Escolar Documentos
Profissional Documentos
Cultura Documentos
kritischer Infrastrukturen
(SIMKRIT)
Februar 2010
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 1
Inhaltsverzeichnis
1 Vorwort 3
2 Einleitung 5
8 SCADA Definition 47
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 2
1 Vorwort
Aus der Projektskizze:
Kritische Infrastrukturen umfassen die Sektoren Energieversorgung, Versorgung mit Trinkwasser und
Nahrungsmitteln, Gefahrenstoffe, Behörden und Verwaltung, Telekommunikation und
Informationstechnik, Transport und Verkehrswesen, Finanz-, Geld- und Versicherungswesen und
Sonstiges wie Großforschungseinrichtungen, symbolträchtige Bauwerke, Kulturgut und Medien.
Kritische Infrastrukturen haben komplexe innere Abhängigkeiten und sind außerdem stark
miteinander vernetzt, was insbesondere beim Ausfall der Stromversorgung bei Großschadenslagen
deutlich wird. Entscheidungsträger sind daher in solchen Situationen nicht nur durch einen
generellen Mangel an Ressourcen und deren nur eingeschränkte Verfügbarkeit bzw.
Leistungsfähigkeit sondern auch durch ein unzureichendes Verständnis der Auswirkungen
angedachter Maßnahmen auf die komplexe Schadenslage eingeschränkt handlungsfähig.
Die Ziele des Projektes im Einzelnen umfassen u.a. die folgenden Punkte:
Welche Modellansätze und Modelle existieren zur Abbildung kritischer Infrastrukturen und deren
Vernetzung, die im Bereich der Bewältigung von Schadensereignissen aber auch bereits in der
Planungsphase eingesetzt werden können, und welche Anforderungen werden an sie gestellt.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 3
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 4
2 Einleitung
Aktuelle Naturkatastrophen, Terroranschläge der vergangenen Jahre (insbesondere der Anschlag auf
das WTC in New York am 09. September 2001) haben die Verwundbarkeit unserer hoch technisierten
Welt drastisch vor Augen geführt. Weltweit gibt es inzwischen zahlreiche Studien, Konferenzen zur
Erörterung von sogenannten „kritischen Infrastrukturen“ in den unterschiedlichsten Bereichen des
täglichen Lebens. Es gilt Schwachstellen herauszufinden, formale Lösungswege zur Sicherung der
Infrastrukturen zu finden und Entscheidungshilfen und –methodiken anzubieten. Die
vorangegangenen Auszüge aus der Projektskizze von SIMKRIT beschreiben Teilaspekte dieser immer
wiederkehrenden Aufgabenstellungen.
Losgelöst von aktuellen (realen) Erereignissen beschreibt Klaus Niemeyer (IABG) im August 2000 in
seiner Studie „Modell ausgewählter Branchen zur Simulation von kritischen
Störungen (Bericht NOA-TR-1, www.n-o-a.de):
„Menschen leben in einer komplexen, dynamischen Realität von natürlichen und sozialen
Systemen. Viele Systeme sind nicht im Gleichgewicht und der Zustand ändert sich kontinuierlich.
Um dieses zu verstehen, sich anzupassen und um die Realität zu kontrollieren sind Methoden zu
entwickeln und einzusetzen. Eine wichtige Methode ist die Beschreibung des Systems als formales
Modell und die Nutzung auf einem Rechner in Sinne eines Berechnungsexperimentes.
Die mentalen Modelle des menschlichen Gehirns der Entscheidungsträger sind nicht in der Lage,
die Komplexität, Variabilität und Vielfältigkeit der Prozesse der problematischen Systeme zu
erfassen. Mit Hilfe von Computern ist es jedoch möglich auf explizite und anschauliche Weise die
Zusammenhänge zu formulieren, zu programmieren und die Annahmen und Resultate an
Entscheidungsträger zu vermitteln und damit eine konstruktive Kritik zu bewirken.
Diese Statements können als roter Faden für einen ersten Rundgang durch die einschlägige
Fachliteratur dienen.
Zunächst einmal gibt es eine Vielzahl von ähnlich klingenden internationalen Definitionen des
Begriffs „Kritische Infrastrukturen“ (siehe Kapitel 3). Die George Mason University, School of Law,
Center for Infrastructure Protection, Arlington, VA(USA), hat eine Zusammenstellung in Form von
MindMaps gemacht. Die für Europa wesentlichen Teile daraus sind (als Text exportiert) dargestellt.
Der US-Report for Congress, RL 31556, 2003, „Critical Infrastructures: What makes an Infrastructure
Critical”, (siehe: http://www.fas.org/irp/crs/RL31556.pdf), beschreibt im Groben die wesentlichen
anfälligen Infrastrukturbereiche und wie sich Kriterien und Komponenten kritischer Infrastrukturen
im Laufe der Zeit verändern.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 5
zunächst – quasi als Meta-Ebene der Betrachtung - einen Abstecher in den Bereich der
Systemtheorie bzw. im Weiteren auch der Modelltheorie zu machen.
In einem Grundsatzartikel (siehe Kapitel 4) beleuchtet Prof. M. Schwaninger (Universität St. Gallen)
„das Systemdenken als ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches
Denken; es ist gleichzeitig analytisch und synthetisch orientiert. Für komplexe Aufgabenstellungen
spielt die getroffene Unterscheidung zwischen geschlossenen und offenen Systemen eine
wesentliche Rolle. Angesichts wachsender Komplexität und Dynamik unserer Welt stossen
herkömmliche Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer
Sachverhalte nicht adäquat Rechnung tragen, zunehmend an Grenzen. Zahlreich sind die Versuche,
systemisch-kybernetisch geprägte Method(ik)en für einen "ganzheitlichen" Umgang mit komplexen
Systemen anzubieten. Als ein wichtiges Beispiel dafür ist die am Massachusetts Institute of
Technology entwickelte(top-down) System-Dynamics-Methodik. Sie beruht auf einer heute weit
verbreiteten Technik für die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und
Rückkopplungen. Komplementär dazu sind eher (bottom-up) orientierte agenten-basierte
Simulationsmodelle.“
In Kapitel 6 werden einige Aspekte der Problematik voneinander abhängiger bzw. kaskadierender
Infrastrukturen angeschaut. P.Peterson et al. geben in Ihrem Artikel: “Critical Infrastructure
Interdependency Modeling: A Survey of U.S. and International Research”, Idaho National Laboratory,
Idaho Falls (USA) einige Hinweise auf die internationale Forschungsarbeit auf diesem Gebiet
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 6
Während Rinaldi et al. und Wolthusen für die Erörterung der Abhängigkeiten kritischer
Infrastrukturen einen theoretischen Modellzugang gewählt haben, gehen E. Luiijf et al. (TNO
Defence, The Hague, NL) einen anderen Weg. Eine Skizze dieses Weges findet man in Kapitel 9. Es
werden europäische Datensammlungen zu Störfallen bei kritischen Infrastrukturen ausgewertet. In
der Untersuchung werden die Störfallereignisse klassifiziert (auslösende, resultierende, oder
unabhängige Ereignisse). Es gibt dabei u.a. kaskadierende auslösende bzw. resultierende
Erereignisse. Aus der Vielzahl gesammelter empirische europäischer Daten läßt sich die Vermutung
einer „Domino-Theorie“ für kritische Infrastrukturen nicht bestätigen. Kaskadierende Ereignisse (-
bezogen auf unterschiedliche Sektoren des täglichen Lebens -) erwiesen sich als sehr asymmetrisch
und gebündelt. Der Schwerpunkt der kaskadierenden Effekte lag im Energie- und
Telekommunikationssektor. Ferner meinen die Autoren festgestellt zu haben, das weit weniger
Interdependenzen aus empirischen Untersuchungen belegbar waren als beim Design theoretischer
Modelle meist angenommen wird.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 7
von Parametern und Wirkungen. Verzögerungen verführen Menschen dazu Priorität den kurzfristigen
Ergebnissen zu geben und langfristige Auswirkungen zurückzustellen oder zu ignorieren und damit
möglicherweise erheblich schlechtere Gesamtresultate erzielen. Darüber hinaus gibt es
Rückkopplungen, d.h. reale Systeme sind durch Wirkungen gekennzeichnet, die auf verursachende
Parameter zurückwirken. Derartige Rückwirkungen können die Ursachen verstärken oder auch
dämpfen, damit wird ein System instabil oder stabil. Wenn Menschen versuchen, die
Rückkopplungen zu organisieren, sind Verstärkung oder Dämpfung richtig einzuschätzen um die
Systemstabilität zu gewährleisten. Letztlich gibt es in erheblichem Maße nicht-lineare Prozesse. Dies
führt zu unproportionalen Abhängigkeiten, die nicht oder nur unzureichend beurteilt werden
können. Derartige Charakteristika komplexer Systeme verdecken die Zusammenhänge zwischen
Ursache und Wirkung und führen zu schwerwiegenden Fehlentscheidungen. Erfolgreiche Lösungen
sind häufig entgegengesetzt zur menschlichen Intuition und schwer zu finden.
Zur visuellen Vorbereitung, Aufbereitung und Darstellung der dynamischen Prozesse („system
dynamics“) werden existierende Softwarekonzepte genutzt wie etwa: GAMMA („Concept
Mapping“, „holistic thinking“) von www.topsim.de und PowerSim von www.powersim.com.
In Kapitel 12 wird beschrieben, wie N. Schmitz (IABG, Ottobrunn) auf den Überlegungen seines
Kollegen K. Niemeyer aufbaut und ein ausgezeichnetes denkbares Vorgehensmodell für ein
Kontrollmodell zum Schutz kritischer Infrastrukturen im Bereich Energie vorgestellt. Dabei werden
zunächst häufige Fehler bei der Modellierung komplexer Systeme angesprochen. Er schreibt, die
methodische Herausforderung bestehe darin, methodische Unzulänglichkeiten (Fehler) zu vermeiden
und Antworten auf wichtige Fragen zu finden: Wie reagiert das System „Kritische Infrastrukturen“ auf
bestimmte Ereignisse? Wie robust und flexibel ist das System? Wie kann sein Systemverhalten
verbessert werden? Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt
werden? Was sind die kritischen und unkritischen Bereiche des Systems?
Die konkrete Umsetzung des gewählten Systembeispiels erfolgt mit den Software-Werkzeugen
GAMMA und TopSim.
In Kapitel 13 würdigen die Autoren P. Gomez und G. Probst die Methode des „holistic thinking“ und
gehen auch kurz auf die Software-Werkzeuge GAMMA und TopSim ein.
Zum Schluss werden in Kapitel 14 von J. Sterman in einem Überblicksaufsatz skeptische Blicke auf
Simulationen durch Computermodelle geworfen. Es werden Grenzen der Simulation aufgezeigt,
Fragen bzgl. der Genauigkeit von Entscheidungsregeln, der Berücksichtigung von sogenannten
„weichen (soften)“ Einflussgrößen gestellt, die Problematik der Festlegung von Modellgrenzen der
Simulation und der Feedbacks angerissen.
Es würde den Rahmen dieses ersten Rundgangs durch die Fachliteratur sprengen, detaillierter auf die
zahlreichen neueren Beiträge zu Detailaspekten der Modellierung und Simulation kritischer (auch
Informations-) Infrastrukturen einzugehen.
Dazu sei verwiesen auf die Konferenzberichte zu CRITIS 2008 und 2009 (CRITIS = Critical Information
Infrastructures Security) und auf das Projekt IRIIS (Integrated Risk Reduction for Information-based
Infrastructure Systems). Im Projekttext steht u.a.: Aufgabe und Ziel von IRRIIS ist es, eine neue
Simulationsumgebung aufzubauen. Das Tool SimCIP (Simulation of Critical Infrastructure Protection)
ist ein agentenbasiertes Simulationssystem, das ganz unterschiedliches Zeitverhalten und
Abhängigkeiten von kritischen Infrastrukturen simulieren kann. Um die erforderliche Präzision der
Simulation zu erzielen, gestattet SimCIP über Federated Simulation spezielle Simulatoren zu
integrieren, zum Beispiel für Energienetze oder Telekommunikationssysteme.
Für die Modellierung mittels des „system dynamics“ – Denkens und der „holististischen“
Herangehensweise gibt es weitere Produkte auf dem Markt (z.B. ithink!, Heraklit, VenSim, u.v.a.).
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 8
3 Definitionen kritischer Infrastrukturen
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 9
From: http://cip.gmu.edu/research/CriticalInfrastructureMapping.php
(reconstructed text from mindmapping charts)
International Definitions of Critical Infrastructure
"Critical infrastructure are those assets, facilities, networks and services which, if disrupted or
destroyed, would have a serious impact on the health, safety, security, economic well being or
effective functioning of a country."
Source: Backgrounder: NATO’s Role in Civil Emergency Planning, NATO Public Diplomacy Division,
September 2006, p. 9. Available at: http://www.nato.int/docu/cep/cep-e.pdf (last accessed May 17, 2007).
