Collage SimKrit F Fischer

Simulation
kritischer Infrastrukturen
(SIMKRIT)
Vom Denken in Systemen

zu Prototypen von Simulationsmodellen
Ein subjektiver Rundgang durch die Fachliteratur
Dr. Friedmar Fischer
Karlsruher Institut für Technologie

(K.I.T.)
Institut für Kern- und Energietechnik
(IKET)
Campus Nord
Februar 2010
___________________________________________________________________________
Friedmar Fischer; Simulation kritischer Infrastrukturen
- Ein subjektiver Rundgang durch die Fachliteratur - 1
Inhaltsverzeichnis
1 Vorwort 3
2 Einleitung 5
3 Definitionen kritischer Infrastrukturen 9
4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen) 13
5 Modelltheorie (Prof. Wolthusen, Univ. Bochum) 19
6 P. Pederson: CI – Interdependency Modeling: A Survey 35
7 S. Rinaldi: Modeling and Simulating CI 41
8 SCADA Definition 47
9 E. Luiijf et al: Empirical Findings on CI Dependencies 51
10 DIESIS Project Description 57
11 K. Niemeyer: Simulation of Critical Infrastructures 63
12 W. Schmitz: Modellbildung und Simulation für KI 77
13 P. Gomez: Ganzheitliches Problemlösen 101
14 J. Sterman: Skeptic’s Guide to Computer Models 105
___________________________________________________________________________
1 Vorwort
Aus der Projektskizze:
SIMKRIT: Simulation Kritischer Infrastrukturen für das Krisenmanagement
Kritische Infrastrukturen umfassen die Sektoren Energieversorgung, Versorgung mit Trinkwasser und
Nahrungsmitteln, Gefahrenstoffe, Behörden und Verwaltung, Telekommunikation und
Informationstechnik, Transport und Verkehrswesen, Finanz-, Geld- und Versicherungswesen und
Sonstiges wie Großforschungseinrichtungen, symbolträchtige Bauwerke, Kulturgut und Medien.
Kritische Infrastrukturen haben komplexe innere Abhängigkeiten und sind außerdem stark
miteinander vernetzt, was insbesondere beim Ausfall der Stromversorgung bei Großschadenslagen
deutlich wird. Entscheidungsträger sind daher in solchen Situationen nicht nur durch einen
generellen Mangel an Ressourcen und deren nur eingeschränkte Verfügbarkeit bzw.
Leistungsfähigkeit sondern auch durch ein unzureichendes Verständnis der Auswirkungen
angedachter Maßnahmen auf die komplexe Schadenslage eingeschränkt handlungsfähig.
Vorraussetzungen einer guten Entscheidungsstrategie im Krisenmanagement sind daher die Kenntnis

der Schadenslage sowie der Überblick über die zu erwartenden Auswirkungen und der verfügbaren
Ressourcen. Weitere Bedingung für ein erfolgreiches Krisen- und Notfallmanagement beim Ausfall
von Versorgungssystemen ist zudem das Verständnis über das Verhalten der jeweils betroffenen
kritischen Infrastrukturen bezüglich der vorrangigen Hilfsmaßnahmen und deren Auswirkungen auf
das gesamte System. Um die Reaktion des Systems realitätsnah abzubilden, bieten sich
Simulationsmodelle an. Das Problem existierender Ansätze ist jedoch ihre Inselcharakteristik.
Simulationen von Verkehrströmen, Stromnetzen und Transportwegen sind weltweit verfügbar,
allerdings sind diese Systeme weder vernetzt noch interagieren sie miteinander.
Die Ziele des Projektes im Einzelnen umfassen u.a. die folgenden Punkte:
Welche Modellansätze und Modelle existieren zur Abbildung kritischer Infrastrukturen und deren
Vernetzung, die im Bereich der Bewältigung von Schadensereignissen aber auch bereits in der
Planungsphase eingesetzt werden können, und welche Anforderungen werden an sie gestellt.
Welche Ansätze zur Entscheidungsunterstützung vermögen es, die komplexen Zusammenhänge

zwischen den kritischen Infrastrukturen für einen Entscheidungsträger fassbar abzubilden.
___________________________________________________________________________
___________________________________________________________________________
2 Einleitung
Aktuelle Naturkatastrophen, Terroranschläge der vergangenen Jahre (insbesondere der Anschlag auf
das WTC in New York am 09. September 2001) haben die Verwundbarkeit unserer hoch technisierten
Welt drastisch vor Augen geführt. Weltweit gibt es inzwischen zahlreiche Studien, Konferenzen zur
Erörterung von sogenannten „kritischen Infrastrukturen“ in den unterschiedlichsten Bereichen des
täglichen Lebens. Es gilt Schwachstellen herauszufinden, formale Lösungswege zur Sicherung der
Infrastrukturen zu finden und Entscheidungshilfen und –methodiken anzubieten. Die
vorangegangenen Auszüge aus der Projektskizze von SIMKRIT beschreiben Teilaspekte dieser immer
wiederkehrenden Aufgabenstellungen.
Losgelöst von aktuellen (realen) Erereignissen beschreibt Klaus Niemeyer (IABG) im August 2000 in
seiner Studie „Modell ausgewählter Branchen zur Simulation von kritischen
Störungen (Bericht NOA-TR-1, www.n-o-a.de):
„Menschen leben in einer komplexen, dynamischen Realität von natürlichen und sozialen
Systemen. Viele Systeme sind nicht im Gleichgewicht und der Zustand ändert sich kontinuierlich.
Um dieses zu verstehen, sich anzupassen und um die Realität zu kontrollieren sind Methoden zu
entwickeln und einzusetzen. Eine wichtige Methode ist die Beschreibung des Systems als formales
Modell und die Nutzung auf einem Rechner in Sinne eines Berechnungsexperimentes.
Die mentalen Modelle des menschlichen Gehirns der Entscheidungsträger sind nicht in der Lage,
die Komplexität, Variabilität und Vielfältigkeit der Prozesse der problematischen Systeme zu
erfassen. Mit Hilfe von Computern ist es jedoch möglich auf explizite und anschauliche Weise die
Zusammenhänge zu formulieren, zu programmieren und die Annahmen und Resultate an
Entscheidungsträger zu vermitteln und damit eine konstruktive Kritik zu bewirken.
Speziell Simulationsmodelle können genutzt werden, um die unmittelbar existierenden

Wechselwirkungen zwischen Struktur und Verhalten dynamischer Systeme zu untersuchen. Man
kann problematisches Verhalten eines Systems in Zusammenhang bringen mit der Struktur des
Systems und kann Veränderungen der Struktur zur Verbesserung des Verhaltens herausfinden.”
Diese Statements können als roter Faden für einen ersten Rundgang durch die einschlägige
Fachliteratur dienen.
Zunächst einmal gibt es eine Vielzahl von ähnlich klingenden internationalen Definitionen des
Begriffs „Kritische Infrastrukturen“ (siehe Kapitel 3). Die George Mason University, School of Law,
Center for Infrastructure Protection, Arlington, VA(USA), hat eine Zusammenstellung in Form von
MindMaps gemacht. Die für Europa wesentlichen Teile daraus sind (als Text exportiert) dargestellt.
Der US-Report for Congress, RL 31556, 2003, „Critical Infrastructures: What makes an Infrastructure
Critical”, (siehe: http://www.fas.org/irp/crs/RL31556.pdf), beschreibt im Groben die wesentlichen
anfälligen Infrastrukturbereiche und wie sich Kriterien und Komponenten kritischer Infrastrukturen
im Laufe der Zeit verändern.
Damit zu verstehen ist, welche Hilfsmittel zur Entscheidungsunterstützung bei Problemlösungen

kritischer Infrastrukturen sich wie in den wissenschaftlichen Kontext einordnen, erscheint es nützlich,
___________________________________________________________________________
zunächst – quasi als Meta-Ebene der Betrachtung - einen Abstecher in den Bereich der
Systemtheorie bzw. im Weiteren auch der Modelltheorie zu machen.
In einem Grundsatzartikel (siehe Kapitel 4) beleuchtet Prof. M. Schwaninger (Universität St. Gallen)
„das Systemdenken als ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches
Denken; es ist gleichzeitig analytisch und synthetisch orientiert. Für komplexe Aufgabenstellungen
spielt die getroffene Unterscheidung zwischen geschlossenen und offenen Systemen eine
wesentliche Rolle. Angesichts wachsender Komplexität und Dynamik unserer Welt stossen
herkömmliche Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer
Sachverhalte nicht adäquat Rechnung tragen, zunehmend an Grenzen. Zahlreich sind die Versuche,
systemisch-kybernetisch geprägte Method(ik)en für einen "ganzheitlichen" Umgang mit komplexen
Systemen anzubieten. Als ein wichtiges Beispiel dafür ist die am Massachusetts Institute of
Technology entwickelte(top-down) System-Dynamics-Methodik. Sie beruht auf einer heute weit
verbreiteten Technik für die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und
Rückkopplungen. Komplementär dazu sind eher (bottom-up) orientierte agenten-basierte
Simulationsmodelle.“
Prof. S. Wolthusen (Universität Bochum) skizziert in seinem modelltherethischen Übersichtsbeitrag

(siehe Kapitel 5) den „Schutz kritischer Infrastrukturen und Informationssicherheit - Grundzüge der
Modellierung und Simulation -“ und erschließt das Thema mit Schlüsselfragen. Was genau soll
modelliert werden? Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr
Einfluss(quantitativ)? In welchem Beziehungsgeflecht stehen die als wichtig identifizierten Größen
miteinander? Mit welchem Instrumentarium lassen sich die Wechselwirkungen und Abhängigkeiten
beschreiben? Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw.
automatisierte Lösung geeignet? Es werden Fragen zur Bewertung (Validierung, Genauigkeit) und
Klassifizierung (diskret vs. kontinuierlich; determinstisch vs. stochastisch) der Modelle gestellt.
In Kapitel 6 werden einige Aspekte der Problematik voneinander abhängiger bzw. kaskadierender
Infrastrukturen angeschaut. P.Peterson et al. geben in Ihrem Artikel: “Critical Infrastructure
Interdependency Modeling: A Survey of U.S. and International Research”, Idaho National Laboratory,
Idaho Falls (USA) einige Hinweise auf die internationale Forschungsarbeit auf diesem Gebiet
In Kapitel 7 werden „Inderdependenz-Modelle“ kritischer Infrastrukturen kategorisiert. S. Rinaldi

(Sandia National Laboratories) unterscheidet in seinem Konferenzbeitrag: „Modeling and Simulating
Critical Infrastructures and their Dependencies“ z.B. aggregierte Angebots- und Nachfrage-Tools,
dynamische Simulationen, agenten-basierte Modelle, ingenieurs-basierte Modelle, Bevölkerungs-
Mobilitäts-Modelle, Leontief Input-Out-Modelle. Als eine der ganz grossen Herausforderungen zur
Modellierung von Interdependenzen erweist sich nach seiner Auffassung die Erhebung und
Bereitstellung entsprechender Daten. Auch die Validierung und Verifikation der verwendeten
Modelle ist dabei von fundamentaler Bedeutung. In einem weiteren Beitrag weisen S. Rinaldi, J.
Peerenboom, T. Kelly: „Identifying, Understanding, and Analyzing Critical Infrastructure
Dependencies“ (IEEE Control Systems Magazine), auf die Bedeutung von sogenannten „Cyber“ –
Interdependenzen hin.
Da das zuverlässige Funktionieren moderner Infrastrukturen inzwischen sehr stark von

automatisierten („computerisierten“) Kontrollmechanismen abhängt („Cyber – Inderdependenz“)
wird in Kapitel 8 eine allgemeine Beschreibung dieser sogeannten SCADA (supervisory and data
aquisition) System gegeben. Cyber – Inderdependenzen verbinden Infrastrukturen untereinander
durch elektronische informationelle „Links“. Daher gibt es dazu inzwischen auch den terminus
technicus für diesen Teilbereich der „critical informational infrastructure protection“ (CIIP).
___________________________________________________________________________
Während Rinaldi et al. und Wolthusen für die Erörterung der Abhängigkeiten kritischer
Infrastrukturen einen theoretischen Modellzugang gewählt haben, gehen E. Luiijf et al. (TNO
Defence, The Hague, NL) einen anderen Weg. Eine Skizze dieses Weges findet man in Kapitel 9. Es
werden europäische Datensammlungen zu Störfallen bei kritischen Infrastrukturen ausgewertet. In
der Untersuchung werden die Störfallereignisse klassifiziert (auslösende, resultierende, oder
unabhängige Ereignisse). Es gibt dabei u.a. kaskadierende auslösende bzw. resultierende
Erereignisse. Aus der Vielzahl gesammelter empirische europäischer Daten läßt sich die Vermutung
einer „Domino-Theorie“ für kritische Infrastrukturen nicht bestätigen. Kaskadierende Ereignisse (-
bezogen auf unterschiedliche Sektoren des täglichen Lebens -) erwiesen sich als sehr asymmetrisch
und gebündelt. Der Schwerpunkt der kaskadierenden Effekte lag im Energie- und
Telekommunikationssektor. Ferner meinen die Autoren festgestellt zu haben, das weit weniger
Interdependenzen aus empirischen Untersuchungen belegbar waren als beim Design theoretischer
Modelle meist angenommen wird.
Kapitel 10 skizziert das EU – Projekt DIESIS (Design of an Interoperable European federated

Simulation network for critical InfraStructures). In einem DIESIS - Projekttext werden die
wesentlichen Aufgaben beschrieben. “Die europaweit wachsende Abhängigkeit von kritischen
Infrastrukturen wie Energieversorgung, Telekommunikation, Transportwesen oder Wasserstraßen
birgt auch Risiken von internationalem Ausmaß. Katastrophen, menschliches Versagen oder
technische Störungen der Informationstechnik und Telekommunikation können große Regionen von
lebenswichtigen Infrastrukturen abschneiden. Zur Vorbeugung hat die Europäische Union das
Forschungsprojekt DIESIS unter Federführung des Fraunhofer-Instituts für Intelligente Analyse- und
Informationssysteme IAIS gestartet.
Die Forschung im Bereich komplexer Infrastruktursysteme ist darauf angewiesen, Modelle und
Simulationsumgebungen als Hilfsmittel zu verwenden, da Untersuchungen oder Erprobungen von
neuen Techniken aus Sicherheitsgründen nicht an den im Betrieb befindlichen Kontrollsystemen
durchgeführt werden können. Für einzelne Infrastrukturen gibt es bereits sehr gute Simulatoren,
jedoch gibt es bisher keine, die geeignet sind, eine koordinierte und sektorübergreifende Simulation
von mehreren voneinander abhängigen Infrastrukturen zu leisten. Aufgabe und Ziel des Projekts
DIESIS ist es nun, eine europaweit standardisierte Plattform für die Modellierungs- und
Simulationsaufgaben zu konzipieren, die die Grundlage für eine grenzübergreifende Erforschung von
Sicherheitsaspekten der kritischen europäischen Infrastrukturen bildet. Die Plattform soll im Rahmen
eines später einzurichtenden »Europäischen Zentrums für die Simulation und Analyse kritischer
Infrastrukturen EISAC« bereitgestellt werden.
Das DIESIS-Konsortium besteht aus fünf Projektpartnern, neben dem Fraunhofer IAIS sind dies Ente
per le Nuove Tecnologie, l‘Energia e l‘Ambiente ENEA (Italien), Consorzio Campano di Ricerca per
l’Informatica e l‘Automazione Industriale CRIAI (Italien), TNO (Niederlande) sowie das Imperial
College in London. “
In Kapitel 11 beschreibt K. Niemeyer (IABG, Ottobrunn) in einem Zeitschriftenartikel seine

