, um die Stabilität zu verbessern, und wie kritische

Bereiche geschützt werden können.

(4) Sensitivitätsanalysen mittels Simulationen decken auf, welche Parameter geändert werden

sollten, um die gewünschten Ergebnisse zu erzielen. Sie geben Aufschluss, wo

Steuerungsmaßnahmen sinnvoll sind oder nicht. Unter Berücksichtigung kybernetischer Regeln

kann so das System „Kritische Infrastrukturen“ kontinuierlich hinsichtlich seiner

Überlebensfähigkeit verbessert werden.

-----------------------------

Software for example:

GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :

http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf

PowerSim Studio Express 7

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

99

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

100

13 P. Gomez: Ganzheitliches Problemlösen

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

101

Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999,
Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999,
Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999,
Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999,

Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999, 133-134

Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag (www.haupt.ch), 1999, 133-134

Computerunterstützte Simulationsmodelle

In den letzten Jahren sind einige PC-taugliche Programmpakere auf den Markt gekommen, die es erlauben, auf dem vernetzten Denken basierende Systemmodelle abzubilden und zu simulieren. Die wichtigsten drei Pakete seien hier kurz vorgestellt.

Das Programm Gamma (Tata Interactive Systems) bietet mehrere Analysefunktionen an, die dem Bereich Simulation zugeordnet werden können. Hierzu gehören die Untersuchung der Wirkungsausbreitung (welche Elemente sind betroffen, wenn Eingriffe an einem bestimmten Element erfolgen?) und der Wirkungsaufnahme (von welchen Elementen wird ein bestimmtes Element beeinflusst?), die Riickkoppelungsanalyse (welche geschlossenen Wirkungsketten liegen im untersuchten System vor?) und vor allem die Zeitanalyse. Bei dieser wird nach einem Eingriff im System die Veränderung der einzelnen Elemente im Zeitablauf dargestellt. Hervorzuheben ist die einfache Bedienung des Programms. Es eignet sich vor allem für Problemlösende, die ihre Resultate des vernetzten Denkens dokumentieren und einfache Zusammenhänge durchspielen möchten.

zu Rationalisierung der Arbeit mit Netzwerken beitragen und die Möglichkeit der Simulation eröffnen. Das Programmpaket dient zum einen als Protokollierungsinstrument und Arbeitshilfe während des Problemlösungsprozesses, anderseits werden einige Schritte auch automatisiert, und es existiert eine Simulationsfunktion. Die Benutzer haben die Möglichkeit. den Ablauf der Simulation zu steuern und auch während dieser in das Geschehen einzugreifen. Während der Simulationen lassen sich die Werte der einzelnen Elemente anhand von Balkendiagrammen innerhalb des Netzwerkes darstellen, und der gesamte Simulationsverlauf kann mit Hilfe von Liniendiagrammmen und Histogrammen visualisiert werden. Hieraus erhält man Aufschluss über relative Veränderungen der Systemelemen- te, nicht jedoch über deren absolute Werte. Die Simulationsfunktion kann für einfache Sensitivitätsanalysen eingesetzt werden, eine vollwertige Simulation im engeren quantitativen Sinne wird nicht geboten. Der sehr hohe Lizenzpreis dürfte es den meisten Anwendern zum vornherein un- möglich machen, diese Sofnvare zu benutzen.

Als

zur

zweites

sind

die

von

VESTER

entwickelten

sm-Tools

erwähnen.

Diese

sollen

Eine letzte Gruppe von Programmen bilden die auf System Dynamics basierenden Softwarewerkzeuge ithink! oder Powersim. Sie sind vollständig quantitativ ausgerichtet, und die Simulation steht klar im Mittelpunkt. Die Verwendung dieses Instrumentariums erfordert die Quantifizierung und mathematische Darstellung aller Beziehungen des Netzwerkes untereinander. Der damit verbundene Arbeitsaufwand ist enorm. Die Möglichkeiten der Beschreibung der Wirkungs- beziehungen ist jedoch bedeutend ausgefeilter als bei den anderen Programmen. Die Simulation kann interaktiv erfolgen, Sensitivitätsanalysen lassen sich einfach durchführen und dokumentieren, graphische und tabellarische Darstellungen können problemlos erstellt werden. Der Lerneffekt für die Problemlösenden ist unseres Erachtens sehr gross. Preislich liegen diese Softwarepakete im Rahmen, aber ihr Einsatz erfordert doch einen gewaltigen Aufwand der Quantifizierung.