"The Asian Development Bank (ADB) uses the definition of infrastructure developed by the
Task Team on Infrastructure for Poverty Reduction, which distinguishes 'social infrastructure'
(such as health, education, and culture) from 'economic infrastructure' (such as transport,
energy, information and communication technology, and irrigation, drinking water, and
sanitation)."
Source: Regional Cooperation on Disaster Management and Preparedness, Central Asia Regional Economic
Cooperation, August 28-29, 2006, p. 4. Available at:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN025915.pdf (last accessed May 17,
2007).
United States
Critical infrastructure: "Assets, systems, and networks, whether physical or virtual, so vital
to the United States that the incapacity or destruction of such assets, systems, or networks
would have a debilitating impact on security, national economic security, public health or
safety, or any combination of those matters."
Source: National Infrastructure Protection Plan (NIPP), U.S. Department of Homeland Security, June 2006, p.
103. (Aktuelles Dokument nun in: http://www.dhs.gov/files/programs/editorial_0827.shtm)
"As defined in the Homeland Security Act, 'key resources' are publicly or privately controlled
resources essential to the minimal operations of the economy and government."
"The term Large Complex Critical Infrastructure (LCCI) defines a distributed network of
independent, mostly privately-owned, man-made systems and processes working
collaboratively and synergistically to produce and distribute a continuous flow of essential
goods and services.
An LCCI is an infrastructure (such as an electric grid, a telecommunications network or a
railway/air/road transportation network) whose destruction or degradation can entail severe
consequences to public health, safety, security, or the economy."
Source: Deliverable D7.5: Final Report (2-PR): Analysis and Assessment for Critical Infrastructure Protection
(ACIP), Information Society Technologies, June 5, 2003, p. 36. Available at:
http://www.iabg.de/acip/doc/wp7/D75_final_progress_report_public.pdf (last accessed May 17, 2007).
Germany
"Critical infrastructures (CI) are organisations and facilities of major importance to the
community whose failure or impairment would cause a sustained shortage of supplies,
significant disruptions to public order or other dramatic consequences."
Source: "Critical Infrastructure Protection for Disaster Reduction," Presentation by Susanne Lenz, Federal Office
of Civil Protection and Disaster Assistance, Centre for Critical Infrastructure Protection, August 29, 2006.
Available at: http://www.davos2006.ch/Presentations/Lenz_S_Pres.pdf (last accessed May 17, 2007).
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 11
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 12
4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 13
Prof. Dr. Markus Schwaninger, Universität St. Gallen, „Systemtheorie“, Diskussionsbeitrag No, 19,
Dezember 2004
(siehe den kompletten Beitrag:
http://www.ifb.unisg.ch/org/ifb/ifbweb.nsf/SysWebRessources/beitrag+19/$FILE/DB_19.pdf)
Aus der Systemtheorie leiten sich verschiedene Systemmethodiken ab. Diesen liegt eine auf den
Erkenntnissen der allgemeinen Systemtheorie basierende Denkweise zugrunde, die als
Systemdenken bezeichnet wird. Zu diesen Erkenntnissen zählen etwa:
1. Das Ganze und die Teile: Das Ganze ist nicht gleich der Summe der Teile.
3. Das System und seine Umwelt:Offene Systeme sind jeweils mit ihrer Umwelt ernetzt und
tauschen mit dieser Materie, Energie und Information aus.
4. Komplexität: Das Verhalten komplexer Systeme lässt sich nicht im einzelnen vorhersehen,
aber beeinflussen.
Daraus ergeben sich 6 Stufen von einfach und determiniert bis äusserst komplex und stochastisch.
Den verschiedenen Systemtypen können jeweils geeignete Lenkungsty pen resp. Systemmethodiken
zugeordnet werden.
Die mathematische Systemtheorie unterscheidet nach der Art der Transformation von
zeitabhängigen Eingangsgrössen u(t) in Ausgangsgrössen y(t) folgende Merkmalsausprägungen:
linear, nichtlinear
zeitinvariant, zeitvariabel
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 14
statisch, dynamisch
deterministisch, stochastisch
Den Gegenstand z.B. betriebswirtschaftlicher Fragen bilden Systeme der Kategorien komplex und
stochastisch (z. B. Lagerhaltung) sowie äusserst komplex und stochastisch (z. B.
Unternehmungsführung).
Boulding, K. (1956) klassifiziert Systeme anhand von 9 Stufen, die von 1. statischen Strukturen
("Fachwerken"), 2. Uhrwerken, 4. Zellen über 7. Menschen bis 8. soziale Organisationen und 9.
transzendente Systeme reichen.
Soziale Systeme unterscheiden sich von den Systemen der vorgelagerten Stufen vor allem insofern,
als ihre Subsysteme (z. B. Gruppen) und Elementen (Individuen) sich an eigenen Werten und Zielen
orientieren.
….
Gegenstand der allgemeinen Systemtheorie ist die Abbildung von Systemen unterschiedlichster
Inhalte mit demselben formalen Apparat. Geschah dies ursprünglich weitgehend verbal und unter
Rückgriff auf Analogien wurden später zunehmend mathematische Strukturgleichheiten
(Homomorphien) zwischen Systemstrukturen und -prozessen identifiziert. Dabei liegt der didaktisch-
lernökonomische Nutzen der Systemtheorie darin, dass vielfältige Einzelrscheinungen als Ausprägung
weniger theoretischer Grundkonzepte erklärt und durchschaut werden können.
Die mathematische Systemtheorie hat vielfältige Verfahren zur Beschreibung, Analyse und
Optimierung komplexer Systeme hervorgebracht. Dazu einige Beispiele, ohne Anspruch auf
Vollständigkeit oder perfekte Systematik:
- Lineare Systeme
- Nichtlineare Systeme
- Adaptive Systeme
- Dynamische Systeme
- Hierarchische Systeme
- Interagierende systeme
Die neueren Methoden der mathematischen Modellierung offener Systeme ermöglichen es,
komplexe organisationale Phänomene als notwendige Folgen nichtlinearer Wechselwirkungen zu
erklären. Entsprechende Anwendungen sind insbesondere aus Chemie und Biologie bekannt.
Diese Methoden sind im Prinzip nicht nur auf technisch-naturwissenschaftliche, sondern auch auf
soziale und ökologische Systeme übertragbar. Dort tritt allerdings, angesichts der hohen Komplexität
der betrachteten Phänomene, anders als in den Naturwissenschaften, gegenüber der
mathematischen Analyse und der Lösung von Gleichungssystemen die Simulation, oft in Verbindung
mit der Optimierung, in den Vordergrund. Als besonders vielseitig anwendbar ist die System-
Dynamics-Methodik hervorzuheben.
…
Angesichts wachsender Komplexität und Dynamik unserer Welt stossen herkömmliche
Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer Sachverhalte nicht
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 15
adäquat Rechnung tragen, zunehmend an Grenzen. Optimierungsmodelle mit zu eng gesetzten
Systemgrenzen beispielsweise generieren oft Lösungen, die nur kurzfristig attraktiv, langfristig aber
kontraproduktiv sind, etwa wenn die ökologische Dimension von ökonomischen Sachverhalten
künstlich abgetrennt wird.
Zahlreich sind die Versuche, systemisch-kybernetisch geprägte Method(ik)en für einen
"ganzheitlichen" Umgang mit komplexen Systemen anzubieten, dessen philosophische Basis ein
"systemisches Weltbild" bildet. Grob vereinfachend kann zwischen positivistisch, objektivistisch,
rationalistisch geprägten Ansätzen einerseits und hermeneutisch, interpretativ, subjektivistisch
geprägten Ansätzen andererseits unterschieden werden. Erstere basieren auf sachlogischen und
quantitativen Analysen, letztere auf qualitativen - sozio logisch, kulturell, politisch und
handlungsorientierten - Betrachtungsweisen. Die folgende Gegenüberstellung muss vereinfachen,
weshalb die Gegensätze zwischen den einzelnen Schulen grösser erscheinen mögen, als sie dies
heute noch sind. Beispielsweise hat die ursprünglich streng positivistisch .geprägte System-Dynamics-
Schule über die Zeit auch zunehmend sozio-logische und hermeneutische Aspekte in ihre
Methodiken integriert.
Postiivistische geprägte Methodiken: Beispiele aus Modellierung und Simulation
Zunächst die von Jay W. Forrester am Massachusetts Institute of Technology
entwickelte System-Dynamics-Methodik. Sie beruht auf einer heute weit verbreiteten Technik für
die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und Rückkopplungen. Diese geht
davon aus, dass das Verhalten eines komplexen Systems weitgehend durch dessen Struktur
bestimmt ist. Kernelement der Methodik ist eine Darstellung des gegenständlichen Systems mit Hilfe
eines Flussdiagrammes, das zwischen Bestandesgrössen ("stock variables", "levels"), Flussgrössen
("flow variables", "rates"), Hilfsgrössen und Parametern (im Sinne von charakteristischen Grössen, -
meist Konstanten) unterscheidet. Weiter werden die im Diagramm dargestellten Beziehungen mittels
quantitativer Funktionen (Gleichungen, Input-Outputtabellen) in ein formales Simulationsmodell
übergeführt. Mit Hilfe der visuellen Abbildung und der Simulationen lassen sich wertvolle Einsichten
in das Systemverhalten gewinnen. Mittlerweile ist eine Reihe von "System-Archetypen", -
generischen Strukturen - formalisiert worden, die sich in vielfältigen Systemen immer wieder
feststellen lassen.
Die Anwendungsgebiete von System Dynamics sind äusserst vielfältig. Sie reichen im
sozioökonomischen und ökologischen Bereich von globalen Modellen zu Modellen von
Volkswirtschaften, regionalen Systemen, Organisationen und Teilaspekten der Unternehmungs-
führung.
Seit einigen Jahren verfügbare, leicht handzuhabende und leistungsfähige Software (z.B.: Dynamo,
PowerSim, Stella, Vensim) erleichtert die Erstellung von System Dynamics-Modellen erheblich und
erlaubt teilweise auch die Optimierung von Modellparametern.
Komplementär zu System Dynamics, das eher eine top-down-Betrachtung - den Blick auf Struk-
turen und Verhaltensmuster auf hochaggregierter Ebene - anstellt, sind auch die agentenbasierten
Simulationsmodelle von grosser Bedeutung. Sie weisen eine bottom-up-Orientierung auf, und zwar
in dem Sinne dass das Verhalten der einzelnen Agenten auf Mikroebene in seiner Gesamtheit
Verhaltensmus ter auf Makroebene erzeugt. Zwischen diesen beiden Welten - System Dynamics
und agentenbasierter Simulation werden langsam Brücken gebaut.
Hermeneutisch geprägte Methodiken: Beispiel Soft Systems Methodology
Checklands Soft Systems Methodology wurde für den Umgang mit schlecht definierten,
"weichen" Problemsituationen entwickelt. Sie versteht sich als eine firmere Leitlinie für das Handeln,
als dies eine Philosophie sein könnte, nicht aber als eine präzise Technik der Modellierung. Sie bietet
ein heuristisches Vorge henskonzept, in dem zwischen Aktionen in der realen Welt und Schritten des
System denkens auf der formal-konzeptionellen Ebene unterschieden wird. Dabei wird eine
Verwendung quantitativer Methoden oder Methodiken der Modellierung in bestimmten Phasen
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 16
keineswegs ausgeschlossen. Besonderes Gewicht liegt auf einer Berück sichtigung multipler Perspek-
tiven in der Definition und Abgrenzung der Problemdefinition.
Integrative Systemmethodiken
In jüngster Zeit wächst die Einsicht, dass wirksame Problemlösungen in Management-Kontexten auf
einer Synthese beider Arten von Methodiken basieren. Damit sowohl den sachlogischen, als auch
den sozio-logischen Aspekten der zu bewältigenden Probleme adäquat Rechnung getragen wird, sind
für Anwendungen auf dem Gebiet des Managements Methodiken entwickelt worden, die Aspekte
beider genannten Ansätze verknüpfen. Zu diesen zählen das Sensitivitätsmodell (Vester) und die
Methodik des Vernetzten Denkens (Gomez, P./Probst, G.), Methodenpakete, die jeweils
qualitative und grobe quantitative Verfahren kombinieren. Zur Unterstützung dieser Methodiken
liegen die Softwarepakete 'Sensitivitäts modell', 'GAMMA' und 'Heraklit' vor.