Vorgehensweise zur Darstellung von Modell-Prototypen zur Simulation kritischer Infrastrukturen. Er
schreibt in z.B. in seinem Report NOA-TR-1 „Modell ausgewählter Branchen zur Simulation von
kritischen Störungen“: “Um die impliziten Ursachen der Probleme der Struktur eines Systems zu
identifizieren, sind die Modelle zu entwickeln, experimentell zu analysieren und zu modifizieren. Im
„systems dynamics“ Kontext wird die Entwicklung des Modellkonzeptes und die Nutzung eines
großen Spektrums an Kriterien für Vergleiche mit realen Systemen im Vordergrund gesehen, sowohl
in struktureller Hinsicht als auch im Verhalten. Eine Reihe von Eigenschaften komplexer Systeme
werden von menschlichen mentalen Modellen nur sehr schwer erfasst. Zunächst ist die Ursache des
dynamischen Verhaltens zu erfassen . Weiterhin ist es schwierig die zeitlichen Verzögerungen in
realen Systemen zu erfassen. Diese verursachen zeitlich verschobene Verteilungen der Auswirkungen
___________________________________________________________________________
von Parametern und Wirkungen. Verzögerungen verführen Menschen dazu Priorität den kurzfristigen
Ergebnissen zu geben und langfristige Auswirkungen zurückzustellen oder zu ignorieren und damit
möglicherweise erheblich schlechtere Gesamtresultate erzielen. Darüber hinaus gibt es
Rückkopplungen, d.h. reale Systeme sind durch Wirkungen gekennzeichnet, die auf verursachende
Parameter zurückwirken. Derartige Rückwirkungen können die Ursachen verstärken oder auch
dämpfen, damit wird ein System instabil oder stabil. Wenn Menschen versuchen, die
Rückkopplungen zu organisieren, sind Verstärkung oder Dämpfung richtig einzuschätzen um die
Systemstabilität zu gewährleisten. Letztlich gibt es in erheblichem Maße nicht-lineare Prozesse. Dies
führt zu unproportionalen Abhängigkeiten, die nicht oder nur unzureichend beurteilt werden
können. Derartige Charakteristika komplexer Systeme verdecken die Zusammenhänge zwischen
Ursache und Wirkung und führen zu schwerwiegenden Fehlentscheidungen. Erfolgreiche Lösungen
sind häufig entgegengesetzt zur menschlichen Intuition und schwer zu finden.
Zur visuellen Vorbereitung, Aufbereitung und Darstellung der dynamischen Prozesse („system
dynamics“) werden existierende Softwarekonzepte genutzt wie etwa: GAMMA („Concept
Mapping“, „holistic thinking“) von www.topsim.de und PowerSim von www.powersim.com.
In Kapitel 12 wird beschrieben, wie N. Schmitz (IABG, Ottobrunn) auf den Überlegungen seines
Kollegen K. Niemeyer aufbaut und ein ausgezeichnetes denkbares Vorgehensmodell für ein
Kontrollmodell zum Schutz kritischer Infrastrukturen im Bereich Energie vorgestellt. Dabei werden
zunächst häufige Fehler bei der Modellierung komplexer Systeme angesprochen. Er schreibt, die
methodische Herausforderung bestehe darin, methodische Unzulänglichkeiten (Fehler) zu vermeiden
und Antworten auf wichtige Fragen zu finden: Wie reagiert das System „Kritische Infrastrukturen“ auf
bestimmte Ereignisse? Wie robust und flexibel ist das System? Wie kann sein Systemverhalten
verbessert werden? Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt
werden? Was sind die kritischen und unkritischen Bereiche des Systems?
Die konkrete Umsetzung des gewählten Systembeispiels erfolgt mit den Software-Werkzeugen
GAMMA und TopSim.
In Kapitel 13 würdigen die Autoren P. Gomez und G. Probst die Methode des „holistic thinking“ und
gehen auch kurz auf die Software-Werkzeuge GAMMA und TopSim ein.
Zum Schluss werden in Kapitel 14 von J. Sterman in einem Überblicksaufsatz skeptische Blicke auf
Simulationen durch Computermodelle geworfen. Es werden Grenzen der Simulation aufgezeigt,
Fragen bzgl. der Genauigkeit von Entscheidungsregeln, der Berücksichtigung von sogenannten
„weichen (soften)“ Einflussgrößen gestellt, die Problematik der Festlegung von Modellgrenzen der
Simulation und der Feedbacks angerissen.
Es würde den Rahmen dieses ersten Rundgangs durch die Fachliteratur sprengen, detaillierter auf die
zahlreichen neueren Beiträge zu Detailaspekten der Modellierung und Simulation kritischer (auch
Informations-) Infrastrukturen einzugehen.
Dazu sei verwiesen auf die Konferenzberichte zu CRITIS 2008 und 2009 (CRITIS = Critical Information
Infrastructures Security) und auf das Projekt IRIIS (Integrated Risk Reduction for Information-based
Infrastructure Systems). Im Projekttext steht u.a.: Aufgabe und Ziel von IRRIIS ist es, eine neue
Simulationsumgebung aufzubauen. Das Tool SimCIP (Simulation of Critical Infrastructure Protection)
ist ein agentenbasiertes Simulationssystem, das ganz unterschiedliches Zeitverhalten und
Abhängigkeiten von kritischen Infrastrukturen simulieren kann. Um die erforderliche Präzision der
Simulation zu erzielen, gestattet SimCIP über Federated Simulation spezielle Simulatoren zu
integrieren, zum Beispiel für Energienetze oder Telekommunikationssysteme.
Für die Modellierung mittels des „system dynamics“ – Denkens und der „holististischen“
Herangehensweise gibt es weitere Produkte auf dem Markt (z.B. ithink!, Heraklit, VenSim, u.v.a.).
___________________________________________________________________________
3 Definitionen kritischer Infrastrukturen
___________________________________________________________________________
From: http://cip.gmu.edu/research/CriticalInfrastructureMapping.php
(reconstructed text from mindmapping charts)
International Definitions of Critical Infrastructure
International Organizations with U.S. Participation

North Atlantic Treaty Organisation (NATO)
"Critical infrastructure are those assets, facilities, networks and services which, if disrupted or
destroyed, would have a serious impact on the health, safety, security, economic well being or
effective functioning of a country."
Source: Backgrounder: NATO’s Role in Civil Emergency Planning, NATO Public Diplomacy Division,
September 2006, p. 9. Available at: http://www.nato.int/docu/cep/cep-e.pdf (last accessed May 17, 2007).
Organisation for Economic Co-operation and Development (OECD)
"The Asian Development Bank (ADB) uses the definition of infrastructure developed by the
Task Team on Infrastructure for Poverty Reduction, which distinguishes 'social infrastructure'
(such as health, education, and culture) from 'economic infrastructure' (such as transport,
energy, information and communication technology, and irrigation, drinking water, and
sanitation)."
Source: Regional Cooperation on Disaster Management and Preparedness, Central Asia Regional Economic
Cooperation, August 28-29, 2006, p. 4. Available at:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN025915.pdf (last accessed May 17,
2007).
United States
Critical infrastructure: "Assets, systems, and networks, whether physical or virtual, so vital
to the United States that the incapacity or destruction of such assets, systems, or networks
would have a debilitating impact on security, national economic security, public health or
safety, or any combination of those matters."
Source: National Infrastructure Protection Plan (NIPP), U.S. Department of Homeland Security, June 2006, p.
103. (Aktuelles Dokument nun in: http://www.dhs.gov/files/programs/editorial_0827.shtm)
"As defined in the Homeland Security Act, 'key resources' are publicly or privately controlled
resources essential to the minimal operations of the economy and government."
Source: NIPP, p. 104.

European Union (EU)
". . . European Critical Infrastructure – that is critical infrastructure that, if disrupted or
destroyed, would significantly affect two or more Member States or a single Member State if
the critical infrastructure is located in another Member State. With due regard to existing
___________________________________________________________________________
Community competences, the responsibility for protecting National Critical Infrastructures
falls on the NCI owners/operators and on the Member States. The Commission will support
the Member States in these efforts only where requested to do so."
Source: "The European Programme for Critical Infrastructure Protection (EPCIP)," Press Release, Commission
of the European Communities, December 12, 2006, p. 3. Available at:
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/06/477&format=HTML&aged=0&language=
EN&guiLanguage=en (last accessed May 17, 2007).
Assessment for Critical Infrastructure Protection (ACIP)
"The term Large Complex Critical Infrastructure (LCCI) defines a distributed network of
independent, mostly privately-owned, man-made systems and processes working
collaboratively and synergistically to produce and distribute a continuous flow of essential
goods and services.
An LCCI is an infrastructure (such as an electric grid, a telecommunications network or a
railway/air/road transportation network) whose destruction or degradation can entail severe
consequences to public health, safety, security, or the economy."
Source: Deliverable D7.5: Final Report (2-PR): Analysis and Assessment for Critical Infrastructure Protection
(ACIP), Information Society Technologies, June 5, 2003, p. 36. Available at:
http://www.iabg.de/acip/doc/wp7/D75_final_progress_report_public.pdf (last accessed May 17, 2007).
Germany
"Critical infrastructures (CI) are organisations and facilities of major importance to the
community whose failure or impairment would cause a sustained shortage of supplies,
significant disruptions to public order or other dramatic consequences."
Source: "Critical Infrastructure Protection for Disaster Reduction," Presentation by Susanne Lenz, Federal Office
of Civil Protection and Disaster Assistance, Centre for Critical Infrastructure Protection, August 29, 2006.
Available at: http://www.davos2006.ch/Presentations/Lenz_S_Pres.pdf (last accessed May 17, 2007).
___________________________________________________________________________
___________________________________________________________________________
4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen)
___________________________________________________________________________
Prof. Dr. Markus Schwaninger, Universität St. Gallen, „Systemtheorie“, Diskussionsbeitrag No, 19,
Dezember 2004
(siehe den kompletten Beitrag:
http://www.ifb.unisg.ch/org/ifb/ifbweb.nsf/SysWebRessources/beitrag+19/$FILE/DB_19.pdf)
Aus der Systemtheorie leiten sich verschiedene Systemmethodiken ab. Diesen liegt eine auf den
Erkenntnissen der allgemeinen Systemtheorie basierende Denkweise zugrunde, die als
Systemdenken bezeichnet wird. Zu diesen Erkenntnissen zählen etwa:
1. Das Ganze und die Teile: Das Ganze ist nicht gleich der Summe der Teile.
2. Vernetztheit: Komplexe Systeme sind vernetzte, dynamische Ganzheiten.
3. Das System und seine Umwelt:Offene Systeme sind jeweils mit ihrer Umwelt ernetzt und
tauschen mit dieser Materie, Energie und Information aus.
4. Komplexität: Das Verhalten komplexer Systeme lässt sich nicht im einzelnen vorhersehen,
aber beeinflussen.
5. Ordnung: Komplexe Systeme weisen erkennbare Ordnungsmuster auf, die (mit-)

gestaltet werden können.
6. Lenkung: Lenkung (Steuerung, Regelung) hält ein System unter Kontrolle.
7. Entwicklung: Soziale Systeme können lernen und sich qualitativ entwickeln.
Systemdenken ist ein ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches

Denken; es ist gleichzeitig analytisch und synthetisch orientiert.
…
Für komplexe Aufgabenstellungen spielt die getroffene Unterscheidung zwischen geschlossenen und
offenen Systemen eine wesentliche Rolle. Offene Systeme sind durch Materie-, Energie- und
Informationsaustausch mit ihren Umsystemen in der Lage, zu wachsen und sich zu entwickeln. Sie
können ein Fliessgleichgewicht mit ihrer Umwelt aufrechterhalten und trotz wechseln der Elemente
ihre Identität aufrechterhalten. Die für geschlossene Systeme zwingende Zunahme der Entropie
(Unordnung) im Zeitablauf (2. Hauptsatz der Thermodynamik) gilt nicht für offene Systeme. Diese
können durch Aufnahme von Materie, Energie und Information Zustände wachsender Ordnung, resp.
ein gehobenes Energieniveau auf bauen.
Beer (1967) klassifiziert Systeme unter dem Beschreibungs- und Regelungsaspekt nach zwei
Dimensionen:
 Komplexität: Einfach, komplex, äusserst komplex
 Bestimmbarkeit: Determiniert versus stochastisch
Daraus ergeben sich 6 Stufen von einfach und determiniert bis äusserst komplex und stochastisch.
Den verschiedenen Systemtypen können jeweils geeignete Lenkungsty pen resp. Systemmethodiken
zugeordnet werden.
Die mathematische Systemtheorie unterscheidet nach der Art der Transformation von
zeitabhängigen Eingangsgrössen u(t) in Ausgangsgrössen y(t) folgende Merkmalsausprägungen:
 linear, nichtlinear
 zeitinvariant, zeitvariabel
___________________________________________________________________________
 statisch, dynamisch
 sofortwirkend, zeitverzögert wirkend
 deterministisch, stochastisch
Den Gegenstand z.B. betriebswirtschaftlicher Fragen bilden Systeme der Kategorien komplex und
stochastisch (z. B. Lagerhaltung) sowie äusserst komplex und stochastisch (z. B.
Unternehmungsführung).
Boulding, K. (1956) klassifiziert Systeme anhand von 9 Stufen, die von 1. statischen Strukturen
("Fachwerken"), 2. Uhrwerken, 4. Zellen über 7. Menschen bis 8. soziale Organisationen und 9.
transzendente Systeme reichen.
Soziale Systeme unterscheiden sich von den Systemen der vorgelagerten Stufen vor allem insofern,
als ihre Subsysteme (z. B. Gruppen) und Elementen (Individuen) sich an eigenen Werten und Zielen
orientieren.
….
Gegenstand der allgemeinen Systemtheorie ist die Abbildung von Systemen unterschiedlichster
Inhalte mit demselben formalen Apparat. Geschah dies ursprünglich weitgehend verbal und unter
Rückgriff auf Analogien wurden später zunehmend mathematische Strukturgleichheiten
(Homomorphien) zwischen Systemstrukturen und -prozessen identifiziert. Dabei liegt der didaktisch-
lernökonomische Nutzen der Systemtheorie darin, dass vielfältige Einzelrscheinungen als Ausprägung
weniger theoretischer Grundkonzepte erklärt und durchschaut werden können.
Die mathematische Systemtheorie hat vielfältige Verfahren zur Beschreibung, Analyse und
Optimierung komplexer Systeme hervorgebracht. Dazu einige Beispiele, ohne Anspruch auf
Vollständigkeit oder perfekte Systematik:
- Lineare Systeme
- Nichtlineare Systeme
- Kontinuierliche und diskontinuierliche Systeme
- Adaptive Systeme
- Dynamische Systeme
- Hierarchische Systeme
- Interagierende systeme
Die neueren Methoden der mathematischen Modellierung offener Systeme ermöglichen es,
komplexe organisationale Phänomene als notwendige Folgen nichtlinearer Wechselwirkungen zu
erklären. Entsprechende Anwendungen sind insbesondere aus Chemie und Biologie bekannt.
Diese Methoden sind im Prinzip nicht nur auf technisch-naturwissenschaftliche, sondern auch auf
soziale und ökologische Systeme übertragbar. Dort tritt allerdings, angesichts der hohen Komplexität
der betrachteten Phänomene, anders als in den Naturwissenschaften, gegenüber der
mathematischen Analyse und der Lösung von Gleichungssystemen die Simulation, oft in Verbindung
mit der Optimierung, in den Vordergrund. Als besonders vielseitig anwendbar ist die System-
Dynamics-Methodik hervorzuheben.
…
Angesichts wachsender Komplexität und Dynamik unserer Welt stossen herkömmliche
Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer Sachverhalte nicht
___________________________________________________________________________
adäquat Rechnung tragen, zunehmend an Grenzen. Optimierungsmodelle mit zu eng gesetzten
Systemgrenzen beispielsweise generieren oft Lösungen, die nur kurzfristig attraktiv, langfristig aber
kontraproduktiv sind, etwa wenn die ökologische Dimension von ökonomischen Sachverhalten
künstlich abgetrennt wird.
Zahlreich sind die Versuche, systemisch-kybernetisch geprägte Method(ik)en für einen
"ganzheitlichen" Umgang mit komplexen Systemen anzubieten, dessen philosophische Basis ein
"systemisches Weltbild" bildet. Grob vereinfachend kann zwischen positivistisch, objektivistisch,
rationalistisch geprägten Ansätzen einerseits und hermeneutisch, interpretativ, subjektivistisch
geprägten Ansätzen andererseits unterschieden werden. Erstere basieren auf sachlogischen und
quantitativen Analysen, letztere auf qualitativen - sozio logisch, kulturell, politisch und
handlungsorientierten - Betrachtungsweisen. Die folgende Gegenüberstellung muss vereinfachen,
weshalb die Gegensätze zwischen den einzelnen Schulen grösser erscheinen mögen, als sie dies
heute noch sind. Beispielsweise hat die ursprünglich streng positivistisch .geprägte System-Dynamics-
Schule über die Zeit auch zunehmend sozio-logische und hermeneutische Aspekte in ihre
Methodiken integriert.
Postiivistische geprägte Methodiken: Beispiele aus Modellierung und Simulation
Zunächst die von Jay W. Forrester am Massachusetts Institute of Technology
entwickelte System-Dynamics-Methodik. Sie beruht auf einer heute weit verbreiteten Technik für
die Simulation kontinuierlicher Systeme mit zahlreichen Variablen und Rückkopplungen. Diese geht
davon aus, dass das Verhalten eines komplexen Systems weitgehend durch dessen Struktur
bestimmt ist. Kernelement der Methodik ist eine Darstellung des gegenständlichen Systems mit Hilfe
eines Flussdiagrammes, das zwischen Bestandesgrössen ("stock variables", "levels"), Flussgrössen
("flow variables", "rates"), Hilfsgrössen und Parametern (im Sinne von charakteristischen Grössen, -
meist Konstanten) unterscheidet. Weiter werden die im Diagramm dargestellten Beziehungen mittels
quantitativer Funktionen (Gleichungen, Input-Outputtabellen) in ein formales Simulationsmodell
übergeführt. Mit Hilfe der visuellen Abbildung und der Simulationen lassen sich wertvolle Einsichten
in das Systemverhalten gewinnen. Mittlerweile ist eine Reihe von "System-Archetypen", -
generischen Strukturen - formalisiert worden, die sich in vielfältigen Systemen immer wieder
feststellen lassen.
Die Anwendungsgebiete von System Dynamics sind äusserst vielfältig. Sie reichen im
sozioökonomischen und ökologischen Bereich von globalen Modellen zu Modellen von
Volkswirtschaften, regionalen Systemen, Organisationen und Teilaspekten der Unternehmungs-
führung.
Seit einigen Jahren verfügbare, leicht handzuhabende und leistungsfähige Software (z.B.: Dynamo,
PowerSim, Stella, Vensim) erleichtert die Erstellung von System Dynamics-Modellen erheblich und
erlaubt teilweise auch die Optimierung von Modellparametern.
Komplementär zu System Dynamics, das eher eine top-down-Betrachtung - den Blick auf Struk-
turen und Verhaltensmuster auf hochaggregierter Ebene - anstellt, sind auch die agentenbasierten
Simulationsmodelle von grosser Bedeutung. Sie weisen eine bottom-up-Orientierung auf, und zwar
in dem Sinne dass das Verhalten der einzelnen Agenten auf Mikroebene in seiner Gesamtheit
Verhaltensmus ter auf Makroebene erzeugt. Zwischen diesen beiden Welten - System Dynamics
und agentenbasierter Simulation werden langsam Brücken gebaut.
Hermeneutisch geprägte Methodiken: Beispiel Soft Systems Methodology
Checklands Soft Systems Methodology wurde für den Umgang mit schlecht definierten,
"weichen" Problemsituationen entwickelt. Sie versteht sich als eine firmere Leitlinie für das Handeln,
als dies eine Philosophie sein könnte, nicht aber als eine präzise Technik der Modellierung. Sie bietet
ein heuristisches Vorge henskonzept, in dem zwischen Aktionen in der realen Welt und Schritten des
System denkens auf der formal-konzeptionellen Ebene unterschieden wird. Dabei wird eine
Verwendung quantitativer Methoden oder Methodiken der Modellierung in bestimmten Phasen
___________________________________________________________________________
keineswegs ausgeschlossen. Besonderes Gewicht liegt auf einer Berück sichtigung multipler Perspek-
tiven in der Definition und Abgrenzung der Problemdefinition.
Integrative Systemmethodiken
In jüngster Zeit wächst die Einsicht, dass wirksame Problemlösungen in Management-Kontexten auf
einer Synthese beider Arten von Methodiken basieren. Damit sowohl den sachlogischen, als auch
den sozio-logischen Aspekten der zu bewältigenden Probleme adäquat Rechnung getragen wird, sind
für Anwendungen auf dem Gebiet des Managements Methodiken entwickelt worden, die Aspekte
beider genannten Ansätze verknüpfen. Zu diesen zählen das Sensitivitätsmodell (Vester) und die
Methodik des Vernetzten Denkens (Gomez, P./Probst, G.), Methodenpakete, die jeweils
qualitative und grobe quantitative Verfahren kombinieren. Zur Unterstützung dieser Methodiken
liegen die Softwarepakete 'Sensitivitäts modell', 'GAMMA' und 'Heraklit' vor.
Es wurde eine systemisch-kybernetische Management-Methodik, die Cybernetic Methodology

entwickelt, die auf der Soft Systems Methodology aufbaut. Sie ist speziell darauf angelegt, dass im
Entscheidungsprozess nicht nur das Problem an sich (Objektebene), sondern auch der
Zusammenhang, in den das Problem eingebettet ist (Kontextebene), in seiner Dynamik berücksichtigt
wird.
Auf dieser Grundlage wurde eine Integrative Systemmethodik erarbeitet, die eine Reihe von
Anforderungen und neuen Möglichkeiten einbezieht. Sie soll Akteuren in Organisationen helfen, ihr
Verhaltensrepertoire im Sinne einer "Requisite Variety" zu verbessern. Die Integrative
Systemmethodik bildet einen methodologischen Rahmen, der vor allem zwei bis anhin zu wenig
berücksichtigten Aspekten speziell Rechnung trägt:
a) der Überwindung der Kluft zwischen der positivistischen und der interpretativen Tradition:
- objektivistische versus subjektivistische Weltsicht
- strukturalistische versus diskursive Ausrichtung
- qualitative versus quantitative Methoden
- instrumentalistischer und kommunikativer Rationalität,
b) der Validierung der verwendeten Modelle.
Einen Überblick zum Prozess vermittelt Abbildung 3. Im ersten Teil der Abbildung (3/1) wird die dem
Problemlösungsprozess zugrundlegende Sequenz von Schritten gezeigt. Die Unterscheidung von
Inhalts- und Kontextebene gilt für den gesamten Prozess, der auf beiden Ebenen geführt
werden muss. Im zweiten Teil (3/2) wird eine etwas detailliertere Sequenz von Schritten
dargestellt, die jeweils für beide Ebenen gelten. Im Zentrum steht der Aspekt der Validierung. Dies ist
die stete Bemühung um bessere Modelle und Strategien. Zu diesem Zweck sind besondere
Methoden und Techniken entwickelt worden.
___________________________________________________________________________
___________________________________________________________________________
5 Modelltheorie (Prof. Wolthusen, Univ. Bochum)
___________________________________________________________________________
Aus:
http://www.crypto.rub.de/imperia/md/content/lectures/kritis/wolthusen/28012006/segment2.pdf
Schutz kritischer Infrastrukturen und Informationssicherheit

Grundzüge der Modellierung und Simulation WS 2005/06
Prof. Dr. Stephen D. Wolthusen
Grundmerkmale von Modellen

Modelle sind, wie alle Abbildungen, durch drei Merkmale gekennzeichnet (Stachowiak1973):
Stachowiak, H. (1973): Allgemeine Modelltheorie. Wien: Springer.
1) Abbildungsmerkmal: Modelle sind stets Modelle von etwas, nämlich Abbildungen,

Repräsentationen natürlicher oder künstlicher Originale, die selbst wieder Modelle sein
können.
2) Verkürzungsmerkmal: Modelle erfassen im Allgemeinen nicht alle Attribute des durch sie
repräsentierten Originals, sondern nur solche, diejeweils relevant erscheinen.
3) pragmatisches Merkmal: Modelle sind ihrem Original nicht unbedingt eindeutig zugeordnet:
Sie erfüllen eine Ersetzungsfunktion für bestimmte Subjekte, innerhalb eines bestimmten
Zeitintervalls und unter Einschränkungen auf bestimmte gedankliche oder tatsächliche
Operationen.
___________________________________________________________________________
Das System und seine Bestandteile
Ein System S ist ein Quadrupel, das aus
(1) der Menge der Attribute,

(2) der Menge der Funktionen,
(3) der Menge der Subsystemeund
(4) der Menge der Relationen gebildet wird.
(1) Attribute: Die äußeren Merkmale und Eigenschaften eines Systems bilden die Menge seiner
Attribute. Diese wird in disjunkteTeilmengen (zum Beispiel Input, Output) unterteilt. Ein Attribut hat
mindestens eine Ausprägung (zum Beispiel Wert). Ein Attribut isteine nicht-leere Menge von
Eigenschaftsausprägungen.
(2) Funktion: Die Beziehungen zwischen den Attributen eines Systems bilden die Menge der
Funktionen. Eine Funktion wird als n-Tupelaufgefaßt, bei dem jede Stelle durch das Element eines
Attributs besetzt ist. Eine Funktion ist eine Teilmenge des kartesischen Produkts zwischen Attributen.
(3) Subsysteme: Die inneren Bestandteile eines Systems bilden die Menge der Subsysteme. Jedes
Subsystem kann selbst als System aufgefaßt werden; es besitzt daher auch eine eigene Menge von
Attributen. Systemumgebung: Ausgehend von einer Grundmenge, die die Menge aller
Subsystemeenthält, erhält man die Umgebung, wenn man die Differenzmenge zwischen der
Grundmenge und der Menge aller Subsysteme bildet.
(4) Relationen: Die Beziehungen zwischen den Attributen verschiedener Subsysteme bilden die
Menge der Relationen. Eine k-stelligeRelation ist eine Teilmenge des kartesischen Produkts zwischen
k Attributen von k Subsystemen.
Modellierung
 Vereinfachende Abbildung (abstrakte Repräsentation) eines Wirklichkeitsausschnittes /

Gegenstands
 Abhängig von dem verfolgten Zweck bzw. der Sichtweise
 Eingeschränkte durch die Modellierungsmethode bzw. die entsprechenden

Modellierungskonstrukte
 Subjektiver Prozess(in der Regel nicht automatisierbar)
 Dient insbesondere der Bewältigung von Komplexität
 Voraussetzung für eine informationstechnische Umsetzung
 Basiert in der Regel auf Abstraktion
 (Verallgemeinerung, Loslösung vom Konkreten, Theoretisierung)–Typisierung relevanter

Sachverhalte– Nicht-Abbildung irrelevanter Aspekte
___________________________________________________________________________
 Unternehmensmodellierung: Das Unternehmen bzw. betriebliche Gegebenheiten stellen den
betrachteten Wirklichkeitsausschnitt dar
Definition Modellierung (1)

Modell : (vereinfachendes) Abbild einer (partiellen) Realität
 konkret: z.B. Modellbau, Experimente (Windkanal)
 abstrakt: formale Beschreibung, typischerweise (aber nicht nur) mit dem Methodenapparat
der Mathematik
mathematische Modellierung : Prozessder formalen Herleitung und Analyse eines mathematischen

Modells
 zunächst: informale Beschreibung des Problems (Prosa)
 daraus: semiformale Beschreibung mit Instrumentarium der Anwendungswissenschaft
 daraus schließlich: streng formale Beschreibung (Konsistenz!)
 D.h.: Formalisierung bzw. Mathematisierung eines Problems zur besseren Lösbarkeit!
Definition Modellierung (2)

Beispiel: Stunden-und Raumbelegungsplan einer Schule
 zunächst Beschreibung mit Text
 daraus Kärtchentableau
 daraus Graph und Scheduling-Problem
Simulation: virtuelles (i.A. rechnergestütztes) Experiment am Modell, eigentliches Ziel der

Modellierung
Modellbildung unterschiedlich naheliegend und etabliert
 exakte Naturwissenschaften: lange Tradition, Formulierungen derPhysik etwa per se

mathematisch, heute i.W. anerkannt
 staatliche Wirtschaftspolitik: stark umstritten, mindestens zwei Lager (Monetaristen und

Keynesianer), beide fahren Modelle auf
 Klimamodellierung: stark abweichende Theorien zu Ozonloch und globaler Erwärmung, alle

modellgestützt
___________________________________________________________________________
 Spieltheorie: von Neumanns MinMax-Prinzipvon Vorsicht geprägt (worstcase), kaum
realistisch für Zocker etc.
Modellierung und Simulation

Was ist der Zweck einer Simulation?
 ein bekanntes Szenario verstehen bzw. nachvollziehen:
- Naturkatastrophen (Erdbeben etc.): warum überhaupt, warum an diesem Ort und zu

dieser Zeit, warum so heftig?
- Einsturz des World Trade Centers
 ein bekanntes Szenario optimieren:
- Flugeinsatzplan der Lufthansa

- Wärmeabtransport eines Kühlsystems-Durchsatz durch ein Rechensystem oder das
Internet
 ein unbekanntes Szenario vorhersagen:

- Klimaveränderungen, Wettervorhersage
- Entwicklung des Bevölkerungswachstums
- Eigenschaften neu konzipierter Materialien (Verbundwerkstoffe, Legierungen, ...)
Anwendungsbeispiele (1)
Wo wird modelliert und simuliert?
 Physik: Astrophysik, Geophysik, ...