Wir haben in der Praxis festgestellt, dass es in den weitaus meisten Fällen genügt, mit Papiermodellen und gedanklichen Simulationen zu arbeiten. Dabei dürfen der Gruppeneffekt und die schrittweise Erarbeitung der Szenarien nicht unterschätzt werden. Sie sind einer noch so detaillierten und komplizierten Computersimulation durch Experten und der Kenntnisnahme der Ergebnisse in Form von Endberichten vorzuziehen, da so kaum ein Gefühl und Verständnis für das Systemverhalten

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

102

entwickelt werden kann. Eine Weiterentwicklung der heutigen Programmpakete kann aber auch diese zu einem wertvollen Instrument für Problem für problemlöser werden.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

103

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

104

14 J. Sterman: Skeptic’s Guide to Computer Models

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

105

John D. Sterman, “ A Skeptic’s Guide to Computer Models”, 1998 Prof. Sterman is Director of the MIT System Dynamics Group and Professor of Management Science at the Sloan School of Management at M.I.T.

(see: http://www.clexchange.org/ftp/documents/system-dynamics/SD1998-02SkepticsGuideTMods.pdf)

Simulation

The Latin verb simulare means to imitate or mimic. The purpose of a simulation model is to mimic

the real system so that its behavior can be studied. The model is a laboratory replica of the real system, a microworld (Morecroft 1988). By creating a representation of the system in the laboratory,

a modeler can perform experiments that are impossible, unethical, or prohibitively expensive in the real world.

Simulations of physical systems are commonplace and range from wind tunnel tests of aircraft design to simulation of weather patterns and the depletion of oil reserves. Economists and social scientists also have used simulation to understand how energy prices affect the economy, how corporations mature, how cities evolve and respond to urban renewal policies, and how population growth interacts with food supply, resources, and the environment. There are many different simulation techniques, including stochastic modeling, system dynamics, discrete simulation, and role-playing games. Despite the differences among them, all simulation techniques share a common approach to modeling.

Optimization models are prescriptive, but simulation models are descriptive. A simulation model

does not calculate what should be done to reach a particular goal, but clarifies what would happen in

a given situation. The purpose of simulations may be foresight (predicting how systems might behave

in the future under assumed conditions) or policy design (designing new decision-making strategies or organizational structures and evaluating their effects on the behavior of the system).

In other words, simulation models are “what if” tools. Often such “what if” information is more important than knowledge of the optimal decision.

Every simulation model has two main components. First it must include a representation of the physical world relevant to the problem under study.

How much detail a model requires about the physical structure of the system will, of course, depend on the specific problem being addressed.

In addition to reflecting the physical structure of the system, a simulation model must portray the behavior of the actors in the system. In this context, behavior means the way in which people respond to different situations, how they make decisions. The behavioral component is put into the model in the form of decision-making rules, which are determined by direct observation of the actual decision-making procedures in the system.

Given the physical structure of the system and the decision-making rules, the simulation model then plays the role of the decision makers, mimicking their decisions. In the model, as in the real world, the nature and quality of the information available to decision makers will depend on the state of the system. The output of the model will be a description of expected decisions. The validity of the

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

106

model’s assumptions can be checked by comparing the output with the decisions made in the real system.

L imitations of Simulation

Any model is only as good as its assumptions. In the case of simulation models, the assumptions consist of the descriptions of the physical system and the decision rules. Adequately representing the physical system is usually not a problem; the physical environment can be portrayed with whatever detail and accuracy is needed for the model purpose. Also, simulation models can easily incorporate feedback effects, nonlinearities, and dynamics; they are not rigidly determined in their structure by mathematical limitations as optimization models often are. Indeed, one of the main uses of simulation is to identify how feedback, nonlinearity, and delays interact to produce troubling dynamics that persistently resist solution.