Einen Überblick zum Prozess vermittelt Abbildung 3. Im ersten Teil der Abbildung (3/1) wird die dem
Problemlösungsprozess zugrundlegende Sequenz von Schritten gezeigt. Die Unterscheidung von
Inhalts- und Kontextebene gilt für den gesamten Prozess, der auf beiden Ebenen geführt
werden muss. Im zweiten Teil (3/2) wird eine etwas detailliertere Sequenz von Schritten
dargestellt, die jeweils für beide Ebenen gelten. Im Zentrum steht der Aspekt der Validierung. Dies ist
die stete Bemühung um bessere Modelle und Strategien. Zu diesem Zweck sind besondere
Methoden und Techniken entwickelt worden.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 17
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 18
5 Modelltheorie (Prof. Wolthusen, Univ. Bochum)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 19
Aus:
http://www.crypto.rub.de/imperia/md/content/lectures/kritis/wolthusen/28012006/segment2.pdf
2) Verkürzungsmerkmal: Modelle erfassen im Allgemeinen nicht alle Attribute des durch sie
repräsentierten Originals, sondern nur solche, diejeweils relevant erscheinen.
3) pragmatisches Merkmal: Modelle sind ihrem Original nicht unbedingt eindeutig zugeordnet:
Sie erfüllen eine Ersetzungsfunktion für bestimmte Subjekte, innerhalb eines bestimmten
Zeitintervalls und unter Einschränkungen auf bestimmte gedankliche oder tatsächliche
Operationen.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 20
Das System und seine Bestandteile
Ein System S ist ein Quadrupel, das aus
(1) Attribute: Die äußeren Merkmale und Eigenschaften eines Systems bilden die Menge seiner
Attribute. Diese wird in disjunkteTeilmengen (zum Beispiel Input, Output) unterteilt. Ein Attribut hat
mindestens eine Ausprägung (zum Beispiel Wert). Ein Attribut isteine nicht-leere Menge von
Eigenschaftsausprägungen.
(2) Funktion: Die Beziehungen zwischen den Attributen eines Systems bilden die Menge der
Funktionen. Eine Funktion wird als n-Tupelaufgefaßt, bei dem jede Stelle durch das Element eines
Attributs besetzt ist. Eine Funktion ist eine Teilmenge des kartesischen Produkts zwischen Attributen.
(3) Subsysteme: Die inneren Bestandteile eines Systems bilden die Menge der Subsysteme. Jedes
Subsystem kann selbst als System aufgefaßt werden; es besitzt daher auch eine eigene Menge von
Attributen. Systemumgebung: Ausgehend von einer Grundmenge, die die Menge aller
Subsystemeenthält, erhält man die Umgebung, wenn man die Differenzmenge zwischen der
Grundmenge und der Menge aller Subsysteme bildet.
(4) Relationen: Die Beziehungen zwischen den Attributen verschiedener Subsysteme bilden die
Menge der Relationen. Eine k-stelligeRelation ist eine Teilmenge des kartesischen Produkts zwischen
k Attributen von k Subsystemen.
Modellierung
abstrakt: formale Beschreibung, typischerweise (aber nicht nur) mit dem Methodenapparat
der Mathematik
daraus Kärtchentableau
Anwendungsbeispiele (1)
Wo wird modelliert und simuliert?
Anwendungsbeispiele (2)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 23
Wo wird überall modelliert und simuliert?
Codierungstheorie: Informationsmodell
der Wirkungsgrad eines Katalysators oder die der die detaillierten Reaktionsvorgänge in
ihm?
der Durchsatz durch ein Rechnernetz oder die mittlere Durchlaufzeit eines Pakets?
Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr Einfluss(quantitativ)?
optimale Flugbahn des SpaceShuttle: Gravitation des Mondes, des Pluto, des Hörsaals?
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 24
In welchem Beziehungsgeflecht stehen die als wichtig
identifizierten Größen miteinander?
Beschreibungsmittel (2)
Instrumentarien zur Beschreibung von Beziehungen
Automaten, Zustandsübergangsdiagramme
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 25
-Modellierung von Warteschlangen (Zustände: verschiedene Füllgrade; Übergänge: Ankunft
bzw. Bearbeitungsende)
Graphen
Beschreibungsmittel (3)
Wahrscheinlichkeitsverteilungen
FuzzyLogic
neuronale Netze
algebraische Strukturen :
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 26
Simulationsaufgabe
Welche Gestalt hat die resultierende Aufgabenstellung?
löse Existenzaufgabe
-Gibt es überhaupt Lösung (Hamiltonschen Weg im Graphen)?
allerdings: die meisten Probleme sind‘s nicht (John, Tikhonov), sondern unsachgemäß gestellt (ill-
posed)
Implementierungsaufwand
-Verfügbarkeit von (ggfs. zu erweiternder) Software etc.
Empfindlichkeit
-Bei schlecht gestelltem Problem können kleinste Trübungen der Eingabe das Ergebnis
komplett verfälschen (vgl. Chaos, “Schmetterlingsflügel”)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 28
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 29
Bewertung von Modellen (1)
Validierung: „Stimmt das Modell?”
a-posteriori-Beobachtungen
-Realitäts-Test (Wetter, Börse, militärische Szenarien)
-Zufriedenheits-Test (Verkehrssteuerung, Beleuchtungsmodelle in der Computergraphik)
Plausibilitäts-Test
-Test der Simulationsergebnisse auf Konsistenz mit bestehenden Theorien (Astrophysik,
Quantenphysik)
Modellvergleich
-Vergleich der Ergebnisse zu auf unterschiedlichen Modellen basierenden Simulationen
(bei Messdaten auf 3 Stellen genau als Eingabe kann kein Resultat auf 8 Stellen genau
erwartet werden!)
-Beispiel Bundestagswahl
-Frage: welche Regierung?
-Modell erlaubt Wahlprognose mit +/-2% Genauigkeit
-Koalitionsaussagen: Rot-Grün und Gelb-Schwarz
-Simulation liefert: FDP 4%, Grüne 6%, Union 45%, SPD 45%
-keine Aussage möglich!
-Somit taugt das verwendete Modell im Grunde genommen nicht für unsere Fragestellung!
wiederum kein zwingender Bezug zwischen dem zu modellierenden Phänomen und dem
Instrumentarium:
Beispiel 1: Würfeln
Beispiel 2: Crash-Test
-deterministisches Phänomen
-üblicherweise deterministisches Modell
Beispiel 3: Wettervorhersage
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 31
Unternehmensmodellierung: Klassifikationsmerkmale
Betrachtungsgegenstand
Detaillierung (Granularität)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 32
Modellcharakter: Vorbild (Soll) vs. Nachbild (Ist)
Unternehmensmodellierung: Sichten
Daten
Funktionen/Prozesse
Organisationseinheiten/Ressourcen
-Personen
–Stellen (Rollen in der Organisation)
–technische Einheiten
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 33
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 34
6 P. Pederson: CI – Interdependency Modeling: A Survey
(Idaho National Laboratory)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 35
P. Pederson et al: Critical Infrastructure Interdependency Modeling:
A Survey of U.S. and International Research
(see: http://www.inl.gov/technicalpublications/Documents/3489532.pdf)
INTRODUCTION
“The Nation’s health, wealth, and security rely on the production and distribution of certain goods
and services. The array of physical assets, processes, and organizations across which these goods and
services move are called critical infrastructures.”2 This statement is as true in the U.S. as in any
country in the world. Recent world events such as the 9-11 terrorist attacks, London bombings, and
gulf coast hurricanes have highlighted the importance of stable electric, gas and oil, water,
transportation, banking and finance, and control and communication infrastructure systems.
Be it through direct connectivity, policies and procedures, or geospatial proximity, most critical
infrastructure systems interact. These interactions often create complex relationships, dependencies,
and interdependencies that cross infrastructure boundaries. The modeling and analysis of
interdependencies between critical infrastructure elements is a relatively new and very important
field of study.
Much effort is currently being spent to develop models that accurately simulate critical infrastructure
behavior and identify interdependencies and vulnerabilities. The results of these simulations are
used by private companies, government agencies, military, and communities to plan for expansion,
reduce costs, enhance redundancy, improve traffic flow, and to prepare for and respond to
emergencies.
Modelers have developed various innovative modeling approaches including agent based modeling,
effects-based operations (EBO) models, input-output models, models based on game theory,
mathematical models, and models based on risk. These have been applied to infrastructure of
shipboard systems, University campuses, large power grids, and waterways to name a few. Modeling
is complicated by the quality and availability of data, intricacy of systems, sectors, and implications
and sensitivity of results. This survey identifies and catalogs much of the state-of-the-art research
being conducted in the area of infrastructure interdependency modeling and analysis.
The U.S. Technical Support Working Group (TSWG) is the sponsor for this effort.3 TSWG is a national
forum to identify, prioritize, and coordinate interagency and international research and development
(R&D) requirements for combating terrorism. The aim of TSWG is to support rapidly developed
technologies and product development to provide tools for combating terrorism. It supports multiple
U.S. government agencies as well as major allies.
The main objective of this study is to develop a single source reference of critical infrastructure
interdependency modeling tools (CIIMT) that could be applied to allow users to objectively assess the
capabilities of CIIMT. This information will provide guidance for directing R&D to address the gaps in
development. The results will inform the R&D efforts of the TSWG Infrastructure Protection
Subgroup of R&D efforts and allow a more focused approach to addressing the needs of CIIMT end-
user needs.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 36
Background
The study and analysis of infrastructure interdependencies is relatively new. The interdependencies
between critical infrastructures received little attention in the early 1990s. However, in the mid
1990s events such as the Oklahoma City bombing in 1995 and the report from the Defense Science
Board Task Force on Information Warfare in 1996, and the increased reliance on information and
computerized control systems brought the increasing importance of infrastructure
interdependencies into focus. Also in 1996, President Clinton established the President’s Commission
on Critical Infrastructure Protection (PCCIP). …….
INFRASTRUCTURE
INTERDEPENDENCIES
“One of the most frequently identified shortfalls in knowledge related to enhancing critical
infrastructure protection capabilities is the incomplete understanding of interdependencies between
infrastructures. Because these interdependencies are complex, modeling efforts are commonly seen
as a first step to answering persistent questions about the “real” vulnerability of infrastructures.”
The importance of “What are infrastructure inter-dependencies, and how are they modeled?” is
addressed in this section. References to interdependent relationships in this paper are actually
referring to as dependent relationships or influences between infrastructures. The following Figure
illustrates common representations of infrastructure based on the scenario of a flooding event and
the subsequent response. Parallels to this scenario with the events in New Orleans during Hurricane
Katrina can easily be drawn. Within the figure, individual infrastructure networks are represented on
a single plane. The parallel lines represent individual sectors or subsets within that particular
infrastructure. The spheres or nodes represent key infrastructure components within that sector
from the events in New Orleans The energy sector infrastructure, for example, during Hurricane
Katrina contains the sectors of electrical generation and distribution, natural gas production and
distribution, etc. Ties and dependencies exist within each infrastructure and between the different
sectors. The solid lines in the Figure, crossing sectors and connecting nodes, represent internal
dependencies, while the dashed lines represent dependencies that also exist between different
infrastructures (infrastructure interdependencies).
The example in the Figure is a simple attempt to portray the complexity of dependencies that may
exist between components. In chaotic environments such as emergency response to catastrophic
events, decision makers should understand the dynamics underlying the infrastructures. Failure to
understand those dynamics will result in ineffective response and poor coordination between
decision makers and agencies responsible for rescue, recovery, and restoration. It could also cause
the mismanagement of resources, including supplies, rescue personnel, and security teams. At best,
emergency responders will lose public trust, at worst, human life.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 37
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 38
Sample dependency matrix (from:
http://www.inl.gov/technicalpublications/Documents/3489532.pdf)
Pederson et al: Critical Infrastructures Interdependency Modeling: A Survey of. U.S. and International
Research
Again, while the dependencies within an individual infrastructure network are often well understood,
the region of interest in interdependency and effects modeling is the influence or impact that one
infrastructure can impart upon another. Therefore, the key effects to model and gain understanding
of are the chains of influence that cross multiple sectors and induce potentially unforeseen n-ary
effects. These chains, potentially composed of multiple interdependency types, compose the paths
or arcs between infrastructure components or nodes denoted as {(a,b), (b,c), (c,d), ...(y,z)}. This
particular path represents the cascading consequence of an event or the derived dependency of
node z on node a, further denoted (aDz). Likewise the genesis of the chain may not be singular in
that the end effect is the influence of multiple nodes, denoted by (abc..Dz). These paths may not be
unique in terms of effect, they may change over time, and their behavior may be cumulative in
nature, i.e., the end effect may be the culmination of multiple predicated events. The intertwining of
networks in this fashion represents a complex system where emergent behaviors are rarely fully
understood. Rinaldi, Peerenboom and Kelly (see Reference 13) provide a nice visual representation
of this intertwining and the potential cascading effects. This is shown in the following figure.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 39
Figure: Cascading consequence example
In the Pederson document a survey of existing CI interdependence modeling and simulation tools
around the world are presented.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 40
7 S. Rinaldi: Modeling and Simulating CI
(and their Interdependencies)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 41
From Steven Rinaldi: Modeling and Simulating Critical Infrastructures and Their Interdependencies
(Proceedings of the 37th Hawaii International Conference on System Sciences – 2004)
See: http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=01265180
……….