 Chemie: Proteinforschung, Drug Design
 Biologie: Limnologie, Bioverfahrenstechnik, ...
 Materialwissenschaften: Smart materials, Nanostrukturen
 Klima & Wetter: Global Warming, Golfstrom, Ozonloch, ...
 Automobilindustrie: Crashtests (Strukturmechanik), Windkanal (Strömungsmechanik),
Einspritzung und Zündzeitpunkt (Verbrennung), Airbags (Mikrosystemtechnik, Kopplungen),
Fahrdynamik (Optimalsteuerung), Schallabstrahlung (Akustik)
 Volkswirtschaft: Konjunkturmodelle (Zyklen, ...), Wirtschafts-und Steuerpolitik,
Preisbildungsmechanismen, ...
 Finanzwirtschaft: Kursprognosen, Option Pricing, ...
Anwendungsbeispiele (2)
___________________________________________________________________________
Wo wird überall modelliert und simuliert?
 Halbleiterindustrie: Bauelementsimulation (npn-Übergangim Transistor),

Prozesssimulation(Herstellung von hochreinen Kristallen), Schaltkreissimulation, Chip-Layout,
...
 Computergraphik: lokale und globale Beleuchtungsmodelle
 Logistik/Ablaufplanung: Routing, Scheduling, Fuhrparkmanagement, ...
 Verkehrstheorie: Stauprävention, Verkehrssteuerung, Durchsatzerhöhung, ...
 Strategie: militärische/politische/ökonomische Szenarien•Wahl -und Meinungsforschung:

Faktorenanalyse, ...
 Codierungstheorie: Informationsmodell
 Versorger: Lastmodelle, Redundanz und Sicherheit•Steuerung : Funktionieren komplexer

Systeme
 Software Engineering: Abläufe (Workflow)
Herleitung von Modellen
Was genau soll modelliert werden?
 der Wirkungsgrad eines Katalysators oder die der die detaillierten Reaktionsvorgänge in
ihm?
 das Bevölkerungswachstum in Afrika oder nur in Kairo in Kairo?
 der Durchsatz durch ein Rechnernetz oder die mittlere Durchlaufzeit eines Pakets?
Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr Einfluss(quantitativ)?
 optimale Flugbahn des SpaceShuttle: Gravitation des Mondes, des Pluto, des Hörsaals?
 Dow Jones Index morgen um 12 Uhr: Äußerungen des Notenbankpräsidenten
 i.A. alles andere als offensichtlich (Expertise, Studien, Hypothesen);

frühe Festlegungen bestimmen spätere Simulationsergebnisse
(vgl.Klima!)
Beziehungsgeflecht von Einflussgrößen
___________________________________________________________________________
In welchem Beziehungsgeflecht stehen die als wichtig
identifizierten Größen miteinander?
 qualitativ: Vorzeichen von Ableitungen, “wenn –dann” etc.
 quantitativ: konkrete Größe der Abhängigkeiten
 typischerweise sehr komplizierte Beziehungen:

-Normalerweise beeinflusstdie CPU-Leistung die Job-Bearbeitungszeit stark.
-Bei heftigem Seitenflattern spielt sie dagegen kaum eine Rolle!
-allgemeine Beschreibung dieser schwankenden Abhängigkeit?
Mit welchem Instrumentarium lassen sich die

Wechselwirkungen und Abhängigkeiten beschreiben?
 algebraische Gleichungen und Ungleichungen
Beschreibungsmittel (2)
Instrumentarien zur Beschreibung von Beziehungen
 Automaten, Zustandsübergangsdiagramme
___________________________________________________________________________
-Modellierung von Warteschlangen (Zustände: verschiedene Füllgrade; Übergänge: Ankunft
bzw. Bearbeitungsende)
-Modellierung von Texterkennung (Zustände: bisherige Struktur; Übergänge: neues Zeichen)
-Modellierung von Wachstumsprozessen mit zellulären Automaten (Zustände:

Gesamtbelegungssituation (Zellen voll, gefüllt, leer), Übergänge durch Regeln)
 Graphen
-Modellierung von Rundreisen (Problem des Handlungsreisenden; Knoten: Orte; Kanten:

Wege)
-Modellierung von Reihenfolgeproblemen (Knoten: Teilaufträge auf einer Maschine; Kanten:

zeitliche Reihenfolge)
-Modellierung von Rechensystemen (Komponenten und Kanäle)
-Modellierung von Abläufen (Datenflüsse, Workflows)
Beschreibungsmittel (3)
Instrumentarien zur Beschreibung von Beziehungen
 Wahrscheinlichkeitsverteilungen
-Ankunftsprozessin einer Warteschlange
-Zustimmung zur Regierungspolitik in Abhängigkeit von der Arbeitslosenquote
-Kontrolltheorie: Störterme, Rauschen
-randomisierteHeuristiken (Greedy, simulatedannealing, ...)
 FuzzyLogic
-Regelung von Geräten der ConsumerElectronics (Waschmaschinen, Spülmaschinen,

Fotoapparate)
 neuronale Netze
 algebraische Strukturen :
-Gruppen in der Quantenmechanik
-endliche Körper in der Kryptologie
___________________________________________________________________________
Simulationsaufgabe
Welche Gestalt hat die resultierende Aufgabenstellung?
 finde eine Lösung zu gegebenem Gleichungssystem

-Bestimmung einer gültigen Startlösung in linearer Optimierung
 finde die Lösung zu gegebenem Gleichungssystem

-eindeutig lösbare partielle Differentialgleichung
 löse Existenzaufgabe
-Gibt es überhaupt Lösung (Hamiltonschen Weg im Graphen)?
 löse unbeschränkte Extremalaufgabe

-kürzester Weg von der Quelle zur Senke
 löse beschränkte Extremalaufgabe

-Rucksackproblem
-lineare Optimierung
 ermittle Störenfried bzw. Flaschenhals

-kritischer Pfad
-Komponente maximaler Auslastung
Analyse von Modellen

Aussagen zur Handhabbarkeit und Lösbarkeit
 Existenz von Lösungen:
-Populationsdynamik: Gibt es stationären Grenzzustand?

Wenn ja, wird dieser erreicht?
-Reihenfolgeproblem: Ist der Präzedenzgraph zyklenfrei?
-Minimierung: Gibt es Minima oder nur Sattelpunkte?
 Eindeutigkeit von Lösungen:
-Minimierung: Lokales oder globales Minimum?

-Stabile Zustände oder Oszillationen zwischen verschiedenen Lösungen (Molekulardynamik)?
-Alle Lösungen gleichwertig?
 stetige Abhängigkeit der Resultate von den Eingabedaten:
-Eingabe: Anfangswerte, Randwerte, Startzustände, ...

-entspricht Kondition bzw. Sensitivität
Sachgemäß gestellte Probleme

___________________________________________________________________________
Hadamard1923: Existenz + Eindeutigkeit + Stetigkeit
allerdings: die meisten Probleme sind‘s nicht (John, Tikhonov), sondern unsachgemäß gestellt (ill-
posed)
 Beispiel: inverse Probleme (Antwort/Ergebnis ist vorgegeben, gesucht ist die

Anfangseinstellung)
-Wirtschaftpolitik: was heute tun, damit im Oktober 2002 die Arbeitslosenzahl in D unter 3.5
Millionen?
-Technik: wie Stanzmaschine einstellen, damit bestimmtes Blech herauskommt?
-Rechnernetz: wie Netzkomponenten auslegen, damit erforderlicher Mindestdurchsatz
garantiert ist?
 Strategien für inverse Probleme:
-(sinnvolles) Ausprobieren und Anpassen (Folge von Vorwärtsproblemen)

-Löse verwandtes (regularisiertes) Problem, das sachgemäß gestellt ist.
Eignung für weitere Verarbeitung

Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw. automatisierte Lösung
geeignet?
 Verfügbarkeit der Eingabedaten (in hinreichender Genauigkeit)
 Implementierungsaufwand
-Verfügbarkeit von (ggfs. zu erweiternder) Software etc.
 erforderlicher Rechen-und Speicheraufwand absolut

-Beispiel: NP-vollständige Probleme
-Beispiel: Wettervorhersage: Rechenzeit > Echtzeit
 erforderlicher Rechen-und Speicheraufwand relativ

-Ist das Modell kompetitiv(cost-benefit-ratio)?
 Empfindlichkeit
-Bei schlecht gestelltem Problem können kleinste Trübungen der Eingabe das Ergebnis
komplett verfälschen (vgl. Chaos, “Schmetterlingsflügel”)
___________________________________________________________________________
___________________________________________________________________________
Bewertung von Modellen (1)
Validierung: „Stimmt das Modell?”
 Vergleich mit Experimenten

-“1:1 Experimente” (Windkanal, Crashtest, ...)
-Laborexperimente an (verkleinerten) Prototypen; Problem: Skalierung
sichergestellt?
 a-posteriori-Beobachtungen
-Realitäts-Test (Wetter, Börse, militärische Szenarien)
-Zufriedenheits-Test (Verkehrssteuerung, Beleuchtungsmodelle in der Computergraphik)
 Plausibilitäts-Test
-Test der Simulationsergebnisse auf Konsistenz mit bestehenden Theorien (Astrophysik,
Quantenphysik)
 Modellvergleich
-Vergleich der Ergebnisse zu auf unterschiedlichen Modellen basierenden Simulationen
Bewertung von Modellen (2)

Genauigkeit: “Wie präzise ist das Modell?”
 Genauigkeit im Hinblick auf die Qualität der Eingabedaten
(bei Messdaten auf 3 Stellen genau als Eingabe kann kein Resultat auf 8 Stellen genau
erwartet werden!)
 Genauigkeit im Hinblick auf die Fragestellung
-Beispiel Bundestagswahl
-Frage: welche Regierung?
-Modell erlaubt Wahlprognose mit +/-2% Genauigkeit
-Koalitionsaussagen: Rot-Grün und Gelb-Schwarz
-Simulation liefert: FDP 4%, Grüne 6%, Union 45%, SPD 45%
-keine Aussage möglich!
-Somit taugt das verwendete Modell im Grunde genommen nicht für unsere Fragestellung!
 Sicherheit: worst case oder average case Aussagen?
Klassifizierung von Modellen (1)

Möglichkeit 1: diskret vs. Kontinuierlich
diskretes Modell nutzt diskrete / kombinatorische Beschreibung:

___________________________________________________________________________
 binäre oder ganzzahligeGrößen
 Zustandsübergänge in Graphen oder Automaten
kontinuierliches Modell nutzt kontininuierliche/ reellwertigeBeschreibung:
 reelle Zahlen, physikalische Größen
 algebraische Gleichungen, Differentialgleichungen
naheliegend, aber nicht zwingend: Einsatz für entsprechende Phänomene
 Beispiel: Verkehrsflussdurch Stadt
-diskret: Anzahl der Autos im System, an Ampeln, Warteschlangen

-kontinuierlich: Dichten, Flüsse (Fluid-Modellmit Kanälen, Sperren)
Klassifizierung von Modellen (2)

Möglichkeit 2: deterministisch vs. Stochastisch
wiederum kein zwingender Bezug zwischen dem zu modellierenden Phänomen und dem
Instrumentarium:
 Beispiel 1: Würfeln
-offensichtlich Zufallsexperiment (d.h. probabilistischeRealität)

-sinnvollerweise auch stochastisches Modell (Zufallsvariable)
 Beispiel 2: Crash-Test
-deterministisches Phänomen
-üblicherweise deterministisches Modell
 Beispiel 3: Wettervorhersage
-deterministisch (Strömungsmechanik etc.) oder Chaos-Theorie?
 Beispiel 4: Paketankunft an Bedieneinheit im Internet
-im Grunde deterministisch (hoffentlich)

-für den Betrachter ohne Außensicht aber eher zufällig
-außerdem interessieren v.a. Durchschnittsgrößen
___________________________________________________________________________
Unternehmensmodellierung: Klassifikationsmerkmale
 Betrachtungsgegenstand
 Zweck / Charakter: Beschreibung, Erklärung, Gestaltung
 Sicht: Daten, Funktionen, Prozesse, ...
 Detaillierung (Granularität)
 Betrachtungsebene: fachlich, DV-, Implementierung
 Individualität: unternehmensspezifisch vs. Referenz•Abstraktionsgrad: Ausprägung, Typ,

Meta
 Formalisierung: nicht fomal, semi-formal, formal
 Integration: Sichten, Ebenen, Gegenstand, Detaillierung, ...
Unternehmensmodellierung: Zweck / Charakter

 Aufgaben der Wirtschaftsinformatik:
Beschreibung, Erklärung, Gestaltung, ..