Simulation models do have their weak points, however. Most problems occur in the description of the decision rules, the quantification of soft variables, and the choice of the model boundary.

Accuracy of the Decision Rules

The description of the decision rules is one potential trouble spot in a simulation model. The model must accurately represent how the actors in the system make their decisions, even if their decision rules are less than optimal. The model should respond to change in the same way the real actors would. But it will do this only if the model’s assumptions faithfully describe the decision rules that are used under different circumstances. The model therefore must reflect the actual decision-making strategies used by the people in the system being modeled, including the limitations and errors of those strategies.

Unfortunately, discovering decision rules is often difficult. They cannot be determined from aggregate statistical data, but must be investigated first hand. Primary data on the behavior of the actors can be acquired through observation of actual decision making in the field, that is, in the boardroom, on the factory floor, along the sales route, in the household. The modeler must discover what information is available to each actor, examine the timeliness and accuracy of that information, and infer how it is processed to yield a decision. Modelers often require the skills of the anthropologist and the ethnographer. One can also learn about decision making through laboratory experiments in which managers operate simulated corporations. The best simulation modeling draws on extensive knowledge of decision making that has been developed in many disciplines, including psychology, sociology, and behavioral science.

Soft Variables.

The majority of data are soft variables. That is, most of what we know about the world is descriptive, qualitative, difficult to quantify, and has never been recorded. Such information is crucial for understanding and modeling complex systems. Yet in describing decision making, some modelers limit themselves to hard variables, ones that can be measured directly and can be expressed as numerical data. They may defend the rejection of soft variables as being more scientific than “making up” the values of parameters and relationships for which no numerical data are available. How, they ask, can the accuracy of estimates about soft variables be tested? How can statistical tests be performed without numerical data? Actually, there are no limitations on the inclusion of soft variables in models, and many simulation models do include them.

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

107

After all, the point of simulation models is to portray decision making as it really is, and soft variables—including intangibles such as desires, product quality, reputation, expectations, and optimism – are often of critical importance in decision making. Imagine, for example, trying to run a school, factory, or city solely on the basis of the available numerical data. Without qualitative knowledge about factors such as operating procedures, organizational structure, political subtleties, and individual motivations, the result would be chaos. Leaving such variables out of models just because of a lack of hard numerical data is certainly less “scientific” than including them and making reasonable estimates of their values. Ignoring a relationship implies that it has a value of zero— probably the only value known to be wrong!

Of course, all relationships and parameters in models, whether based on soft or hard variables, are imprecise and uncertain to some degree. Reasonable people may disagree as to the importance of different factors. Modelers must therefore perform sensitivity analysis to consider how their conclusions might change if other plausible assumptions were made. Sensitivity analysis should not be restricted to uncertainty in parameter values, but should also consider the sensitivity of conclusions to alternative structural assumptions and choices of model boundary.

Sensitivity analysis is no less a responsibility for those modelers who ignore soft variables. Apparently hard data such as economic and demographic statistics are often subject to large measurement errors, biases, distortions, and revisions. Unfortunately, sensitivity analysis is not performed or reported often enough. Many modelers have been embarrassed when third parties, attempting to replicate the results of a model, have found that reasonable alternative assumptions produce radically different conclusions.

Model Boundary.

The definition of a reasonable model boundary is another challenge for the builders of simulation models. Which factors will be exogenous, which will be endogenous? What feedbacks will be incorporated into the model? In theory, one of the great strengths of simulation models is the capacity to reflect the important feedback relationships that shape the behavior of the system and its response to policies. In practice, however, many simulation models have very narrow boundaries. They ignore factors outside the expertise of the model builder or the interests of the sponsor, and in doing so they exclude important feedbacks. The consequences of omitting feedback can be serious.

Example: Econometrics (for details read complete article, please.)

Friedmar Fischer; Simulation kritischer Infrastrukturen - Ein subjektiver Rundgang durch die Fachliteratur -

108