Models and simulations of individual infrastructures are rather well developed today – numerous
products are available commercially that enable infrastructure owners to develop, operate, and
manage their systems. However, M&S of multiple, interdependent infrastructures are immature by
comparison. A number of different approaches to interdependent infrastructure M&S have emerged
that address various factors listed in Table 1. This section provides a high-level description of several
of these techniques.
We group interdependency models into six broad categories. These categories range from highly
aggregated tools to very detailed, high resolution and fidelity models. We are currently developing
detailed interdependencies models and simulations in the first three classes described below at
Sandia National Laboratories.
Aggregate Supply and Demand Tools. This category of tools evaluates the total demand for
infrastructure services in a region and the ability to supply those services. Multiple
infrastructures can be linked by their demand for commodities or services provided by other
infrastructures, and the ability of those infrastructures to satisfy demands. The ability of an
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 42
infrastructure to meet its instantaneous or forecast demands can provide an indication of its
health or early warning of potential problems (e.g., the inability to meet demand in multiple
infrastructures). We have developed a prototype model that links the electrical grid, oil and
natural gas systems, wireline telecommunications, and inland waterways in the Pacific
Northwest. The prototype includes the ability to perform “what-if” analyses, so that the
consequences and cascading effects of the loss of additional infrastructure assets can be
determined in terms of aggregate supply and demand.
Dynamic Simulations. We are employing dynamic simulations to examine infrastructures
operations, the effects of disruptions, and the associated downstream consequences.The
generation, distribution, and consumption of infrastructure commodities and services can be
viewed as flows and accumulations in the context of dynamic simulation. Interdependencies
among infrastructures are readily incorporated into system dynamics models as flows of
infrastructure commodities among multiple infrastructures. Moreover, dynamic simulations
can examine the effects of policies, regulations, and laws upon infrastructure operations. We
have developed detailed dynamic simulations of multiple, linked infrastructures, including
energy (electricity, oil, natural gas), communications, transportation (waterways, highways,
rail), emergency services, banking and finance, agriculture, water, shipping, and markets. We
have constructed system dynamics models of infrastructures in California and the Pacific
Northwest for analyses of the Northridge earthquake, the California energy crisis, and the
impacts of security policies in the ports of Seattle and Portland.
Agent-Based Models. Agent-based models have been used in a wide spectrum of
interdependency and infrastructure analyses. Physical components of infrastructures can be
readily modeled as agents, allowing analyses of the operational characteristics and physical
states of infrastructures. Agents can also model decision and policy makers involved with
infrastructure operations, markets, and consumers (such as firms and households). We have
developed agent-based models of supply chains (manufacturers, distributors, households,
labor sectors), telecommunications (wireline, wireless, satellite), electric power,
transportation, banking, and governmental policies. Using these models, we have examined
the consequences of the losses of infrastructure services upon manufacturing supply chains.
These microeconomic analyses have enabled us to examine how infrastructure disruptions
affect firms, their relative ability to compete during disruptions, and the effects of
infrastructure-related policies on the ability of firms to survive disruptions.
Physics-Based Models. Physical aspects of infrastructures can be analyzed with standard
engineering techniques. For example, power flow and stability analyses can be performed on
electric power grids, and hydraulic analyses can be used with pipeline systems. These models
can provide highly detailed information, down to the individual component level, on the
operational state of the infrastructures. These techniques have been applied to
interdependent energy infrastructures, examining issues such as outage areas associated
with single and multiple contingencies.
Population Mobility Models. This class of model examines the movement of entities through
urban regions. Entities interact with one another, generating and consuming infrastructure
commodities in the process. For example, the entities may be people following their daily
routines in a city. By generating and simulating these routines, a population mobility model
can determine the use of multimodal transportation assets and assist with urban
transportation or evacuation planning. An important characteristic of these models is that
they develop detailed insights into social networks, which can be critical for certain types of
studies such as epidemiology. Population mobility models have been used for extremely high
resolution and fidelity urban interdependencies studies of multimodal transportation,
electrical power girds (including electrical markets), wireless telecommunications, and
epidemiology.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 43
Leontief Input-Output Models. Leontief’s model of economic flows can be applied to
infrastructure studies. The basic model provides a linear, aggregated, time-independent
analysis of the generation, flow, and consumption of various commodities among
infrastructure sectors. This model has been extended to include nonlinearities and time
dependencies, and applied to examining the spreading of risk among interdependent
infrastructures.
Future Challenges
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 44
fact which must be taken into account in any comparisons to historical data more than a few years
old.
Similarly, models and simulations must keep abreast of changes in infrastructure technology. Models
that accurately reflect the state of technology today could be outdated in a few years. This problem
may be particularly challenging for cyber interdependencies, given the explosive growth in
information technology.
Finally, metrics that accurately represent the state of infrastructures present another major
challenge. There are no satisfactory metrics today that would enable:
comparisons of mitigation, response, recovery, reconstitution, and restoration strategies;
comparisons of the “criticality” of nodes and links;
determination of appropriate investment strategies to increase security; and
evaluation of the relative effectiveness of security measures and policies.
Development of a comprehensive and widely accepted set of metrics should be a component of the
national critical infrastructure protection program.
From: Rinaldi, Peerenboom, Kelly: “Critical Infrastructure Interdependencies”, IEEE Control Systems,
Dec 2001, p. 11-25
(see: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=969131&isnumber=20901)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 45
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 46
8 SCADA Definition
(Supervisory Control and Data Aquisition)
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 47
Supervisory Control and Data Acquisition
SCADA is an acronym that stands for Supervisory Control and Data Acquisition. SCADA refers to a
system that collects data from various sensors at a factory, plant or in other remote locations and
then sends this data to a central computer which then manages and controls the data.
SCADA is a term that is used broadly to portray control and management solutions in a wide range of
industries. Some of the industries where SCADA is used are Water Management Systems, Electric
Power, Traffic Signals, Mass Transit Systems, Environmental Control Systems, and Manufacturing
Systems.
SCADA as a System
There are many parts of a working SCADA system. A SCADA system usually includes signal hardware
(input and output), controllers, networks, user interface (HMI), communications equipment and
software. All together, the term SCADA refers to the entire central system. The central system usually
monitors data from various sensors that are either in close proximity or off site (sometimes miles
away).
For the most part, the brains of a SCADA system are performed by the Remote Terminal Units
(sometimes referred to as the RTU). The Remote Terminal Units consists of a programmable logic
converter. The RTU are usually set to specific requirements, however, most RTU allow human
intervention, for instance, in a factory setting, the RTU might control the setting of a conveyer belt,
and the speed can be changed or overridden at any time by human intervention. In addition, any
changes or errors are usually automatically logged for and/or displayed. Most often, a SCADA system
will monitor and make slight changes to function optimally; SCADA systems are considered closed
loop systems and run with relatively little human intervention.
One of key processes of SCADA is the ability to monitor an entire system in real time. This is
facilitated by data acquisitions including meter reading, checking statuses of sensors, etc that are
communicated at regular intervals depending on the system. Besides the data being used by the RTU,
it is also displayed to a human that is able to interface with the system to override settings or make
changes when necessary.
SCADA can be seen as a system with many data elements called points. Usually each point is a
monitor or sensor. Usually points can be either hard or soft. A hard data point can be an actual
monitor; a soft point can be seen as an application or software calculation. Data elements from hard
and soft points are usually always recorded and logged to create a time stamp or history
A SCADA system includes a user interface, usually called Human Machine Interface (HMI). The HMI
of a SCADA system is where data is processed and presented to be viewed and monitored by a
human operator. This interface usually includes controls where the individual can interface with the
SCADA system.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 48
HMI's are an easy way to standardize the facilitation of monitoring multiple RTU's or PLC's
(programmable logic controllers). Usually RTU's or PLC's will run a pre programmed process, but
monitoring each of them individually can be difficult, usually because they are spread out over the
system. Because RTU's and PLC's historically had no standardized method to display or present data
to an operator, the SCADA system communicates with PLC's throughout the system network and
processes information that is easily disseminated by the HMI.
HMI's can also be linked to a database, which can use data gathered from PLC's or RTU's to provide
graphs on trends, logistic info, schematics for a specific sensor or machine or even make
troubleshooting guides accessible. In the last decade, practically all SCADA systems include an
integrated HMI and PLC device making it extremely easy to run and monitor a SCADA system.
SCADA systems are an extremely advantageous way to run and monitor processes. They are great for
small aplications such as climate control or can be effectively used in large applications such as
monitoring and controlling a nuclear power plant or mass transit system.
SCADA can come in open and non proprietary protocols. Smaller systems are extremely affordable
and can either be purchased as a complete system or can be mixed and matched with specific
components. Large systems can also be created with off the shelf components. SCADA system
software can also be easily configured for almost any application, removing the need for custom
made or intensive software development.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 49
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 50
9 E. Luiijf et al: Empirical Findings on CI Dependencies
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 51
Empirical findings on Critical Infrastructure Dependencies in Europe
Eric Luiijf, Albert Nieuwenhuijs, Marieke Klaver, Michel van Eeten and Edite Cruz
Critical Information Infrastructure Security: Third International Workshop, CRITIS 2008, Rome, Italy,
October13-15, 2008.
Revised Papers book contents
Pages: 302 - 310
Year of Publication: 2009
ISBN:978-3-642-03551-7
http://www.springerlink.com/content/7404012311x77786/fulltext.pdf
Abstract One type of threat consistently identified as a key challenge for Critical Infrastructure
Protection (CIP) is that of cascading effects caused by dependencies and interdependencies across
different critical infrastructures (CI) and their services. This paper draws on a hitherto untapped data
source on infrastructure dependencies: a daily maintained database containing over 2375 serious
incidents in different CI all over the world as reported by news media. In this paper we analyse this
data to discover patterns in CI failures in Europe like cascades, dependencies, and interdependencies.
Some analysis results indicate that less sectors than many dependency models suggest drive
cascading outages and that cascading effects due to interdependencies are hardly reported.
Most CI dependency literature use a theoretical modelling approach to dependencies, e.g., Rinaldi et
al, and Svendsen and Wolthuysen. Most post mortem analysis reports about CI disruption incidents
describe the incident from a single CI view. Cascading effects and dependency consequences are
often hidden in government reports about their emergency response efforts to disasters, e.g., Von
Kirchbach. Other research focuses on the modelling and simulation of CI and cross-links between
different CI sectors. Generally spoken, these models are not based on real life data or on a full
dependency analysis of past incidents. The empirical work in this paper discusses observations made
on CI dependencies based on news and other reports about serious CI events. There exist, however,
databases which focus on collecting empirical data of infrastructure incidents. Without exception,
however, these databases focus on a specific environment, a single CI sector, or a specific type of
risk. Examples of foci of such databases are for instance terrorism-caused energy infrastructure
disruptions, process industry safety, electric power disturbances (e.g., national or European grid
disturbance reports), radiological incidents, and aircraft incidents. No databases have been found
which focus on serious disturbances of all CI and the cascading effects using an ’all-hazards’
approach.
Method
At the core of our analysis is a database with public reports of CI disruptions, collected from open
sources like newspapers and internet news outlets. If possible, the data is augmented by official
incident reports. An event in one of the CI sectors will be added to the database if there is a serious
impact: only events are recorded which had a noticeable effect to society, e.g., at least 10.000
affected electric power customers. Daily occurring local and scheduled operational disturbances are
excluded. For each event we record, e.g., affected CI sector and service, initiating event, the
concerned organisation(s), start and end times/dates, country, affected geographic area and its size,
description of the cause, threat category and subcategory, consequences/damages and impact,
recovery process, and references. While data has been collected on a variety of countries in the
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 52
world, for the purposes of this paper we focus on a subset: 1749 CI failure incidents in 29 European
nations (95% of them occurred after 2000). Based on this subset, we empirically study CI (inter)
dependencies. A CI dependency is the relationship between two CI products or services in which one
product or service is required for the generation of the other product or service; a CI
interdependency is a mutual CI dependency.
We understand that the data set and approach has limitations. We explored the validity of the
findings by triangulating the Dutch national data with outage data from a Dutch CI operator. We also
found self-similarities in the Dutch, EU and US subsets of the event database. However, we realise
that the data is biased by the limited set of European languages (Dutch, English, French, German,
Portuguese, and Spanish) which we use to identify and extract media reports. Another bias may be
the reporting practices of news media as not every serious CI incident is reported by news media.
Among other factors, the news reports likely reflect what the news outlets assume is of interest to
their audience. It is not clear if and how our findings are affected by these limitations. We are not
aware of any research that has studied biases in how the media report on CI failures. That said, we
believe that in light of the overall paucity of empirical research on this topic our analysis contributes
much needed data to the policy debates on CIP and the risk of CI cascading failure.