--> Modellierung kann verschiedenen Zwecken dienen
___________________________________________________________________________
 Modellcharakter: Vorbild (Soll) vs. Nachbild (Ist)
 Beispiele für konkrete Zwecke:
–Gestaltung von Informationssystemen / Softwareentwicklung

–Planung einer integrierten Datenhaltung
–Dokumentation / Analyse / Verbesserung von Geschäftsprozessen
–Unterstützung von Konfiguration und Einführung von Standardanwendungssoftware
–Simulation einer neuen Fertigungsanlage
–Ableitung von (objektiven) Informationsbedarfen–Wissensmanagement
–Prozesskostenrechnung
Unternehmensmodellierung: Sichten
 Daten
–Abbildung von Sachverhalten (passiv)

–Zustandsbeschreibung (“Stammdaten”)
–Ereignisbeschreibung (“Bewegungsdaten”)
 Funktionen/Prozesse
–Abbildung von Vorgängen (aktiv)

–Funktionen: Werkstoffe oder Informationen transformierende Aktivitäten im Hinblick auf
eine Aufgabe bzw. Zielsetzung
–Prozesse: dynamische Abläufe, expliziter Zeitbezug
 Organisationseinheiten/Ressourcen
-Personen
–Stellen (Rollen in der Organisation)
–technische Einheiten
___________________________________________________________________________
___________________________________________________________________________
6 P. Pederson: CI – Interdependency Modeling: A Survey
(Idaho National Laboratory)
___________________________________________________________________________
P. Pederson et al: Critical Infrastructure Interdependency Modeling:
A Survey of U.S. and International Research
(see: http://www.inl.gov/technicalpublications/Documents/3489532.pdf)
INTRODUCTION
“The Nation’s health, wealth, and security rely on the production and distribution of certain goods
and services. The array of physical assets, processes, and organizations across which these goods and
services move are called critical infrastructures.”2 This statement is as true in the U.S. as in any
country in the world. Recent world events such as the 9-11 terrorist attacks, London bombings, and
gulf coast hurricanes have highlighted the importance of stable electric, gas and oil, water,
transportation, banking and finance, and control and communication infrastructure systems.
Be it through direct connectivity, policies and procedures, or geospatial proximity, most critical
infrastructure systems interact. These interactions often create complex relationships, dependencies,
and interdependencies that cross infrastructure boundaries. The modeling and analysis of
interdependencies between critical infrastructure elements is a relatively new and very important
field of study.
Much effort is currently being spent to develop models that accurately simulate critical infrastructure
behavior and identify interdependencies and vulnerabilities. The results of these simulations are
used by private companies, government agencies, military, and communities to plan for expansion,
reduce costs, enhance redundancy, improve traffic flow, and to prepare for and respond to
emergencies.
Modelers have developed various innovative modeling approaches including agent based modeling,
effects-based operations (EBO) models, input-output models, models based on game theory,
mathematical models, and models based on risk. These have been applied to infrastructure of
shipboard systems, University campuses, large power grids, and waterways to name a few. Modeling
is complicated by the quality and availability of data, intricacy of systems, sectors, and implications
and sensitivity of results. This survey identifies and catalogs much of the state-of-the-art research
being conducted in the area of infrastructure interdependency modeling and analysis.
Technical Support Working Group
The U.S. Technical Support Working Group (TSWG) is the sponsor for this effort.3 TSWG is a national
forum to identify, prioritize, and coordinate interagency and international research and development
(R&D) requirements for combating terrorism. The aim of TSWG is to support rapidly developed
technologies and product development to provide tools for combating terrorism. It supports multiple
U.S. government agencies as well as major allies.
The main objective of this study is to develop a single source reference of critical infrastructure
interdependency modeling tools (CIIMT) that could be applied to allow users to objectively assess the
capabilities of CIIMT. This information will provide guidance for directing R&D to address the gaps in
development. The results will inform the R&D efforts of the TSWG Infrastructure Protection
Subgroup of R&D efforts and allow a more focused approach to addressing the needs of CIIMT end-
user needs.
___________________________________________________________________________
Background
The study and analysis of infrastructure interdependencies is relatively new. The interdependencies
between critical infrastructures received little attention in the early 1990s. However, in the mid
1990s events such as the Oklahoma City bombing in 1995 and the report from the Defense Science
Board Task Force on Information Warfare in 1996, and the increased reliance on information and
computerized control systems brought the increasing importance of infrastructure
interdependencies into focus. Also in 1996, President Clinton established the President’s Commission
on Critical Infrastructure Protection (PCCIP). …….
INFRASTRUCTURE
INTERDEPENDENCIES
“One of the most frequently identified shortfalls in knowledge related to enhancing critical
infrastructure protection capabilities is the incomplete understanding of interdependencies between
infrastructures. Because these interdependencies are complex, modeling efforts are commonly seen
as a first step to answering persistent questions about the “real” vulnerability of infrastructures.”
The importance of “What are infrastructure inter-dependencies, and how are they modeled?” is
addressed in this section. References to interdependent relationships in this paper are actually
referring to as dependent relationships or influences between infrastructures. The following Figure
illustrates common representations of infrastructure based on the scenario of a flooding event and
the subsequent response. Parallels to this scenario with the events in New Orleans during Hurricane
Katrina can easily be drawn. Within the figure, individual infrastructure networks are represented on
a single plane. The parallel lines represent individual sectors or subsets within that particular
infrastructure. The spheres or nodes represent key infrastructure components within that sector
from the events in New Orleans The energy sector infrastructure, for example, during Hurricane
Katrina contains the sectors of electrical generation and distribution, natural gas production and
distribution, etc. Ties and dependencies exist within each infrastructure and between the different
sectors. The solid lines in the Figure, crossing sectors and connecting nodes, represent internal
dependencies, while the dashed lines represent dependencies that also exist between different
infrastructures (infrastructure interdependencies).
The example in the Figure is a simple attempt to portray the complexity of dependencies that may
exist between components. In chaotic environments such as emergency response to catastrophic
events, decision makers should understand the dynamics underlying the infrastructures. Failure to
understand those dynamics will result in ineffective response and poor coordination between
decision makers and agencies responsible for rescue, recovery, and restoration. It could also cause
the mismanagement of resources, including supplies, rescue personnel, and security teams. At best,
emergency responders will lose public trust, at worst, human life.
___________________________________________________________________________
___________________________________________________________________________
Sample dependency matrix (from:
http://www.inl.gov/technicalpublications/Documents/3489532.pdf)
Pederson et al: Critical Infrastructures Interdependency Modeling: A Survey of. U.S. and International
Research
Again, while the dependencies within an individual infrastructure network are often well understood,
the region of interest in interdependency and effects modeling is the influence or impact that one
infrastructure can impart upon another. Therefore, the key effects to model and gain understanding
of are the chains of influence that cross multiple sectors and induce potentially unforeseen n-ary
effects. These chains, potentially composed of multiple interdependency types, compose the paths
or arcs between infrastructure components or nodes denoted as {(a,b), (b,c), (c,d), ...(y,z)}. This
particular path represents the cascading consequence of an event or the derived dependency of
node z on node a, further denoted (aDz). Likewise the genesis of the chain may not be singular in
that the end effect is the influence of multiple nodes, denoted by (abc..Dz). These paths may not be
unique in terms of effect, they may change over time, and their behavior may be cumulative in
nature, i.e., the end effect may be the culmination of multiple predicated events. The intertwining of
networks in this fashion represents a complex system where emergent behaviors are rarely fully
understood. Rinaldi, Peerenboom and Kelly (see Reference 13) provide a nice visual representation
of this intertwining and the potential cascading effects. This is shown in the following figure.
___________________________________________________________________________
Figure: Cascading consequence example
In the Pederson document a survey of existing CI interdependence modeling and simulation tools
around the world are presented.
___________________________________________________________________________
7 S. Rinaldi: Modeling and Simulating CI
(and their Interdependencies)
___________________________________________________________________________
From Steven Rinaldi: Modeling and Simulating Critical Infrastructures and Their Interdependencies
(Proceedings of the 37th Hawaii International Conference on System Sciences – 2004)
See: http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=01265180
……….
Modeling and Simulation Techniques (M & S)
Models and simulations of individual infrastructures are rather well developed today – numerous
products are available commercially that enable infrastructure owners to develop, operate, and
manage their systems. However, M&S of multiple, interdependent infrastructures are immature by
comparison. A number of different approaches to interdependent infrastructure M&S have emerged
that address various factors listed in Table 1. This section provides a high-level description of several
of these techniques.
Table 1. Factors affecting interdependencies analyses
Factor Implications for Analyses

Time Scales Infrastructure dynamics vary from millisec onds (e.g., electrical
grid disturbances) to decades (construction of major new facilities).
Different infrastructures will have varying time scales of
Geographic Scales Specific scenarios and issues range from cities to national or
international levels in scale. Scale affects the resolution and quantity
of infrastructure and interdependency data required for models.
Cascading and Higher Disruptions in one infrastructure can ripple or cascade into
Order Effects other infrastructures, creating second and higher order
Social / Psychological Infrastructures are socio-technical systems. Social networks and
Elements behavioral responses can influence infrastructure operations, such as
the spread of an infectious disease and the respons e of the public
Operational Procedures Company-specific procedures influence the state of an infrastructure,
such as responses to market fluctuations.
Business Policies Specific corporate business policies affect the operations
of the infrastructures.
Restoration and Company-specific procedures influence the state of an infrastructure
Recovery Procedures during a crisis or emergency, and may affect coordination among
various
infrastructure owners. Cross-infrastructure restoration/recovery
Government Regulatory, Government actions will influence operational behaviors as well
Legal, Policy Regimes as the response to and recovery from disasters or disruptions.
Stakeholder Concerns Stakeholders have differing motivations and different sets of
concerns that drive M&S requirements.
We group interdependency models into six broad categories. These categories range from highly
aggregated tools to very detailed, high resolution and fidelity models. We are currently developing
detailed interdependencies models and simulations in the first three classes described below at
Sandia National Laboratories.
 Aggregate Supply and Demand Tools. This category of tools evaluates the total demand for
infrastructure services in a region and the ability to supply those services. Multiple
infrastructures can be linked by their demand for commodities or services provided by other
infrastructures, and the ability of those infrastructures to satisfy demands. The ability of an
___________________________________________________________________________
infrastructure to meet its instantaneous or forecast demands can provide an indication of its
health or early warning of potential problems (e.g., the inability to meet demand in multiple
infrastructures). We have developed a prototype model that links the electrical grid, oil and
natural gas systems, wireline telecommunications, and inland waterways in the Pacific
Northwest. The prototype includes the ability to perform “what-if” analyses, so that the
consequences and cascading effects of the loss of additional infrastructure assets can be
determined in terms of aggregate supply and demand.
 Dynamic Simulations. We are employing dynamic simulations to examine infrastructures
operations, the effects of disruptions, and the associated downstream consequences.The
generation, distribution, and consumption of infrastructure commodities and services can be
viewed as flows and accumulations in the context of dynamic simulation. Interdependencies
among infrastructures are readily incorporated into system dynamics models as flows of
infrastructure commodities among multiple infrastructures. Moreover, dynamic simulations
can examine the effects of policies, regulations, and laws upon infrastructure operations. We
have developed detailed dynamic simulations of multiple, linked infrastructures, including
energy (electricity, oil, natural gas), communications, transportation (waterways, highways,
rail), emergency services, banking and finance, agriculture, water, shipping, and markets. We
have constructed system dynamics models of infrastructures in California and the Pacific
Northwest for analyses of the Northridge earthquake, the California energy crisis, and the
impacts of security policies in the ports of Seattle and Portland.
 Agent-Based Models. Agent-based models have been used in a wide spectrum of
interdependency and infrastructure analyses. Physical components of infrastructures can be
readily modeled as agents, allowing analyses of the operational characteristics and physical
states of infrastructures. Agents can also model decision and policy makers involved with
infrastructure operations, markets, and consumers (such as firms and households). We have
developed agent-based models of supply chains (manufacturers, distributors, households,
labor sectors), telecommunications (wireline, wireless, satellite), electric power,
transportation, banking, and governmental policies. Using these models, we have examined
the consequences of the losses of infrastructure services upon manufacturing supply chains.
These microeconomic analyses have enabled us to examine how infrastructure disruptions
affect firms, their relative ability to compete during disruptions, and the effects of
infrastructure-related policies on the ability of firms to survive disruptions.
 Physics-Based Models. Physical aspects of infrastructures can be analyzed with standard
engineering techniques. For example, power flow and stability analyses can be performed on
electric power grids, and hydraulic analyses can be used with pipeline systems. These models
can provide highly detailed information, down to the individual component level, on the
operational state of the infrastructures. These techniques have been applied to
interdependent energy infrastructures, examining issues such as outage areas associated
with single and multiple contingencies.
 Population Mobility Models. This class of model examines the movement of entities through
urban regions. Entities interact with one another, generating and consuming infrastructure
commodities in the process. For example, the entities may be people following their daily
routines in a city. By generating and simulating these routines, a population mobility model
can determine the use of multimodal transportation assets and assist with urban
transportation or evacuation planning. An important characteristic of these models is that
they develop detailed insights into social networks, which can be critical for certain types of
studies such as epidemiology. Population mobility models have been used for extremely high
resolution and fidelity urban interdependencies studies of multimodal transportation,
electrical power girds (including electrical markets), wireless telecommunications, and
epidemiology.
___________________________________________________________________________
 Leontief Input-Output Models. Leontief’s model of economic flows can be applied to
infrastructure studies. The basic model provides a linear, aggregated, time-independent
analysis of the generation, flow, and consumption of various commodities among
infrastructure sectors. This model has been extended to include nonlinearities and time
dependencies, and applied to examining the spreading of risk among interdependent
infrastructures.
Future Challenges
A number of significant challenges face developers of interdependencies models and simulations.