In our analysis, we will classify events in cascade initiating events, cascade resulting events and
independent events. A cascade initiating event is an event that causes an event in another CI or CI
service; a cascade resulting event is an event that results from an event in another CI or CI service,
and an independent event is an event that is neither a cascade initiating event, nor a cascade
resulting event. These categories are not mutually exclusive. Because an event can be both caused by
an event outside a CI sector and propagate as another event outside the CI sector, some events are
both a cascade initiating and a resulting event. This may cause the sum of initiating, resulting and
independent events to exceed the total number of events (e.g., the ”Total column” in Table 1). The
analysis below is performed at the level of CI services. This means that we only consider a cascading
resulting event to be a dependency -and include it into the results- if the event takes place in another
CI service than the one of the cascade initiating event. For readability, most results below are
aggregated to the CI sector level. Consequently, dependencies between underlying services within a
CI sector appear as occuring within a single CI sector.
We have first analysed the data by distinguishing cascading events from noncascading events (Table
1). Interestingly, 29% of the reported incidents in Europe result from incidents in other services (501
of the 1749 events). Anecdotal evidence about dependencies and cascading sometimes conveys the
sense of reporting on rather unlikely scenarios, suggesting that cascades are events of low probability
and high consequence. Our data, however, shows that they are significant more frequent.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 53
Directionality of cascades
Next, we established in which CI sector an event originates and which CI sectors are affected (Table
2). The events that are not cascade-related are labelled no sector”. They comprise disruptions due to
a large range of external events (e.g., weather, deliberate human actions, and economical factors)
and internal failures (e.g., human error, technical failure). Table 2 shows that the energy and
telecommunication sectors are the main cascading initiating sectors. Energy is the only sector which
initiates more cascades than it ends up receiving. When disregarding not cascade initiated events,
the empirical data confirms that the dependency matrix is sparsely populated and that cascades are
highly asymmetrical. The energy and telecommunication sectors cause outages in other sectors (60%
and 24% respectively), but not many other CI sectors cause outages in energy, telecommunication
and internet (Table 2). The affected energy, telecommunication and internet sector event
percentages of 15%, 25% and 10%, respectively, are for a large part generated by services within
these three sectors. In short, the dependencies are very focused and directional. In fact, one may
want to stop talking about inter-dependencies, as this suggests a reciprocal relationship that the data
simply does not warrant as occurring frequently. Actually, only two weak European
interdependencies are recorded.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 54
This raises an important issue: does this mean that, while dependencies and interdependencies are
everywhere, at least theoretically, they are rarely strong enough to trigger a secondary outage which
is reported by the news media? Do they only occur after a longer period of disruption than is often
the case? Or are these cascading outage events so hidden in the chaos caused by the primary CI
outage and its effects that the press does not report on them?
The dependency of many sectors on energy and telecommunications has been reported widely. The
Table 3 data suggests that the CI dependency on energy is substantially higher (taken mitigation
measures into account) as 60% of all cascades originate within the energy sector, 28% in the
telecommunication and internet sectors, and 5% in the transport sector, 3% in the water sector, and
4% in the remaining CI.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 55
Our findings raise several important issues. First, while the current literature gives very little clues as
to the probability of cascading failures, our empirical data suggests that such cascades are in fact
fairly frequent. This forms a sharp contrast with the typical examples of events of low probability and
high consequence that are often presented as evidence of the urgency of dealing with CI
dependencies. Second, they question the validity of the Domino Theory of CI. While there are an
almost unlimited number of dependencies and interdependencies among CI possible, i.e., there are
many pathways along which failures may propagate CI sector boundaries, we found that this
potential is not expressed in the empirical data on actual events. The cascades that were reported
were highly asymmetrical and focused. The overwhelming majority of them originated in the energy
and telecom sectors. This is not unexpected, but what is new is the fact that so few cascades took
place in other CI sectors. Third, interdependencies far less occur than analysts have consistently
modelled. We found only two cases on a total of some 770 CI failures. In short, while dependencies
and interdependencies exist everywhere, they rarely appear to be strong enough to trigger a
reported serious cascading CI outage. It is unclear whether this is because the CI operators manage
the (inter)dependencies effectively or because the dependencies are not that powerful to begin with.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 56
10 DIESIS Project Description
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 57
DIESIS:
Design of an interoperable European federated simulation network for
critical infrastructures
From http://www.diesis-project.eu/include/Documents/Deliverable2.3.pdf
In order to address these challenges, DIESIS proposes to establish the basis for a European
modelling and simulation e-Infrastructure based upon open standards to foster and support
research on all aspects of critical infrastructures with a specific focus on their protection. This
European e-Infrastructure will support full cooperation of the different partners in charge for
studying (inter) dependencies of critical infrastructures, while preserving the confidentiality of
the proprietary knowledge embedded into the different models and simulation packages.
Indeed for a lot of economical, political, technological and social reasons, the European
critical infrastructures (CI), once isolated and autonomous, are becoming more and more
coupled. As a consequence, breakdowns in an infrastructure are no longer sector-specific, but
can result in cascading effects that disturb other sectors also. Then it is necessary to have
modelling and simulation tools able to provide useful support to understand the complex
system of systems composed by the interdependency of these critical infrastructures. This is a
prerequisite to develop adequate solution for Critical Infrastructure Protection (CIP)
strategies.
The core of this e-Infrastructure will be contained in a middleware that will allow
interoperable simulations and that will offer similar services to those provided by the High
Level Architecture (HLA) to federated simulations in the military sector. DIESIS will
leverage on existing computing facilities, which will be typically organised into disjoined and
heterogeneous GRIDs. DIESIS will enable the reuse of existing simulators to setup complex
simulation models.
The DIESIS middleware should allow research institutions, industrial stakeholders and
governmental organisations concerned with CIP to run complex joint simulations where each
partner contributes with its own simulator using the data available. Around this core,
additional value of the research e-Infrastructure consists in establishing a platform for trusted
information exchange on the subject of CIP, establishing reference scenarios for the study of
critical infrastructures, CIP strategies and technology and providing decisions makers with
access to reliable information in case of emergencies.
The purpose of this deliverable is to review, to the best of our knowledge, the available
infrastructure simulators. Indeed, the DIESIS middleware should be aware of the current
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 58
simulators models in order to accomplish its task. Then, when it has been possible to gather
sufficient information and enough knowledge about the available simulators, their review will
be organized as follows:
have been brought to DIESIS consortium attention by the DIESIS survey (see Section 1.3).
An overview of the available analysis tools is presented. The analysis of the federated
simulators logs will be a crucial component of the DIESIS middleware. In addition, available
European data sources are of fundamental importance to DIESIS. To demonstrate the validity
of the DIESIS approach, realistic scenarios will be needed. The term realistic refers to the
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 59
simulated Critical Infrastructures topologies and to the data available for the simulation. To
this end, a final chapter describes data sources available in EU databases.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 60
respectively: the
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 61
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 62
11 K. Niemeyer: Simulation of Critical Infrastructures
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 63
Klaus Niemeyer, “Simulation of Critical Infrastructures”, Information and Security, 15, No. 2,
October 2005, 120-143
see: http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?ots591=&lng=en&id=14175
siehe auch ausführliche deutsche Dokumente, die beim Autor K.Niemeyer (www.n-o-a-de).
z.B. Report NOA-TR-1: Modell ausgewählter Branchen zur Simulation von kritischen Störungen, 2000
Model prototypes have been developed to simulate the most critical areas of a highly-developed
region in social, economic, technical and informational terms. The models were developed inspired
by the fact that the highly integrated information infrastructure creates risks of failure and
intrusions with a possible consequence of total loss of vital resources, such as energy or traffic.
The models are seen on three levels of abstraction and are programmed and executed with
tools from System Dynamics.
On the highest level of abstraction, the modelled region is described and calculated using system
attributes and variables like productivity, social pressure, satisfaction, etc.
On the medium level of abstraction, critical areas of an advanced society are identified and
calculated using variables that represent an entity in the reality and that, in general, have an
empirical context. Identified critical areas for the first experiments with the model were the
sectors of energy, communications, traffic, security, government, and defence. Applying a
methodology to identify value drivers and to visualise the interrelations of components in
complex systems helped in developing the model inputs and descriptive factors. This approach
was used together with a group of experts in each area.
On a low level of abstraction, a model prototype was developed using variables that in general
can be measured and quantified based on real-life empirical sources. The latter approach is very
complex and resource-intensive and requires detailed insight and knowledge.
…
Socio-Economic Systems
Crisis Team
In a crisis or catastrophe, the crisis team is the crucial group of people that can pre vent possible
chaotic development and disorganisation and can act to avoid disastrous consequences. These are
people that come from various organisations, administra tions and industries and have to get
organised for the required purpose. Due to the fact that different organizations often work in
normal circumstances in conditions of competition, it cannot be assumed that the designated people
in the crisis team immediately find a harmonic basis for cooperative work. It is, therefore,
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 64
necessary to establish methods and mechanisms for the formation of a crisis team to
compensate these negative effects.
In addition, it has to be assumed that the members of the crisis team originate from very diverse
knowledge areas. Although this is an essential element of crisis man agement, this substantial
problem has to be taken into consideration in the internal communication since the different
knowledge areas have developed their own, very specific languages that hinder the communication
within the crisis team.
An essential attribute of crises and catastrophes is their sudden, partially very sur prising
emergence. Since crises are characterized by a series of unexpected and quick events, a requirement
exists for the crisis team to react under very high time pressure. Since only a few people are able to
act in these circumstances and since there are psychological group -dynamic effects in addition, a
relevant and rational work is possible only within a very rigid configuration. For the successful work
of the group, a crucial prerequisite is the structure of the team and accordingly trained personnel
to fill the positions.
For the purposes of the consequent analysis, the decisions and actions of the crisi s group
necessitate a maximum transparency. The analysis of a crisis is required in all related areas in order
to systematically gain experience. In addition, the actions of the members of the crisis team often
have legal, ethical or moral consequences tha t are justified only with a complete set of well -
documented underlying principles, causes, and effects.
Methodology
A top-down approach of system analysis and related modelling is pursued in the presented work.
Starting from a holistic point of view, the socio-economic system of a highly-developed region is
identifiable by very general element areas or object classes. On this high level of abstraction,
variables and objects are postulated that can be programmed in the model. This model on high
abstraction level is seen as a first and rapid procedure for testing only some of the relationships
and for preparation to get improved insights into system behaviour. Since almost no experience is
available, such as the interactions of the information networks with the physical and social systems
in mathematical-logical form, assumptions and hypotheses are made that appear plausible, but
an intensive examination and verification is required.
There is a small amount of systematic and useful research and practical resu lts available for
development of such models. Nevertheless, a model of high abstraction has been chosen as a
first design and quick prototype for generation of initial guess for the system structure.
In a second step, a relatively low abstraction -level model has been developed. Here, the
reference to real objects is much better; however, there are also major problems regarding data
collection and modelling of system structure. In addition, a much big ger effort is required for
model development. Due to thi s reason, only a model of the traffic sector has been developed,
which required considerably more time and effort for development compared to the high
abstraction level model. Nevertheless, this ap proach should still be pursued in order to find better
solutions.
Third; as a compromise, a model has been developed that can be represented as a model of medium
abstraction level. In order to collect the required input data and to generate an acceptable model
of the system structure, a series of seminars and bra instorming sessions were conducted. The
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 65
seminars were supported intensively by the methodol ogy “Gamma.” This effort led to the
development of a model that can serve as a driving force for exercises and follow -on research.
Gamma
For initial structuring, generation of assumptions, and estimation of factors and pa rameters, a
brainstorming approach supported by computer software called Gamma was used. Gamma
provides tools for interactive visualisation and analysis of complex interrelationships of systems and
from the beginning it generates a holistic view.
The graphical toolset generates a net diagram as a result of the thinking process of session
participants and captures parameters and values of identified links between system elements.
Understanding relationships of type cause and effect becomes possible. This provides a good
ground for mutual acceptance and a common view of system interrelations. The generated values
are available for subsequent analysis.
Gamma is not a rigid methodology providing decision optimisation with a guarantee to find the
best solution. It rather belongs to the group of the so-called heuristic approaches that improve the
likelihood of locating a good solution.
In an initial step, relevant influential factors and elements of the system under consideration are
drafted. This is followed by the creation of a graphical network of interrelationships. Direction,
type, intensity and frequency determine the relationships between the elements. The objective is
to get knowledge about the structure and dynamics of the essential processes in the system.
System Dynamics
For simulation, the method of System Dynamics has been chosen due to the fact that it is very well
suited for quick prototyping.
This method has been applied to a wide vari ety of problems in both the public and private
sectors. Large corporations and governmental agencies make use of the in sights gained from
building System Dynamics models while designing policies and strategies and in tactical and
operational decision making.
Within the System Dynamics paradigm, emphasis is placed on model conceptualisa tion and on
the utilization of a wide spectrum of criteria for model validation that help to ensure that the
resulting models correspond to real systems structurally as well as behaviourally.
In particular, there are four types of structural properties that humans find cognitively challenging in
dynamic systems.
First, there is the origin of dynamic behaviour itself, the relationship between flows and levels.
Second, there are delays or lags in actual systems.
Third, there is a feedback.
Finally, there are nonlinear relationships.
Powersim
The availability of easy-to-use software engineering tools such as Powersim enabled a fast
model development process.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 66
Powersim is a software package that facilitates the study of dynamic systems. It makes possible
the formulation of simulation models in the graphical notation as de fined in the System Dynamics
methodology.
Powersim is particularly convenient for use of generic models. These models can be stored in a
library, from which they can be copied, modified, and incorporated as co models or integrated
(pasted) as sub-models in a larger “main” model.
The ability of Powersim to describe and solve problems, however, suggests that its rea l benefit
comes from its application in the model -building process itself, rather than from its ability to
simulate a particular model. As a result, the people who both know the system experiencing the
problem and are charged with implementing model-based results should participate fully in the
modelling process. Their participation increases the probability that they will trust the model
they helped to create and will implement its results. Powersim’s graphical user interface greatly
reduces the barriers to the participation of policy makers in the modelling process. In addition,
the graphical notation and the user -friendly interface make possible the fast develop ment and
rapid prototyping of simulation models.
On a high abstraction level, the system to be simulated is determined by variables that are defined
in relation to a maximum possible value. In this way, it is not necessary to introduce absolute
values since the variables are defined without a physical dimension and c an only take values
between 0 and 1. Relative variables of this type make possible the quantitative calculations with
freely chosen, normally only qualitatively describable, parameters such as, for example,
“satisfaction” or “alteration pressure,” especial ly in areas where no or only restricted empirical
data is available. Quickly-developed abstract models can be generated with relative variables
although with the disadvantage of being highly speculative.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 67
In the high abstraction-level model, the elements are subdivided into three areas: the physical
area, the information area and the social area. The physical area contains all the components that
are physically defined, and can be physically measured and de¬scribed. The information area
contains all the components that can be assigned to an information network: the logical and virtual
elements, the procedures, programs, data, or, in other words, the software and the databases.
Computers, cable, storage medi¬ums, electronic devices, etc., or the hardware, are physical
components. The social area consists of humans, groups, hierarchies, organizations, etc. The
elements of the social area could be allotted to the physical and information area. However, since
this area contains important feedbacks, the social area is identified explicitly (Figure 2).
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 68
For each area, one can identify and describe sectors of industries, administration, se curity area,
etc. The following six sectors were defined in the initial research phase: energy sector,
information industry, civil service, security, traffic and transportation, and finance. Table 1
presents some of the real objects and elements that were as signed to these sectors and
outlines the areas for further explanation and develop ment.
Figure 3 illustrates the physical area. Some important interrelations are defined that already
describe the structure of the simulation model in the graphical notation used by the Powersim
simulation software. The variable physical performance as relative value describes the
contribution of each element to the total productivity of the viewed system considering all
sectors. The total productivity or the success of the system has an effect on the satisfaction of the
social system in the social area in con sequence. At the same time, the performance of a given
sector is influenced by the performance of other sectors. Furthermore, the performance is
diminished by random disturbances from the environment.
Each system has internal forces that keep the processes running and produce the performance.
These forces are controlled by a feedback loop that tries to keep the performance level close to a
desired value; in other words, the system tries to maintain equilibrium or a stable state. The role
of feedback is played by the size of the variable physical pressure. By definition, the influence of
the physical pressure is delayed in time and depends on performance. In addition, the physical
pressure is influenced by satisfaction in the social area and information in the information area.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 69
Similarly the “Information Area” and the “Social Area”
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 70
Figure 5 defines the social area. The variable satisfaction describes in relative terms the general
status of the social part of the considered system for each element in all sectors. The satisfaction of a
sector depends on the performance and the information from the other areas. Again, a feedback
loop is considered to cover the inner forces for maintaining a stable state.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 71
Here, the variable social pressure that also depends on performance and information plays the role
of a feedback. Figure 5 presents a typical diagram of the model in System Dynamics notation as
realized in Powersim. Most of the variables are defined as vectors, where the index represents the
sectors under consideration. The detailed description of the model is part of Powersim’s code. The
code and the interpretation of the variables can only be seen in the context while the model is
executed and calculation experiments are performed.
Experiments with the high abstraction-level model revealed the difficulty to establish
a relationship between realistic absolute values and the generic variables as postu-
lated. On the other hand, this is a prerequisite for application of models in exercises.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 72
For this reason, it is necessary to do some brainstorming with the objective to generate real objects,
entities, variables of the system and the sectors, as well as to quantitatively define their
relationships.
A list of elements was used as a basis for creation of cause-and-effect network in Gamma. With the
help of Gamma’s graphical tools it was possible to arrange the elements as components of a network
on the screen. Simultaneously, values for the influences were defined with the help of lines and
arrows and their strength estimated. All the models were executed during the brainstorming sessions
and corrections were made in multiple iterations, considering the different points of view of the
participating experts.
A typical Gamma diagram for the transportation case study was created during these sessions as
shown in Figure 7.
In a later phase, delay times of the influences of one element on another were defined. These delay
times and the effects are direct results of the Gamma sessions; they are collected in tables and serve
as input to the System Dynamics model of medium-abstraction level.
The diagram also indicates by means of lines and arrows how strong is the influence of each entity
on other entities in the postulated system, which can be transformed easily into a matrix of
influences. A different view at these dependencies for the en ergy sector is demonstrated in Figure 8.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 73
The horizontal axis represents on a scale between 0 and 1 the relative strength of the influence of an
entity on other entities in the system, while the vertical axis represents on a scale between 0 and 1
the relative strength by which an entity is influenced by other entities in the system. Each entity has
a well-defined position on the diagram. The distribution of positions demonstrates which entities are
highly sensitive and require further specific attention in a straightforward manner.
Modelling and simulation of critical business and public sectors of a highly developed technical
society is based on the entities, relationships and sensitive parameters as developed in brainstorming
sessions by sector experts utilising the Gamma methodology. These relations are then transformed
into a logical structure based on the System Dynamics methodology using Powersim.
On this medium level of abstraction the system to be simulated is determined and described by
parameters and values, which are again defined relatively to a maximum possible absolute value. In
this way, setting absolute values is not necessary since the parameters are defined without a
measurement dimension and can take only values between 0 and 1. Relative parameters of this type
make also possible quantitative calculations with freely-chosen, normally only qualitatively
describable, parameters as defined in the expert sessions with the Gamma methodology.
In normal conditions the system of each sector is in a stable state or in equilibrium, i.e. the
parameters do not change with time. These changes only occur if disturbances from outside act on
the system. And this is the case in reality, although disturbances are continuously balanced by system
internal regulations and control mechanisms. The system state becomes stable and eventually
fluctuates only around the equilibrium. Only unusual disturbances are able to generate unstable
behaviour, however, leading to stable state again although at different level. Theoretically, the set of
relationships among the elements, as defined with the Gamma methodology, should cover this
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 74
stabilisation effect. Unfortunately, this was not the case; all relationships were defined as positive
feedbacks in the System Dynamics notation.
Therefore: In any system, for stabilising control mechanisms negative feedbacks have to be available
in order to create a stable equilibrium.
-----------------------------
Software for example:
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 75
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 76
12 W. Schmitz: Modellbildung und Simulation für KI
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 77
Walter Schmitz, „Modellbildung und Simulation für Kritische Infrastrukturen“; IABG, 02/2004
(siehe: http://www.competence-site.de/downloads/93/9f/i_file_3951/B2_M%26S%20f%C3%BCr%20CI.doc)
1 Einführung
Kritische Infrastrukturen sind komplexe Systeme, deren Überlebensfähigkeit zu gewährleisten ist. Die
Erfahrungen mit komplexen Systemen haben gezeigt, dass das Wissen über Einzelteile nicht
ausreicht, komplexe Systeme zu erfassen und zu bewerten. Mindestens genau so wichtig ist es, die
Vernetzung der Einzelteile zu berücksichtigen.
Es sollte sowohl eine statische wie auch eine dynamische Analyse der Infrastrukturen durchgeführt
werden.
Das Ziel der statischen Analyse ist, für jede der betrachteten Infrastrukturen die wichtigsten
Elemente der Infrastrukturen zu identifizieren, das Wirkungsgefüge zwischen den Elementen sichtbar
zu machen, die „Rollen“ der Elemente innerhalb dieses Netzwerkes zu erkennen sowie die inneren
kybernetischen Regeln der Infrastrukturen aufzudecken, um geeignete Überlebensstrategien für die
Infrastrukturen daraus ableiten zu können.
Das Ziel der dynamischen Analyse besteht in erster Linie darin, Auswirkungen von Störungen
aufzuzeigen. Hauptaugenmerk gilt dabei vor allem den Dominoeffekten, die sich kaskadenartig über
die einzelnen Infrastrukturen ausbreiteten.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 78
2.2 Systemmodellierung
Typische Modellierungsfehler sind:
1. Unausgewogene Auflösungsebenen
2. Vernachlässigung wichtiger Interdependenzen
3. Nichtberücksichtigung wesentlicher Systemkomponenten
4. Verzicht auf „weiche“ Faktoren
5. Missachtung von Störungen
6. Unüberlegte Anwendung der Extrapolationsmethode.
Erziehung und Ausbildung zum Spezialistentum veranlasst uns, eher ins Detail zu gehen anstatt den
Gesamtzusammenhang zu erfassen. Dies führt oft dazu, einzelne Komponenten im Detail zu
analysieren und dafür die Vernetzung der Komponenten untereinander zu vernachlässigen.
Aber ohne Kenntnis der Vernetzung – verursacht durch die Interdependenzen zwischen den
Komponenten – lässt sich das Verhalten und die Leistungsfähigkeit des Gesamtsystems nicht
bewerten, wie groß die Detailkenntnisse über die Einzelteile des Systems auch sein mögen. Die Rolle
der Komponenten im Netzwerk bleibt unbekannt. Die Konsequenz ist, dass Symptome anstatt
Ursachen behandelt werden.
Oft ist die Tendenz zu beobachten, sich auf Sachverhalte zu konzentrieren, die man als richtig
erkannt hat. Dafür werden aber oft gravierende Elemente in anderen Bereichen ignoriert oder
übersehen. Bewusstes oder unbewusstes Übersehen wesentlicher Komponenten reduziert zwar die
Datenmenge, vermittelt aber einen falschen Eindruck vom Gesamtsystem.
Die Negierung weicher Faktoren wie Konsens, Vertrauen, Zufriedenheit, Motivation, Lebensqualität
und andere mehr führt ebenfalls zu einer unvollständigen und einseitigen Systembeschreibung. Zur
Erfassung der Leistungsfähigkeit des Systems sind qualitative Faktoren ebenso wichtig wie
quantitative Faktoren.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 79
Störungen vorzuhalten. Es wird getan, als ob es ein geschlossenes System vorliegen würde, das keine
Störungen von außen zu befürchten hätte.
Unüberlegte Anwendung der Extrapolationsmethode führt oft zu falschen Lösungen, weil diese
Methode – wenn überhaupt – das Verhalten komplexer Systeme nur für ein kleines begrenztes
Zeitintervall voraussagen kann. Abhängigkeiten und Störungen können bei komplexen Systemen
überraschende Effekte hervorrufen, die selten auf direkte Ursachen-Wirkungsbeziehungen zwischen
benachbarten Elementen zurückzuführen sind. Dies ist einer der wichtigen Gründe, weshalb
komplexe Systeme so schwierig zu planen und verstehen sind und Extrapolation als Lösungsmethode
nur selten taugt. Prognosemodelle dieser Art sind ungeeignet, weil sie nur dann hinreichend gute
Antworten geben können, wenn alle Daten bezüglich der Interaktionen bekannt sind und es sich um
ein geschlossenes System handelt.
Reparaturstrategien sind nicht nur kostspielig, sie verursachen auch noch Folgeschäden, weil sie
Interdependenzen zwischen den Systemkomponenten missachten. Die bessere Strategie ist, die
Systemkonstellationen zu finden, die zu Selbstregulation führt.
Beim Steuern komplexer Systeme zeigen wir oft ein typisches Verhalten:
Ein solches Steuerungsverhalten negiert, dass sich die Auswirkungen der ersten zaghaften
Steuerungsmaßnahmen infolge von Zeitverzögerungen unbemerkt kumuliert haben. Ein solches
Zeitverhalten kann in Simulationen erforscht werden.
Das Gefühl, das Verhalten des Systems steuern zu können und der Glaube, alle Systemfunktionen zu
kennen, verführt oft zu einem diktatorischen Verhalten, das jedoch völlig ungeeignet ist im Umgang
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 80
mit komplexen Systemen. Ein Steuerungsansatz, der die inhärenten Systemregeln und –
eigenschaften ausnutzt, ist wesentlich effektiver. Die kybernetischen Systemeigenschaften müssen
identifiziert werden, um Kontrollschleifen und Rückkopplungen ausnutzen zu können.