These hurdles and potential solutions are not just technical; some may require changes in laws or
regulations. We will discuss several of the key challenges in this section.
Obtaining the requisite data to enable the models to accurately represent infrastructures presents
arguable the biggest hurdle. First, there are several crucial forms of data to which a modeler must
have access. The infrastructure topology – how the infrastructure is built and interconnected with
other infrastructures – is clearly essential. Key data also include the operational, emergency, and
other procedures used by infrastructure owners that influence infrastructure states during normal or
crisis operations. Government and corporate policies also influence operations and comprise an
element of data. The modeler must be cognizant of these and other data types and, importantly,
have access to the data.
However, gaining access to data is not necessarily easy. The private sector owns and operates the
vast majority of infrastructures and consequently controls access to substantial quantities of crucial
information, much of which is proprietary. There are significant barriers to sharing information
between the private sector and government. These barriers include concerns about release of
information under the Freedom of Information Act (FOIA), antitrust laws, confidentiality and privacy
issues, liability issues, access to classified national security information, and reservations about
sharing information with the law enforcement community. Although some of the barriers are
currently being addressed by legislation, such as FOIA, obtaining access to sufficiently detailed and
high quality data remains a crucial issue to the development of interdependencies M&S.
Data must also be available in a timely fashion, particularly for certain applications. Real-time
monitoring of infrastructures requires real-time access to data across multiple infrastructures. Even if
access to such information is granted, ingesting, verifying, warehousing and using the data in real-
time is a nontrivial problem. Moreover, data necessary for nonreal-time applications are perishable
and must be updated and verified regularly. For example, physical infrastructure topologies are not
static – telecommunications and information service providers regularly augment their networks
with new lines and equipment, new roads and highways may be added to a region, airlines may
modify their flight schedules and routes, and so forth.
For certain stakeholder issues, it may be desirable to integrate multiple models or different classes of
models together in a “co-simulation.” There are substantial technical issues to creating a co-
simulation, such as embedded (and often conflicting) assumptions in the models, different time
steps, varying spatial scales, and different data requirements. Comprehensive simulation frameworks
that couple disparate models to address the spectrum of stakeholder concerns are only beginning to
emerge, and will take time to mature.
Verification and validation are fundamentally important to M&S development. We have used several
techniques with our models and simulations, including comparing model outputs to historical data,
using widely accepted models as benchmarks for testing new models, and obtaining feedback from
experts in seminar settings. One must take care when comparing model outputs to historical data, as
infrastructure technology in use during the timeframe of the comparison. For example, the
information infrastructure of the United States has advanced tremendously over the past decade – a
___________________________________________________________________________
fact which must be taken into account in any comparisons to historical data more than a few years
old.
Similarly, models and simulations must keep abreast of changes in infrastructure technology. Models
that accurately reflect the state of technology today could be outdated in a few years. This problem
may be particularly challenging for cyber interdependencies, given the explosive growth in
information technology.
Finally, metrics that accurately represent the state of infrastructures present another major
challenge. There are no satisfactory metrics today that would enable:
 comparisons of mitigation, response, recovery, reconstitution, and restoration strategies;
 comparisons of the “criticality” of nodes and links;
 determination of appropriate investment strategies to increase security; and
 evaluation of the relative effectiveness of security measures and policies.
Development of a comprehensive and widely accepted set of metrics should be a component of the
national critical infrastructure protection program.
From: Rinaldi, Peerenboom, Kelly: “Critical Infrastructure Interdependencies”, IEEE Control Systems,
Dec 2001, p. 11-25
(see: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=969131&isnumber=20901)
___________________________________________________________________________
___________________________________________________________________________
8 SCADA Definition
(Supervisory Control and Data Aquisition)
___________________________________________________________________________
Supervisory Control and Data Acquisition
SCADA definition (from http://www.topbits.com/scada.html)
SCADA is an acronym that stands for Supervisory Control and Data Acquisition. SCADA refers to a
system that collects data from various sensors at a factory, plant or in other remote locations and
then sends this data to a central computer which then manages and controls the data.
SCADA is a term that is used broadly to portray control and management solutions in a wide range of
industries. Some of the industries where SCADA is used are Water Management Systems, Electric
Power, Traffic Signals, Mass Transit Systems, Environmental Control Systems, and Manufacturing
Systems.
SCADA as a System
There are many parts of a working SCADA system. A SCADA system usually includes signal hardware
(input and output), controllers, networks, user interface (HMI), communications equipment and
software. All together, the term SCADA refers to the entire central system. The central system usually
monitors data from various sensors that are either in close proximity or off site (sometimes miles
away).
For the most part, the brains of a SCADA system are performed by the Remote Terminal Units
(sometimes referred to as the RTU). The Remote Terminal Units consists of a programmable logic
converter. The RTU are usually set to specific requirements, however, most RTU allow human
intervention, for instance, in a factory setting, the RTU might control the setting of a conveyer belt,
and the speed can be changed or overridden at any time by human intervention. In addition, any
changes or errors are usually automatically logged for and/or displayed. Most often, a SCADA system
will monitor and make slight changes to function optimally; SCADA systems are considered closed
loop systems and run with relatively little human intervention.
One of key processes of SCADA is the ability to monitor an entire system in real time. This is
facilitated by data acquisitions including meter reading, checking statuses of sensors, etc that are
communicated at regular intervals depending on the system. Besides the data being used by the RTU,
it is also displayed to a human that is able to interface with the system to override settings or make
changes when necessary.
SCADA can be seen as a system with many data elements called points. Usually each point is a
monitor or sensor. Usually points can be either hard or soft. A hard data point can be an actual
monitor; a soft point can be seen as an application or software calculation. Data elements from hard
and soft points are usually always recorded and logged to create a time stamp or history
User Interface (HMI)
A SCADA system includes a user interface, usually called Human Machine Interface (HMI). The HMI
of a SCADA system is where data is processed and presented to be viewed and monitored by a
human operator. This interface usually includes controls where the individual can interface with the
SCADA system.
___________________________________________________________________________
HMI's are an easy way to standardize the facilitation of monitoring multiple RTU's or PLC's
(programmable logic controllers). Usually RTU's or PLC's will run a pre programmed process, but
monitoring each of them individually can be difficult, usually because they are spread out over the
system. Because RTU's and PLC's historically had no standardized method to display or present data
to an operator, the SCADA system communicates with PLC's throughout the system network and
processes information that is easily disseminated by the HMI.
HMI's can also be linked to a database, which can use data gathered from PLC's or RTU's to provide
graphs on trends, logistic info, schematics for a specific sensor or machine or even make
troubleshooting guides accessible. In the last decade, practically all SCADA systems include an
integrated HMI and PLC device making it extremely easy to run and monitor a SCADA system.
SCADA Software and Hardware Components
SCADA systems are an extremely advantageous way to run and monitor processes. They are great for
small aplications such as climate control or can be effectively used in large applications such as
monitoring and controlling a nuclear power plant or mass transit system.
SCADA can come in open and non proprietary protocols. Smaller systems are extremely affordable
and can either be purchased as a complete system or can be mixed and matched with specific
components. Large systems can also be created with off the shelf components. SCADA system
software can also be easily configured for almost any application, removing the need for custom
made or intensive software development.
___________________________________________________________________________
___________________________________________________________________________
9 E. Luiijf et al: Empirical Findings on CI Dependencies
___________________________________________________________________________
Empirical findings on Critical Infrastructure Dependencies in Europe
Eric Luiijf, Albert Nieuwenhuijs, Marieke Klaver, Michel van Eeten and Edite Cruz
Critical Information Infrastructure Security: Third International Workshop, CRITIS 2008, Rome, Italy,
October13-15, 2008.
Revised Papers book contents
Pages: 302 - 310
Year of Publication: 2009
ISBN:978-3-642-03551-7
http://www.springerlink.com/content/7404012311x77786/fulltext.pdf
Abstract One type of threat consistently identified as a key challenge for Critical Infrastructure
Protection (CIP) is that of cascading effects caused by dependencies and interdependencies across
different critical infrastructures (CI) and their services. This paper draws on a hitherto untapped data
source on infrastructure dependencies: a daily maintained database containing over 2375 serious
incidents in different CI all over the world as reported by news media. In this paper we analyse this
data to discover patterns in CI failures in Europe like cascades, dependencies, and interdependencies.
Some analysis results indicate that less sectors than many dependency models suggest drive
cascading outages and that cascading effects due to interdependencies are hardly reported.
Dependencies - state of the art
Most CI dependency literature use a theoretical modelling approach to dependencies, e.g., Rinaldi et
al, and Svendsen and Wolthuysen. Most post mortem analysis reports about CI disruption incidents
describe the incident from a single CI view. Cascading effects and dependency consequences are
often hidden in government reports about their emergency response efforts to disasters, e.g., Von
Kirchbach. Other research focuses on the modelling and simulation of CI and cross-links between
different CI sectors. Generally spoken, these models are not based on real life data or on a full
dependency analysis of past incidents. The empirical work in this paper discusses observations made
on CI dependencies based on news and other reports about serious CI events. There exist, however,
databases which focus on collecting empirical data of infrastructure incidents. Without exception,
however, these databases focus on a specific environment, a single CI sector, or a specific type of
risk. Examples of foci of such databases are for instance terrorism-caused energy infrastructure
disruptions, process industry safety, electric power disturbances (e.g., national or European grid
disturbance reports), radiological incidents, and aircraft incidents. No databases have been found
which focus on serious disturbances of all CI and the cascading effects using an ’all-hazards’
approach.
Method
At the core of our analysis is a database with public reports of CI disruptions, collected from open
sources like newspapers and internet news outlets. If possible, the data is augmented by official
incident reports. An event in one of the CI sectors will be added to the database if there is a serious
impact: only events are recorded which had a noticeable effect to society, e.g., at least 10.000
affected electric power customers. Daily occurring local and scheduled operational disturbances are
excluded. For each event we record, e.g., affected CI sector and service, initiating event, the
concerned organisation(s), start and end times/dates, country, affected geographic area and its size,
description of the cause, threat category and subcategory, consequences/damages and impact,
recovery process, and references. While data has been collected on a variety of countries in the
___________________________________________________________________________
world, for the purposes of this paper we focus on a subset: 1749 CI failure incidents in 29 European
nations (95% of them occurred after 2000). Based on this subset, we empirically study CI (inter)
dependencies. A CI dependency is the relationship between two CI products or services in which one
product or service is required for the generation of the other product or service; a CI
interdependency is a mutual CI dependency.
We understand that the data set and approach has limitations. We explored the validity of the
findings by triangulating the Dutch national data with outage data from a Dutch CI operator. We also
found self-similarities in the Dutch, EU and US subsets of the event database. However, we realise
that the data is biased by the limited set of European languages (Dutch, English, French, German,
Portuguese, and Spanish) which we use to identify and extract media reports. Another bias may be
the reporting practices of news media as not every serious CI incident is reported by news media.
Among other factors, the news reports likely reflect what the news outlets assume is of interest to
their audience. It is not clear if and how our findings are affected by these limitations. We are not
aware of any research that has studied biases in how the media report on CI failures. That said, we
believe that in light of the overall paucity of empirical research on this topic our analysis contributes
much needed data to the policy debates on CIP and the risk of CI cascading failure.
In our analysis, we will classify events in cascade initiating events, cascade resulting events and
independent events. A cascade initiating event is an event that causes an event in another CI or CI
service; a cascade resulting event is an event that results from an event in another CI or CI service,
and an independent event is an event that is neither a cascade initiating event, nor a cascade
resulting event. These categories are not mutually exclusive. Because an event can be both caused by
an event outside a CI sector and propagate as another event outside the CI sector, some events are
both a cascade initiating and a resulting event. This may cause the sum of initiating, resulting and
independent events to exceed the total number of events (e.g., the ”Total column” in Table 1). The
analysis below is performed at the level of CI services. This means that we only consider a cascading
resulting event to be a dependency -and include it into the results- if the event takes place in another
CI service than the one of the cascade initiating event. For readability, most results below are
aggregated to the CI sector level. Consequently, dependencies between underlying services within a
CI sector appear as occuring within a single CI sector.
CI dependencies in Europe Number of cascades
We have first analysed the data by distinguishing cascading events from noncascading events (Table
1). Interestingly, 29% of the reported incidents in Europe result from incidents in other services (501
of the 1749 events). Anecdotal evidence about dependencies and cascading sometimes conveys the
sense of reporting on rather unlikely scenarios, suggesting that cascades are events of low probability
and high consequence. Our data, however, shows that they are significant more frequent.
___________________________________________________________________________
Directionality of cascades
Next, we established in which CI sector an event originates and which CI sectors are affected (Table
2). The events that are not cascade-related are labelled no sector”. They comprise disruptions due to
a large range of external events (e.g., weather, deliberate human actions, and economical factors)
and internal failures (e.g., human error, technical failure). Table 2 shows that the energy and
telecommunication sectors are the main cascading initiating sectors. Energy is the only sector which
initiates more cascades than it ends up receiving. When disregarding not cascade initiated events,
the empirical data confirms that the dependency matrix is sparsely populated and that cascades are
highly asymmetrical. The energy and telecommunication sectors cause outages in other sectors (60%
and 24% respectively), but not many other CI sectors cause outages in energy, telecommunication
and internet (Table 2). The affected energy, telecommunication and internet sector event
percentages of 15%, 25% and 10%, respectively, are for a large part generated by services within
these three sectors. In short, the dependencies are very focused and directional. In fact, one may
want to stop talking about inter-dependencies, as this suggests a reciprocal relationship that the data
simply does not warrant as occurring frequently. Actually, only two weak European
interdependencies are recorded.
___________________________________________________________________________
This raises an important issue: does this mean that, while dependencies and interdependencies are
everywhere, at least theoretically, they are rarely strong enough to trigger a secondary outage which
is reported by the news media? Do they only occur after a longer period of disruption than is often
the case? Or are these cascading outage events so hidden in the chaos caused by the primary CI
outage and its effects that the press does not report on them?
The dependency of many sectors on energy and telecommunications has been reported widely. The
Table 3 data suggests that the CI dependency on energy is substantially higher (taken mitigation
measures into account) as 60% of all cascades originate within the energy sector, 28% in the
telecommunication and internet sectors, and 5% in the transport sector, 3% in the water sector, and
4% in the remaining CI.
___________________________________________________________________________
Our findings raise several important issues. First, while the current literature gives very little clues as
to the probability of cascading failures, our empirical data suggests that such cascades are in fact
fairly frequent. This forms a sharp contrast with the typical examples of events of low probability and
high consequence that are often presented as evidence of the urgency of dealing with CI
dependencies. Second, they question the validity of the Domino Theory of CI. While there are an
almost unlimited number of dependencies and interdependencies among CI possible, i.e., there are
many pathways along which failures may propagate CI sector boundaries, we found that this
potential is not expressed in the empirical data on actual events. The cascades that were reported
were highly asymmetrical and focused. The overwhelming majority of them originated in the energy
and telecom sectors. This is not unexpected, but what is new is the fact that so few cascades took
place in other CI sectors. Third, interdependencies far less occur than analysts have consistently
modelled. We found only two cases on a total of some 770 CI failures. In short, while dependencies
and interdependencies exist everywhere, they rarely appear to be strong enough to trigger a
reported serious cascading CI outage. It is unclear whether this is because the CI operators manage
the (inter)dependencies effectively or because the dependencies are not that powerful to begin with.
___________________________________________________________________________
10 DIESIS Project Description
___________________________________________________________________________
DIESIS:
Design of an interoperable European federated simulation network for
critical infrastructures
From http://www.diesis-project.eu/include/Documents/Deliverable2.3.pdf
In contrast to the utmost importance of critical infrastructures like electricity and