Vester, Probst and Gomez zeigten, dass die Methode des Vernetzten Denkens das Verhalten
komplexer Systeme hinreichend genau beschreiben kann, selbst wenn nur Rohdaten der einzelnen
Komponenten vorliegen, aber die Abhängigkeit der Komponenten untereinander erfasst sind.
Die Arbeitsschritte eines solchen Ansatzes sind in Abbildung 1 dargestellt. Obgleich in diesem Bild die
einzelnen Arbeitsschritte konsekutiv dargestellt sind, sind sie doch als rekursiver Prozess aufzufassen:
nach jedem Schritt kann zu einem der vorangegangenen Schritte zurückgesprungen und der
Sachverhalt entsprechend verändert werden.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 81
3.1 Schritt 1: Zielfunktionen und Systemmodellierung
Eine korrekte Problembeschreibung ist ausschlaggebend für eine erfolgreiche Problemlösung.
Zusammenhang, Beziehungen und Interaktionen zwischen den Elementen müssen erfasst und
verstanden werden. Ebenso wichtig ist es, die wahren Zielsetzungen zu erkennen, die uns zu den
tatsächlichen Problemlösungen leiten. Allerdings sind in komplexen Situationen oft nur vage
Zielsetzungen anzutreffen und einzelne Zielfunktionen können auch im Interessenkonflikt stehen.
Zum Beispiel sind Überlebensfähigkeit, Risikominimierung, Shareholder Value, Versorgungssicherheit
und technische Funktionsfähigkeit oft genannte Zielfunktionen, wobei z.B. Maximierung des
Shareholder Value im Interessenkonflikt zu Risikominimierung stehen kann.
Das Verhalten einer kritischen Infrastruktur kann gemäß Abbildung 2 als Kontrollmodell beschrieben
werden, wobei folgende Elemente zu unterscheiden sind:
Akteure wie z.B. Bedienungspersonal, Nutzer, Kunden
Kontrollierbare Faktoren wie Computer, Netzwerk, Verteiler etc.
Kriterien oder Indikatoren, die den Erreichungsgrad der Zielfunktion angeben.
Akteure kontrollieren die kontrollierbaren Faktoren. Umgekehrt beeinflussen die Indikatoren das
Verhalten der Akteure. Da kritische Infrastrukturen keine abgeschlossenen Systeme darstellen,
können auch externe Faktoren die kritische Infrastruktur beeinflussen. Beispiele für solche externe
von der Infrastruktur nicht direkt beeinflussbare Faktoren sind die Gesetzgebung und internationale
Standards. Diese Faktoren beeinflussen sowohl das Verhalten der Akteure als auch die internen von
der Infrastruktur direkt kontrollierbaren Faktoren. Externe und interne Faktoren beeinflussen den
Wert der Indikatoren und damit auch den Wert der Zielfunktion wie z.B. die technische
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 82
Funktionsfähigkeit. Der Wert der Zielfunktion wiederum veranlasst die Akteure, die internen
Faktoren zu ändern, wenn der wert der Zielfunktion außerhalb des Normalbereiches liegt.
Die Farben der Pfeile sollen unterschiedliche Einflusssphären kennzeichnen: Schwarz für
physikalische Einflüsse, rot für Cyber-Einflüsse, braun für Managementeinflüsse und blau für
strategische Einflüsse.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 83
Falls Element A das Element B beeinflusst, stellt sich die Frage, ob A eine verstärkende oder
dämpfende Wirkung auf B ausübt. Plus- oder Minus-Zeichen in der Pfeilspitze sollen diese
verstärkende oder dämpfende Wirkung anzeigen.
Zeitaspekte spielen ebenfalls eine wichtige Rolle im Systemverständnis. Planer schätzen die
Reaktionszeit des Systems oft falsch ein, wenn sie Korrekturmaßnahmen einleiten. Sie mögen zwar
die individuellen Antwortzeiten der einzelnen Elemente kennen, aber in aller Regel nicht die
vernetzten Zeitaspekte, die durch Rückkopplungen über mehrere Stationen hervorgerufen werden.
Die Erfahrung hat gezeigt, dass es oft schon ausreicht zwischen kurz-, mittel- und langfristig zu
unterscheiden, um zu brauchbaren Ergebnissen zu kommen. Allerdings können die Vorstellungen
über diese Zeitangaben von Sektor zu Sektor sehr unterschiedlich sein.
Die Dicke der Pfeile zeigt die Stärke der Beeinflussung an, denn nicht alle Beziehungen haben den
gleichen Effekt. Mit Hilfe der Beeinflussungsstärke lassen sich die Elemente in Klassen oder Rollen
einteilen:
Elemente, die das Verhalten des Gesamtsystems stark beeinflussen, ohne dass sie selbst stark
beeinflusst werden, werden als „aktive“ Elemente oder auch „Treiber“ bezeichnet.
Elemente, die andere nur schwach beeinflussen, aber selbst stark beeinflusst werden, werden
„reaktiv“ oder „passiv“ oder auch „getriebene“ Elemente genannt.
Elemente, die sowohl stark beeinflussen als auch stark beeinflusst werden, werden „kritisch“
genannt.
Elemente, die weder stark beeinflussen noch stark beeinflusst werden, werden als puffernde
Elemente bezeichnet.
Wie Abbildung 4 zeigt, wird in diesem Demonstrationsbeispiel der Sektor „Elektrizität“ als kritische
Größe, die Sektoren „Öl“, „Telekommunikation“ sowie „Transport/Verkehr“ als Treiber bzw. aktive
Größen, der Sektor „Erdgas“ als passive und „Wasser“ als puffernde Größe eingeschätzt.
Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen werden das Verhalten des
Gesamtsystems der hier abgebildeten kritischen Infrastrukturen empfindlich beeinflussen. Im
Störungsfall macht sich besonders negativ bemerkbar, dass in diesem Netzwerk keine dämpfende
Rückkopplungen enthalten sind, die auf die Infrastruktursektoren direkt einwirken könnten (siehe
Abbildung 5). Das heißt, das Gesamtsystem enthält keine Kontrollschleifen, die Selbstregulierung
auslösen oder fördern könnten.
Auf diesen Schwachpunkt wird in Arbeitsschritt 4 „Einflussanalyse“ (siehe Kapitel 3.4) noch genauer
eingegangen.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 84
Abbildung 4: Die Rolle der Elemente
In diesem Beispiel sind die Leitzentralen zur Energieerzeugung und zur Energieverteilung am
stärksten vernetzt, was auf eine Sonderstellung dieser beiden Größen schließen lässt. Gleichzeitig
werden beide Leitzentralen von der externen Größe IuK (Element 24) sehr stark beeinflusst. Die
Portfolio-Betrachtung (siehe Abbildung 7) bestätigt die obige Vermutung und weist die beiden
Leitzentralen als die kritischen Elemente des Netzwerkes aus.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 86
Abbildung 6: Netzwerk „Elektrizität“ (Variante 1)
0 C 20 24
0 10 20 30 40 50 60 70 80 90 100
Einflußnahme
Trotz starker Einflussnahme auf die Leitzentralen wird IuK (Element 24) als pufferndes Element
eingestuft und nicht als Treiber wie die Elemente 11, 16 und 17.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 87
Geht man aber zum Beispiel von der Annahme aus, dass aus Kostengründen die Leitzentralen ihre
Kontrollfunktion über das Internet abwickeln und nicht mehr ein eigenes Steuerungsnetz aufrecht
erhalten, dann muss die Abhängigkeit der Leitzentrale von IuK als extrem hoch eingeschätzt werden,
was in Abbildung 8 angenommen wird.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 88
Dieser Eingriff in das Netzwerk bewirkt, dass IuK zum Treiber des Netzwerkes wird. Die beiden
Leitzentralen werden weiterhin als die kritischen Elemente eingeschätzt (siehe Abbildung 9).
Die Konsequenz bei der Absicherung der kritischen Infrastruktur „Elektrizität“ muss also sein, vor
allem diese drei Größen einer genaueren Analyse und Beobachtung zu unterziehen. Dies bedeutet,
dass die beiden Leitzentralen weiter aufgelöst werden müssen (höhere Aggregationsebene), um den
Einfluss von IuK auf die Leitzentralen und der Einfluss der Leitzentralen auf die anderen Größen
genauer analysieren zu können.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 89
Abbildung 10: Einführung einer Regulierungsbehörde „Elektrizität“
Mit der Einführung der Regulierungsbehörde können in diesem Netzwerk mindestens zwei
Selbstregulierungsschleifen identifiziert werden (siehe Abbildung 11).
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 90
Abbildung 11: Selbstregulation im erweiterten Netzwerk
In diesem Fall können mindestens zwei Rückkopplungsprozesse mit der Fähigkeit zur
Selbstregulierung identifiziert werden:
Dieses einfache Beispiel soll zeigen, wie durch Veränderung der Systemtopologie das
Systemverhalten stabilisiert werden kann.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 91
4 Dynamische Analyse der kritischen Infrastrukturen
Die Simulation kritischer Infrastrukturen basiert auf den in den vorangegangenen Kapitelen
vorgestellten Netzwerken. Diese Netzwerke werden mit Hilfe einer Simulationssprache in eine
logische Struktur transferiert, die auf der Systems Dynamics Methode basiert. Diese Methode erlaubt
die dynamische Darstellung aller erfassten Parameter mit ihren Interaktionen.
So sind in Abbildung 12 die Infrastrukturen aufgeführt, die in der Simulation zur Zeit abgebildet sind.
Darüber hinaus zeigen die Verbindungslinien zwischen den Infrastrukturen deren vielfältigen
Interaktionsprozesse an. Potentielle Störungen – verursacht durch Terroranschläge,
Naturkatastrophen oder große Unfälle – verursachen Probleme im Betrieb der Infrastrukturen. In der
Simulation reagieren die Variablen auf solche Einwirkungen durch einen Abfall ihrer
Produktionskurven, die sich hinsichtlich Schwere und Dauer deutlich unterscheiden können.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 92
Zunächst wollen wir davon ausgehen, dass in den ersten 6 Stunden keine Störung in den
Infrastrukturen auftreten. In diesem Fall arbeiten alle im Normalbetrieb, was in der Simulation
bedeutet, dass die Produktivität mit dem Wert 0,9 beschrieben wird (siehe Abbildung 13).
Nach den sechs Stunden ungestörten Betriebes wird angenommen, dass eine extreme schwere
Störung in der Energieverteilung auftritt, die über ein entsprechendes Eingabefenster eingegeben
werden kann (siehe Abbildung 14).
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 93
Abbildung 14: Eingabe einer extrem schweren Störung in der Energieverteilung
Darüber hinaus wird angenommen, dass diese Störung erst nach 12 Stunden behoben werden kann.
Die Auswirkungen dieser Störung auf die einzelnen Infrastrukturen zeigen die Abbildung 15 bis
Abbildung 17. Nach einer kurzen Verzögerung macht sich die Störung der Energieverteilung in der
Infrastruktur „Transport & Verkehr“ bemerkbar, nicht aber in der Telekommunikation, weil diese
über Notstrom verfügt.
Sobald die Störung in der Energieverteilung beseitigt ist, reagieren die Kurvenverläufe der
Infrastruktur „Energie“ und streben dem Normalwert entgegen, den sie aber erst mit einer
Zeitverzögerung erreichen können (Abbildung 18).
Ein solcher Trend, wenn auch mit wesentlich größerer Zeitverzögerung, lässt sich bei den Kurven der
Infrastruktur „Transport & Verkehr“ beobachten (Abbildung 20), wogegen die Kurven der
Infrastruktur „Telekommunikation“ erst jetzt auf die Störung reagieren, deren Auswirkungen noch
nicht ganz überwunden sind (Abbildung 19). Der Grund ist, dass in der Simulation eine
Notstromversorgung von 12 Stunden für die Telekommunikation angenommen wird.
Diese Beispiele zeigen, dass sich die Störung in der „Energie“ kaskadenartig auf die anderen
Infrastrukturen ausbreitet, aber mit unterschiedlicher Geschwindigkeit und Auswirkung.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 94
Abbildung 15: Simulationsverlauf „Energie“ im gestörten Fall
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 95
Abbildung 16: Simulationsergebnisse der Infrastruktur „Telekommunikation“
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 96
Abbildung 17: Simulationsergebnisse der Infrastruktur „Transport & Verkehr“
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 97
Abbildung 19: Simulationsverlauf „Telekommunikation“ nach Beseitigung der Störung
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 98
5 Empfehlungen
(1) Der Schutz wirtschaftlicher Systeme war bisher nicht gegen Terror ausgerichtet, sondern auf
Gegenspionage und / oder Wirtschaftsspionage. Hier muss dringend nachgebessert werden. Bin
Laden drohte unverhohlen auch der amerikanischen Wirtschaft. Diese Drohung muss ernst
genommen werden. Sie wird im Erfolgsfall unmittelbare Auswirkung auch auf Europa und die
Weltwirtschaft haben. Bin Laden und seine Unterstützer haben umsichtige Planung und
weitsichtiges Handeln nachgewiesen. Allein schon die Nutzung der dort konzentrierten
wirtschaftlichen Macht kann Turbulenzen an Börsen hervorrufen, da ein Handeln nicht auf
Gewinnmaximierung ausgerichtet sein wird, sondern auf Schadensmaximierung. Terroristen mit
diesen Fähigkeiten sind in der Lage, Schwachpunkte kritischer Infrastrukturen zu identifizieren
und geeignete Angriffsstrategien zu ermitteln, um mit einem Minimum an Risiko und Aufwand
ein Maximum an Schaden und öffentlicher Aufmerksamkeit zu erreichen.