telecommunication for all European citizens, the European economy and the European society
at large, the understanding of the complex system of critical infrastructures with all their
dependencies and interdependencies is still immature. The study of these complex
infrastructure systems demands joint interdisciplinary efforts of researchers, industrial
stakeholders and governmental organisations to overcome all the difficulties involved (e.g.
availability of models and data for single infrastructures, interoperable simulation of multiple
infrastructures, testbeds and benchmarks for protection solutions).
In order to address these challenges, DIESIS proposes to establish the basis for a European
modelling and simulation e-Infrastructure based upon open standards to foster and support
research on all aspects of critical infrastructures with a specific focus on their protection. This
European e-Infrastructure will support full cooperation of the different partners in charge for
studying (inter) dependencies of critical infrastructures, while preserving the confidentiality of
the proprietary knowledge embedded into the different models and simulation packages.
Indeed for a lot of economical, political, technological and social reasons, the European
critical infrastructures (CI), once isolated and autonomous, are becoming more and more
coupled. As a consequence, breakdowns in an infrastructure are no longer sector-specific, but
can result in cascading effects that disturb other sectors also. Then it is necessary to have
modelling and simulation tools able to provide useful support to understand the complex
system of systems composed by the interdependency of these critical infrastructures. This is a
prerequisite to develop adequate solution for Critical Infrastructure Protection (CIP)
strategies.
The core of this e-Infrastructure will be contained in a middleware that will allow
interoperable simulations and that will offer similar services to those provided by the High
Level Architecture (HLA) to federated simulations in the military sector. DIESIS will
leverage on existing computing facilities, which will be typically organised into disjoined and
heterogeneous GRIDs. DIESIS will enable the reuse of existing simulators to setup complex
simulation models.
The DIESIS middleware should allow research institutions, industrial stakeholders and
governmental organisations concerned with CIP to run complex joint simulations where each
partner contributes with its own simulator using the data available. Around this core,
additional value of the research e-Infrastructure consists in establishing a platform for trusted
information exchange on the subject of CIP, establishing reference scenarios for the study of
critical infrastructures, CIP strategies and technology and providing decisions makers with
access to reliable information in case of emergencies.
The purpose of this deliverable is to review, to the best of our knowledge, the available
infrastructure simulators. Indeed, the DIESIS middleware should be aware of the current
___________________________________________________________________________
simulators models in order to accomplish its task. Then, when it has been possible to gather
sufficient information and enough knowledge about the available simulators, their review will
be organized as follows:
General description of simulator;

2. Suitability for modelling;
3. Suitability for simulation;
4. Conclusion.
The deliverable is organised as follows: The beginning chapters respectively describe

simulators of power grids, telecommunications, water (and flood forecasting) and
transportation infrastructures. Another Chapter describes other infrastructure simulators,
which although not considered critical,
have been brought to DIESIS consortium attention by the DIESIS survey (see Section 1.3).
An overview of the available analysis tools is presented. The analysis of the federated
simulators logs will be a crucial component of the DIESIS middleware. In addition, available
European data sources are of fundamental importance to DIESIS. To demonstrate the validity
of the DIESIS approach, realistic scenarios will be needed. The term realistic refers to the
___________________________________________________________________________
simulated Critical Infrastructures topologies and to the data available for the simulation. To
this end, a final chapter describes data sources available in EU databases.
Some sentences will be devoted to a discussion of the infrastructures interdependencies of

simulators. The main objective is to describe promising CI interdependency analysis tools that
exist in the literature. The deliverable finalises with References and sthat describe,
___________________________________________________________________________
respectively: the
___________________________________________________________________________
___________________________________________________________________________
11 K. Niemeyer: Simulation of Critical Infrastructures
___________________________________________________________________________
Klaus Niemeyer, “Simulation of Critical Infrastructures”, Information and Security, 15, No. 2,
October 2005, 120-143
see: http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?ots591=&lng=en&id=14175
siehe auch ausführliche deutsche Dokumente, die beim Autor K.Niemeyer (www.n-o-a-de).
z.B. Report NOA-TR-1: Modell ausgewählter Branchen zur Simulation von kritischen Störungen, 2000
Model prototypes have been developed to simulate the most critical areas of a highly-developed
region in social, economic, technical and informational terms. The models were developed inspired
by the fact that the highly integrated information infrastructure creates risks of failure and
intrusions with a possible consequence of total loss of vital resources, such as energy or traffic.
The models are seen on three levels of abstraction and are programmed and executed with
tools from System Dynamics.
On the highest level of abstraction, the modelled region is described and calculated using system
attributes and variables like productivity, social pressure, satisfaction, etc.
On the medium level of abstraction, critical areas of an advanced society are identified and
calculated using variables that represent an entity in the reality and that, in general, have an
empirical context. Identified critical areas for the first experiments with the model were the
sectors of energy, communications, traffic, security, government, and defence. Applying a
methodology to identify value drivers and to visualise the interrelations of components in
complex systems helped in developing the model inputs and descriptive factors. This approach
was used together with a group of experts in each area.
On a low level of abstraction, a model prototype was developed using variables that in general
can be measured and quantified based on real-life empirical sources. The latter approach is very
complex and resource-intensive and requires detailed insight and knowledge.
…
Socio-Economic Systems
The problem of vulnerability of mo dern socio-economic systems is considered ex tremely important.

The critical conditions of modern, technologically -based economies are not enough explored and
researched from the holistic point of view of the whole system.
…
Crisis Team
In a crisis or catastrophe, the crisis team is the crucial group of people that can pre vent possible
chaotic development and disorganisation and can act to avoid disastrous consequences. These are
people that come from various organisations, administra tions and industries and have to get
organised for the required purpose. Due to the fact that different organizations often work in
normal circumstances in conditions of competition, it cannot be assumed that the designated people
in the crisis team immediately find a harmonic basis for cooperative work. It is, therefore,
___________________________________________________________________________
necessary to establish methods and mechanisms for the formation of a crisis team to
compensate these negative effects.
In addition, it has to be assumed that the members of the crisis team originate from very diverse
knowledge areas. Although this is an essential element of crisis man agement, this substantial
problem has to be taken into consideration in the internal communication since the different
knowledge areas have developed their own, very specific languages that hinder the communication
within the crisis team.
An essential attribute of crises and catastrophes is their sudden, partially very sur prising
emergence. Since crises are characterized by a series of unexpected and quick events, a requirement
exists for the crisis team to react under very high time pressure. Since only a few people are able to
act in these circumstances and since there are psychological group -dynamic effects in addition, a
relevant and rational work is possible only within a very rigid configuration. For the successful work
of the group, a crucial prerequisite is the structure of the team and accordingly trained personnel
to fill the positions.
For the purposes of the consequent analysis, the decisions and actions of the crisi s group
necessitate a maximum transparency. The analysis of a crisis is required in all related areas in order
to systematically gain experience. In addition, the actions of the members of the crisis team often
have legal, ethical or moral consequences tha t are justified only with a complete set of well -
documented underlying principles, causes, and effects.
Methodology
A top-down approach of system analysis and related modelling is pursued in the presented work.
Starting from a holistic point of view, the socio-economic system of a highly-developed region is
identifiable by very general element areas or object classes. On this high level of abstraction,
variables and objects are postulated that can be programmed in the model. This model on high
abstraction level is seen as a first and rapid procedure for testing only some of the relationships
and for preparation to get improved insights into system behaviour. Since almost no experience is
available, such as the interactions of the information networks with the physical and social systems
in mathematical-logical form, assumptions and hypotheses are made that appear plausible, but
an intensive examination and verification is required.
There is a small amount of systematic and useful research and practical resu lts available for
development of such models. Nevertheless, a model of high abstraction has been chosen as a
first design and quick prototype for generation of initial guess for the system structure.
In a second step, a relatively low abstraction -level model has been developed. Here, the
reference to real objects is much better; however, there are also major problems regarding data
collection and modelling of system structure. In addition, a much big ger effort is required for
model development. Due to thi s reason, only a model of the traffic sector has been developed,
which required considerably more time and effort for development compared to the high
abstraction level model. Nevertheless, this ap proach should still be pursued in order to find better
solutions.
Third; as a compromise, a model has been developed that can be represented as a model of medium
abstraction level. In order to collect the required input data and to generate an acceptable model
of the system structure, a series of seminars and bra instorming sessions were conducted. The
___________________________________________________________________________
seminars were supported intensively by the methodol ogy “Gamma.” This effort led to the
development of a model that can serve as a driving force for exercises and follow -on research.
Gamma
For initial structuring, generation of assumptions, and estimation of factors and pa rameters, a
brainstorming approach supported by computer software called Gamma was used. Gamma
provides tools for interactive visualisation and analysis of complex interrelationships of systems and
from the beginning it generates a holistic view.
The graphical toolset generates a net diagram as a result of the thinking process of session
participants and captures parameters and values of identified links between system elements.
Understanding relationships of type cause and effect becomes possible. This provides a good
ground for mutual acceptance and a common view of system interrelations. The generated values
are available for subsequent analysis.
Gamma is not a rigid methodology providing decision optimisation with a guarantee to find the
best solution. It rather belongs to the group of the so-called heuristic approaches that improve the
likelihood of locating a good solution.
In an initial step, relevant influential factors and elements of the system under consideration are
drafted. This is followed by the creation of a graphical network of interrelationships. Direction,
type, intensity and frequency determine the relationships between the elements. The objective is
to get knowledge about the structure and dynamics of the essential processes in the system.
System Dynamics
For simulation, the method of System Dynamics has been chosen due to the fact that it is very well
suited for quick prototyping.
This method has been applied to a wide vari ety of problems in both the public and private
sectors. Large corporations and governmental agencies make use of the in sights gained from
building System Dynamics models while designing policies and strategies and in tactical and
operational decision making.
Within the System Dynamics paradigm, emphasis is placed on model conceptualisa tion and on
the utilization of a wide spectrum of criteria for model validation that help to ensure that the
resulting models correspond to real systems structurally as well as behaviourally.
In particular, there are four types of structural properties that humans find cognitively challenging in
dynamic systems.
First, there is the origin of dynamic behaviour itself, the relationship between flows and levels.
Second, there are delays or lags in actual systems.
Third, there is a feedback.
Finally, there are nonlinear relationships.
Powersim
The availability of easy-to-use software engineering tools such as Powersim enabled a fast
model development process.
___________________________________________________________________________
Powersim is a software package that facilitates the study of dynamic systems. It makes possible
the formulation of simulation models in the graphical notation as de fined in the System Dynamics
methodology.
Powersim is particularly convenient for use of generic models. These models can be stored in a
library, from which they can be copied, modified, and incorporated as co models or integrated
(pasted) as sub-models in a larger “main” model.
The ability of Powersim to describe and solve problems, however, suggests that its rea l benefit
comes from its application in the model -building process itself, rather than from its ability to
simulate a particular model. As a result, the people who both know the system experiencing the
problem and are charged with implementing model-based results should participate fully in the
modelling process. Their participation increases the probability that they will trust the model
they helped to create and will implement its results. Powersim’s graphical user interface greatly
reduces the barriers to the participation of policy makers in the modelling process. In addition,
the graphical notation and the user -friendly interface make possible the fast develop ment and
rapid prototyping of simulation models.
High Abstraction-Level Model
On a high abstraction level, the system to be simulated is determined by variables that are defined
in relation to a maximum possible value. In this way, it is not necessary to introduce absolute
values since the variables are defined without a physical dimension and c an only take values
between 0 and 1. Relative variables of this type make possible the quantitative calculations with
freely chosen, normally only qualitatively describable, parameters such as, for example,
“satisfaction” or “alteration pressure,” especial ly in areas where no or only restricted empirical
data is available. Quickly-developed abstract models can be generated with relative variables
although with the disadvantage of being highly speculative.
___________________________________________________________________________
In the high abstraction-level model, the elements are subdivided into three areas: the physical
area, the information area and the social area. The physical area contains all the components that
are physically defined, and can be physically measured and de¬scribed. The information area
contains all the components that can be assigned to an information network: the logical and virtual
elements, the procedures, programs, data, or, in other words, the software and the databases.
Computers, cable, storage medi¬ums, electronic devices, etc., or the hardware, are physical
components. The social area consists of humans, groups, hierarchies, organizations, etc. The
elements of the social area could be allotted to the physical and information area. However, since
this area contains important feedbacks, the social area is identified explicitly (Figure 2).
___________________________________________________________________________
For each area, one can identify and describe sectors of industries, administration, se curity area,
etc. The following six sectors were defined in the initial research phase: energy sector,
information industry, civil service, security, traffic and transportation, and finance. Table 1
presents some of the real objects and elements that were as signed to these sectors and
outlines the areas for further explanation and develop ment.
Figure 3 illustrates the physical area. Some important interrelations are defined that already
describe the structure of the simulation model in the graphical notation used by the Powersim
simulation software. The variable physical performance as relative value describes the
contribution of each element to the total productivity of the viewed system considering all
sectors. The total productivity or the success of the system has an effect on the satisfaction of the
social system in the social area in con sequence. At the same time, the performance of a given
sector is influenced by the performance of other sectors. Furthermore, the performance is
diminished by random disturbances from the environment.
Each system has internal forces that keep the processes running and produce the performance.
These forces are controlled by a feedback loop that tries to keep the performance level close to a
desired value; in other words, the system tries to maintain equilibrium or a stable state. The role
of feedback is played by the size of the variable physical pressure. By definition, the influence of
the physical pressure is delayed in time and depends on performance. In addition, the physical
pressure is influenced by satisfaction in the social area and information in the information area.
___________________________________________________________________________
Similarly the “Information Area” and the “Social Area”
___________________________________________________________________________
Figure 5 defines the social area. The variable satisfaction describes in relative terms the general
status of the social part of the considered system for each element in all sectors. The satisfaction of a
sector depends on the performance and the information from the other areas. Again, a feedback
loop is considered to cover the inner forces for maintaining a stable state.
___________________________________________________________________________
Here, the variable social pressure that also depends on performance and information plays the role
of a feedback. Figure 5 presents a typical diagram of the model in System Dynamics notation as
realized in Powersim. Most of the variables are defined as vectors, where the index represents the
sectors under consideration. The detailed description of the model is part of Powersim’s code. The
code and the interpretation of the variables can only be seen in the context while the model is
executed and calculation experiments are performed.
Low Abstraction-Level Model