(2) Zum Schutz kritischer Infrastrukturen sind Werkzeuge zu entwickeln sind, die zum einen das
Zusammenspiel kritischer Infrastrukturen mit und ohne Störungen simulieren können und zum
andern dem Planer helfen, die kybernetische Eigenschaften des Gesamtsystems aufzudecken und
zu verstehen. Nur so kann entschieden werden, ob Eingriffe in das System zur Beeinträchtigung
seiner Überlebensfähigkeit führen oder nicht und welche Maßnahmen die Überlebensfähigkeit
stabilisieren bzw. verbessern.
(3) Simulationen sind hilfreich, um die Dynamik des Systems untersuchen zu können. Sie lassen den
Planer erkennen, wie empfindlich das System reagiert und wo die Risiken liegen, welche
Vorsichtsmaßnahmen zu ergreifen sind, um die Stabilität zu verbessern, und wie kritische
Bereiche geschützt werden können.
(4) Sensitivitätsanalysen mittels Simulationen decken auf, welche Parameter geändert werden
-----------------------------
Software for example:
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 99
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 100
13 P. Gomez: Ganzheitliches Problemlösen
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 101
Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag
(www.haupt.ch), 1999, 133-134
Computerunterstützte Simulationsmodelle
In den letzten Jahren sind einige PC-taugliche Programmpakere auf den Markt gekommen, die es
erlauben, auf dem vernetzten Denken basierende Systemmodelle abzubilden und zu simulieren. Die
wichtigsten drei Pakete seien hier kurz vorgestellt.
Das Programm Gamma (Tata Interactive Systems) bietet mehrere Analysefunktionen an, die dem
Bereich Simulation zugeordnet werden können. Hierzu gehören die Untersuchung der
Wirkungsausbreitung (welche Elemente sind betroffen, wenn Eingriffe an einem bestimmten
Element erfolgen?) und der Wirkungsaufnahme (von welchen Elementen wird ein bestimmtes
Element beeinflusst?), die Riickkoppelungsanalyse (welche geschlossenen Wirkungsketten liegen im
untersuchten System vor?) und vor allem die Zeitanalyse. Bei dieser wird nach einem Eingriff im
System die Veränderung der einzelnen Elemente im Zeitablauf dargestellt. Hervorzuheben ist die
einfache Bedienung des Programms. Es eignet sich vor allem für Problemlösende, die ihre Resultate
des vernetzten Denkens dokumentieren und einfache Zusammenhänge durchspielen möchten.
Als zweites sind die von VESTER entwickelten sm-Tools zu erwähnen. Diese sollen zur
Rationalisierung der Arbeit mit Netzwerken beitragen und die Möglichkeit der Simulation eröffnen.
Das Programmpaket dient zum einen als Protokollierungsinstrument und Arbeitshilfe während des
Problemlösungsprozesses, anderseits werden einige Schritte auch automatisiert, und es existiert eine
Simulationsfunktion. Die Benutzer haben die Möglichkeit. den Ablauf der Simulation zu steuern und
auch während dieser in das Geschehen einzugreifen. Während der Simulationen lassen sich die
Werte der einzelnen Elemente anhand von Balkendiagrammen innerhalb des Netzwerkes darstellen,
und der gesamte Simulationsverlauf kann mit Hilfe von Liniendiagrammmen und Histogrammen
visualisiert werden. Hieraus erhält man Aufschluss über relative Veränderungen der Systemelemen-
te, nicht jedoch über deren absolute Werte. Die Simulationsfunktion kann für einfache
Sensitivitätsanalysen eingesetzt werden, eine vollwertige Simulation im engeren quantitativen Sinne
wird nicht geboten. Der sehr hohe Lizenzpreis dürfte es den meisten Anwendern zum vornherein un-
möglich machen, diese Sofnvare zu benutzen.
Eine letzte Gruppe von Programmen bilden die auf System Dynamics basierenden
Softwarewerkzeuge ithink! oder Powersim. Sie sind vollständig quantitativ ausgerichtet, und die
Simulation steht klar im Mittelpunkt. Die Verwendung dieses Instrumentariums erfordert die
Quantifizierung und mathematische Darstellung aller Beziehungen des Netzwerkes untereinander.
Der damit verbundene Arbeitsaufwand ist enorm. Die Möglichkeiten der Beschreibung der Wirkungs-
beziehungen ist jedoch bedeutend ausgefeilter als bei den anderen Programmen. Die Simulation
kann interaktiv erfolgen, Sensitivitätsanalysen lassen sich einfach durchführen und dokumentieren,
graphische und tabellarische Darstellungen können problemlos erstellt werden. Der Lerneffekt für
die Problemlösenden ist unseres Erachtens sehr gross. Preislich liegen diese Softwarepakete im
Rahmen, aber ihr Einsatz erfordert doch einen gewaltigen Aufwand der Quantifizierung.
Wir haben in der Praxis festgestellt, dass es in den weitaus meisten Fällen genügt, mit
Papiermodellen und gedanklichen Simulationen zu arbeiten. Dabei dürfen der Gruppeneffekt und die
schrittweise Erarbeitung der Szenarien nicht unterschätzt werden. Sie sind einer noch so detaillierten
und komplizierten Computersimulation durch Experten und der Kenntnisnahme der Ergebnisse in
Form von Endberichten vorzuziehen, da so kaum ein Gefühl und Verständnis für das Systemverhalten
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 102
entwickelt werden kann. Eine Weiterentwicklung der heutigen Programmpakete kann aber auch
diese zu einem wertvollen Instrument für Problem für problemlöser werden.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 103
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 104
14 J. Sterman: Skeptic’s Guide to Computer Models
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 105
John D. Sterman, “ A Skeptic’s Guide to Computer Models”, 1998
Prof. Sterman is Director of the MIT System Dynamics Group and Professor of Management Science
at the Sloan School of Management at M.I.T.
(see: http://www.clexchange.org/ftp/documents/system-dynamics/SD1998-02SkepticsGuideTMods.pdf)
Simulation
The Latin verb simulare means to imitate or mimic. The purpose of a simulation model is to mimic
the real system so that its behavior can be studied. The model is a laboratory replica of the real
system, a microworld (Morecroft 1988). By creating a representation of the system in the laboratory,
a modeler can perform experiments that are impossible, unethical, or prohibitively expensive in the
real world.
Simulations of physical systems are commonplace and range from wind tunnel tests of aircraft design
to simulation of weather patterns and the depletion of oil reserves. Economists and social scientists
also have used simulation to understand how energy prices affect the economy, how corporations
mature, how cities evolve and respond to urban renewal policies, and how population growth
interacts with food supply, resources, and the environment. There are many different simulation
techniques, including stochastic modeling, system dynamics, discrete simulation, and role-playing
games. Despite the differences among them, all simulation techniques share a common approach to
modeling.
Optimization models are prescriptive, but simulation models are descriptive. A simulation model
does not calculate what should be done to reach a particular goal, but clarifies what would happen in
a given situation. The purpose of simulations may be foresight (predicting how systems might behave
in the future under assumed conditions) or policy design (designing new decision-making strategies
or organizational structures and evaluating their effects on the behavior of the system).
In other words, simulation models are “what if” tools. Often such “what if” information is more
important than knowledge of the optimal decision.
Every simulation model has two main components. First it must include a representation of the
physical world relevant to the problem under study.
How much detail a model requires about the physical structure of the system will, of course, depend
on the specific problem being addressed.
In addition to reflecting the physical structure of the system, a simulation model must portray the
behavior of the actors in the system. In this context, behavior means the way in which people
respond to different situations, how they make decisions. The behavioral component is put into the
model in the form of decision-making rules, which are determined by direct observation of the actual
decision-making procedures in the system.
Given the physical structure of the system and the decision-making rules, the simulation model then
plays the role of the decision makers, mimicking their decisions. In the model, as in the real world,
the nature and quality of the information available to decision makers will depend on the state of the
system. The output of the model will be a description of expected decisions. The validity of the
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 106
model’s assumptions can be checked by comparing the output with the decisions made in the real
system.
L imitations of Simulation
Any model is only as good as its assumptions. In the case of simulation models, the assumptions
consist of the descriptions of the physical system and the decision rules. Adequately representing the
physical system is usually not a problem; the physical environment can be portrayed with whatever
detail and accuracy is needed for the model purpose. Also, simulation models can easily incorporate
feedback effects, nonlinearities, and dynamics; they are not rigidly determined in their structure by
mathematical limitations as optimization models often are. Indeed, one of the main uses of
simulation is to identify how feedback, nonlinearity, and delays interact to produce troubling
dynamics that persistently resist solution.
Simulation models do have their weak points, however. Most problems occur in the description of
the decision rules, the quantification of soft variables, and the choice of the model boundary.
The description of the decision rules is one potential trouble spot in a simulation model. The model
must accurately represent how the actors in the system make their decisions, even if their decision
rules are less than optimal. The model should respond to change in the same way the real actors
would. But it will do this only if the model’s assumptions faithfully describe the decision rules that
are used under different circumstances. The model therefore must reflect the actual decision-making
strategies used by the people in the system being modeled, including the limitations and errors of
those strategies.
Unfortunately, discovering decision rules is often difficult. They cannot be determined from
aggregate statistical data, but must be investigated first hand. Primary data on the behavior of the
actors can be acquired through observation of actual decision making in the field, that is, in the
boardroom, on the factory floor, along the sales route, in the household. The modeler must discover
what information is available to each actor, examine the timeliness and accuracy of that information,
and infer how it is processed to yield a decision. Modelers often require the skills of the
anthropologist and the ethnographer. One can also learn about decision making through laboratory
experiments in which managers operate simulated corporations. The best simulation modeling draws
on extensive knowledge of decision making that has been developed in many disciplines, including
psychology, sociology, and behavioral science.
Soft Variables.
The majority of data are soft variables. That is, most of what we know about the world is descriptive,
qualitative, difficult to quantify, and has never been recorded. Such information is crucial for
understanding and modeling complex systems. Yet in describing decision making, some modelers
limit themselves to hard variables, ones that can be measured directly and can be expressed as
numerical data. They may defend the rejection of soft variables as being more scientific than “making
up” the values of parameters and relationships for which no numerical data are available. How, they
ask, can the accuracy of estimates about soft variables be tested? How can statistical tests be
performed without numerical data? Actually, there are no limitations on the inclusion of soft
variables in models, and many simulation models do include them.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 107
After all, the point of simulation models is to portray decision making as it really is, and soft
variables—including intangibles such as desires, product quality, reputation, expectations, and
optimism – are often of critical importance in decision making. Imagine, for example, trying to run a
school, factory, or city solely on the basis of the available numerical data. Without qualitative
knowledge about factors such as operating procedures, organizational structure, political subtleties,
and individual motivations, the result would be chaos. Leaving such variables out of models just
because of a lack of hard numerical data is certainly less “scientific” than including them and making
reasonable estimates of their values. Ignoring a relationship implies that it has a value of zero—
probably the only value known to be wrong!
Of course, all relationships and parameters in models, whether based on soft or hard variables, are
imprecise and uncertain to some degree. Reasonable people may disagree as to the importance of
different factors. Modelers must therefore perform sensitivity analysis to consider how their
conclusions might change if other plausible assumptions were made. Sensitivity analysis should not
be restricted to uncertainty in parameter values, but should also consider the sensitivity of
conclusions to alternative structural assumptions and choices of model boundary.
Sensitivity analysis is no less a responsibility for those modelers who ignore soft variables. Apparently
hard data such as economic and demographic statistics are often subject to large measurement
errors, biases, distortions, and revisions. Unfortunately, sensitivity analysis is not performed or
reported often enough. Many modelers have been embarrassed when third parties, attempting to
replicate the results of a model, have found that reasonable alternative assumptions produce
radically different conclusions.
Model Boundary.
The definition of a reasonable model boundary is another challenge for the builders of simulation
models. Which factors will be exogenous, which will be endogenous? What feedbacks will be
incorporated into the model? In theory, one of the great strengths of simulation models is the
capacity to reflect the important feedback relationships that shape the behavior of the system and its
response to policies. In practice, however, many simulation models have very narrow boundaries.
They ignore factors outside the expertise of the model builder or the interests of the sponsor, and in
doing so they exclude important feedbacks. The consequences of omitting feedback can be serious.
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 108