Essentially, the system under consideration consists of the various types of transpor tation: road,
rail, air and sea (water), split into transportation of goods and transpor tation of people. The traffic
elements or the vehicles depend on the existence of a transportation network. The transportation
network is simplified according to the traf fic elements. For road and rail transportation, the traffic
within the region and traffic in the outside world are separately modelled. For the model of the
traffic within the region, the traffic is considered as a sort of container with a corresponding
descriptive size; for the traffic in the outside world the region is viewed as a node of a network.
For air and water transport, the region represents only one node, i.e. an airport or s eaport.
For details see the complete article of K. Niemeyer, please.
Medium Abstraction-Level Model
Experiments with the high abstraction-level model revealed the difficulty to establish
a relationship between realistic absolute values and the generic variables as postu-
lated. On the other hand, this is a prerequisite for application of models in exercises.
___________________________________________________________________________
For this reason, it is necessary to do some brainstorming with the objective to generate real objects,
entities, variables of the system and the sectors, as well as to quantitatively define their
relationships.
A list of elements was used as a basis for creation of cause-and-effect network in Gamma. With the
help of Gamma’s graphical tools it was possible to arrange the elements as components of a network
on the screen. Simultaneously, values for the influences were defined with the help of lines and
arrows and their strength estimated. All the models were executed during the brainstorming sessions
and corrections were made in multiple iterations, considering the different points of view of the
participating experts.
A typical Gamma diagram for the transportation case study was created during these sessions as
shown in Figure 7.
In a later phase, delay times of the influences of one element on another were defined. These delay
times and the effects are direct results of the Gamma sessions; they are collected in tables and serve
as input to the System Dynamics model of medium-abstraction level.
The diagram also indicates by means of lines and arrows how strong is the influence of each entity
on other entities in the postulated system, which can be transformed easily into a matrix of
influences. A different view at these dependencies for the en ergy sector is demonstrated in Figure 8.
___________________________________________________________________________
The horizontal axis represents on a scale between 0 and 1 the relative strength of the influence of an
entity on other entities in the system, while the vertical axis represents on a scale between 0 and 1
the relative strength by which an entity is influenced by other entities in the system. Each entity has
a well-defined position on the diagram. The distribution of positions demonstrates which entities are
highly sensitive and require further specific attention in a straightforward manner.
Modelling and simulation of critical business and public sectors of a highly developed technical
society is based on the entities, relationships and sensitive parameters as developed in brainstorming
sessions by sector experts utilising the Gamma methodology. These relations are then transformed
into a logical structure based on the System Dynamics methodology using Powersim.
On this medium level of abstraction the system to be simulated is determined and described by
parameters and values, which are again defined relatively to a maximum possible absolute value. In
this way, setting absolute values is not necessary since the parameters are defined without a
measurement dimension and can take only values between 0 and 1. Relative parameters of this type
make also possible quantitative calculations with freely-chosen, normally only qualitatively
describable, parameters as defined in the expert sessions with the Gamma methodology.
In normal conditions the system of each sector is in a stable state or in equilibrium, i.e. the
parameters do not change with time. These changes only occur if disturbances from outside act on
the system. And this is the case in reality, although disturbances are continuously balanced by system
internal regulations and control mechanisms. The system state becomes stable and eventually
fluctuates only around the equilibrium. Only unusual disturbances are able to generate unstable
behaviour, however, leading to stable state again although at different level. Theoretically, the set of
relationships among the elements, as defined with the Gamma methodology, should cover this
___________________________________________________________________________
stabilisation effect. Unfortunately, this was not the case; all relationships were defined as positive
feedbacks in the System Dynamics notation.
Therefore: In any system, for stabilising control mechanisms negative feedbacks have to be available
in order to create a stable equilibrium.
-----------------------------
Software for example:
GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :

http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf
PowerSim Studio Express 7
___________________________________________________________________________
___________________________________________________________________________
12 W. Schmitz: Modellbildung und Simulation für KI
___________________________________________________________________________
Walter Schmitz, „Modellbildung und Simulation für Kritische Infrastrukturen“; IABG, 02/2004
(siehe: http://www.competence-site.de/downloads/93/9f/i_file_3951/B2_M%26S%20f%C3%BCr%20CI.doc)
1 Einführung
Kritische Infrastrukturen sind komplexe Systeme, deren Überlebensfähigkeit zu gewährleisten ist. Die
Erfahrungen mit komplexen Systemen haben gezeigt, dass das Wissen über Einzelteile nicht
ausreicht, komplexe Systeme zu erfassen und zu bewerten. Mindestens genau so wichtig ist es, die
Vernetzung der Einzelteile zu berücksichtigen.
Es sollte sowohl eine statische wie auch eine dynamische Analyse der Infrastrukturen durchgeführt
werden.
Das Ziel der statischen Analyse ist, für jede der betrachteten Infrastrukturen die wichtigsten
Elemente der Infrastrukturen zu identifizieren, das Wirkungsgefüge zwischen den Elementen sichtbar
zu machen, die „Rollen“ der Elemente innerhalb dieses Netzwerkes zu erkennen sowie die inneren
kybernetischen Regeln der Infrastrukturen aufzudecken, um geeignete Überlebensstrategien für die
Infrastrukturen daraus ableiten zu können.
Das Ziel der dynamischen Analyse besteht in erster Linie darin, Auswirkungen von Störungen
aufzuzeigen. Hauptaugenmerk gilt dabei vor allem den Dominoeffekten, die sich kaskadenartig über
die einzelnen Infrastrukturen ausbreiteten.
2 Häufige Fehler bei der Modellierung komplexer Systeme

Eingriffe in die Vernetzung verändern die Beziehungen zwischen den Komponenten und damit den
Charakter des Gesamtsystems. Offene Systeme wie z.B. ökologische Systeme erfahren immer wieder
„Störungen“ von außen und reagieren darauf. Aber gerade durch diesen permanenten Austausch
bewahren sie ihre Überlebensfähigkeit. Denn ein solcher Austausch verursacht Rückkopplungen und
Selbstregulation – Eigenschaften, die nicht in den einzelnen Komponenten des Systems enthalten
sind. Überlebensfähigkeit des Gesamtsystems kann also nicht alleine aus der Überlebensfähigkeit
seiner Komponenten abgeleitet werden, sondern beruht mehr auf kybernetischen Prinzipien. Das ist
auch ein Grund, weshalb viele komplexe Projekte, die deterministisch geplant und ohne
Rückkopplung mit ihrem Umfeld durchgeführt wurden, gescheitert sind. Typische strategische Fehler
im Umgang mit komplexen Systemen sind:
 Falsche Zielbeschreibung des Gesamtsystems

 Unangemessene Abbildung / Beschreibung des Systems
 Auswahl ungeeigneter Lösungsstrategien.

2.1 Zielbeschreibung des Gesamtsystems
Suboptimierung und Auswahl nicht zutreffender Zielfunktionen sind oft bei der Analyse komplexer
Systeme zu beobachten. Anstatt sich auf die Überlebensfähigkeit des Gesamtsystems zu
konzentrieren, verfolgen die Planer oft Reparaturstrategien oder wählen z.B. Shareholder Value als
Zielfunktion aus. Die Konsequenz ist, dass Nachhaltigkeit, Stabilität und Robustheit des Systems nicht
gefördert werden, was gerade bei kritischen Infrastrukturen ein verhängnisvoller Fehler wäre.
___________________________________________________________________________
2.2 Systemmodellierung
Typische Modellierungsfehler sind:
1. Unausgewogene Auflösungsebenen
2. Vernachlässigung wichtiger Interdependenzen
3. Nichtberücksichtigung wesentlicher Systemkomponenten
4. Verzicht auf „weiche“ Faktoren
5. Missachtung von Störungen
6. Unüberlegte Anwendung der Extrapolationsmethode.
(1) Unausgewogene Auflösungsebenen
Oft sind die Auflösungsebenen der einzelnen Systemkomponenten nicht problemadäquat

ausgewählt. Zu hohe Auflösung führt zu einer Informationsüberflutung. Große Datenmengen werden
gesammelt, die ihrerseits aber verhindern, dass die Systemstruktur aufgedeckt wird. Wichtige
Beziehungen und Interaktionen werden dadurch übersehen. Die Datenmenge kann nicht
zielgerichtet ausgewertet werden. Wichtige Eigenschaften wie Rückkopplungen und
Selbstregulierung bleiben unerkannt und damit auch der dynamische Charakter des Systems. Die
Aufgabe besteht also darin, die Interaktionen der einzelnen Ereignisse auf der geeigneten
Auflösungsebene zu erkennen, die Datenmenge auf die wesentlichen Schlüsselkomponenten zu
beschränken und nur diese Schlüsselkomponenten miteinander zu vernetzen.
(2) Vernachlässigung wichtiger Interdependenzen
Erziehung und Ausbildung zum Spezialistentum veranlasst uns, eher ins Detail zu gehen anstatt den
Gesamtzusammenhang zu erfassen. Dies führt oft dazu, einzelne Komponenten im Detail zu
analysieren und dafür die Vernetzung der Komponenten untereinander zu vernachlässigen.
Aber ohne Kenntnis der Vernetzung – verursacht durch die Interdependenzen zwischen den
Komponenten – lässt sich das Verhalten und die Leistungsfähigkeit des Gesamtsystems nicht
bewerten, wie groß die Detailkenntnisse über die Einzelteile des Systems auch sein mögen. Die Rolle
der Komponenten im Netzwerk bleibt unbekannt. Die Konsequenz ist, dass Symptome anstatt
Ursachen behandelt werden.
(3) Nichtberücksichtigung wesentlicher Systemkomponenten
Oft ist die Tendenz zu beobachten, sich auf Sachverhalte zu konzentrieren, die man als richtig
erkannt hat. Dafür werden aber oft gravierende Elemente in anderen Bereichen ignoriert oder
übersehen. Bewusstes oder unbewusstes Übersehen wesentlicher Komponenten reduziert zwar die
Datenmenge, vermittelt aber einen falschen Eindruck vom Gesamtsystem.
(4) Verzicht auf weiche Faktoren
Die Negierung weicher Faktoren wie Konsens, Vertrauen, Zufriedenheit, Motivation, Lebensqualität
und andere mehr führt ebenfalls zu einer unvollständigen und einseitigen Systembeschreibung. Zur
Erfassung der Leistungsfähigkeit des Systems sind qualitative Faktoren ebenso wichtig wie
quantitative Faktoren.
(5) Missachtung von Störungen
Verfangen im linearen Ursachen-Wirkungs-Denken wird immer wieder versucht, alle

Planungsfaktoren so genau wie möglich zu bestimmen anstatt Puffer für unvorhergesehene
___________________________________________________________________________
Störungen vorzuhalten. Es wird getan, als ob es ein geschlossenes System vorliegen würde, das keine
Störungen von außen zu befürchten hätte.
(6) Unüberlegte Anwendung der Extrapolationsmethode
Unüberlegte Anwendung der Extrapolationsmethode führt oft zu falschen Lösungen, weil diese
Methode – wenn überhaupt – das Verhalten komplexer Systeme nur für ein kleines begrenztes
Zeitintervall voraussagen kann. Abhängigkeiten und Störungen können bei komplexen Systemen
überraschende Effekte hervorrufen, die selten auf direkte Ursachen-Wirkungsbeziehungen zwischen
benachbarten Elementen zurückzuführen sind. Dies ist einer der wichtigen Gründe, weshalb
komplexe Systeme so schwierig zu planen und verstehen sind und Extrapolation als Lösungsmethode
nur selten taugt. Prognosemodelle dieser Art sind ungeeignet, weil sie nur dann hinreichend gute
Antworten geben können, wenn alle Daten bezüglich der Interaktionen bekannt sind und es sich um
ein geschlossenes System handelt.
2.3 Auswahl von Lösungsstrategien

Typische Fehler bei der Auswahl von Lösungsstrategien sind:
1. Ignorierung von Seiteneffekten

2. Festhalten an Reparaturstrategien
3. Tendenz zur Überreaktion
4. Tendenz zu diktatorischem Verhalten.
(1) Ignorierung von Seiteneffekten

Herkömmliches Planen auf der Basis linearer Ursachen-Wirkungsbeziehungen versucht zwar
konsequent, die Situation zu verbessern, kümmert sich aber zu wenig darum, Seiteneffekte der
ausgewählten Maßnahmen aufzudecken. Was-wäre-wenn-Überlegungen müssen angestellt werden,
um die Seiteneffekte der ausgewählten Strategien zu erfassen.
(2) Festhalten an Reparaturstrategien
Reparaturstrategien sind nicht nur kostspielig, sie verursachen auch noch Folgeschäden, weil sie
Interdependenzen zwischen den Systemkomponenten missachten. Die bessere Strategie ist, die
Systemkonstellationen zu finden, die zu Selbstregulation führt.
(3) Tendenz zur Überreaktion
Beim Steuern komplexer Systeme zeigen wir oft ein typisches Verhalten:
 Zurückhaltung, wenn erste Korrekturmaßnahmen durchgeführt werden.

 Heftige Eingriffe, wenn sich das Systemverhalten nicht verändert.
 Notbremsung, sobald die ersten unbeabsichtigten Effekte im Systemverhalten eintreten.
Ein solches Steuerungsverhalten negiert, dass sich die Auswirkungen der ersten zaghaften
Steuerungsmaßnahmen infolge von Zeitverzögerungen unbemerkt kumuliert haben. Ein solches
Zeitverhalten kann in Simulationen erforscht werden.
(4) Tendenz zum diktatorischen Verhalten
Das Gefühl, das Verhalten des Systems steuern zu können und der Glaube, alle Systemfunktionen zu
kennen, verführt oft zu einem diktatorischen Verhalten, das jedoch völlig ungeeignet ist im Umgang
___________________________________________________________________________
mit komplexen Systemen. Ein Steuerungsansatz, der die inhärenten Systemregeln und –
eigenschaften ausnutzt, ist wesentlich effektiver. Die kybernetischen Systemeigenschaften müssen
identifiziert werden, um Kontrollschleifen und Rückkopplungen ausnutzen zu können.
3 Ein denkbares Vorgehensmodell

Die methodische Herausforderung des Schutzes kritischer Infrastrukturen besteht darin, die oben
aufgeführten methodischen Unzulänglichkeiten zu vermeiden und Antworten auf folgende Fragen zu
finden:
 Wie reagiert das System „Kritische Infrastrukturen“ auf bestimmte Ereignisse?

 Wie robust und flexible ist das System?
 Wie kann sein Systemverhalten verbessert werden?
 Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt werden?
 Was sind die kritischen und unkritischen Bereiche des Systems?
Vester, Probst and Gomez zeigten, dass die Methode des Vernetzten Denkens das Verhalten
komplexer Systeme hinreichend genau beschreiben kann, selbst wenn nur Rohdaten der einzelnen
Komponenten vorliegen, aber die Abhängigkeit der Komponenten untereinander erfasst sind.
Die Arbeitsschritte eines solchen Ansatzes sind in Abbildung 1 dargestellt. Obgleich in diesem Bild die
einzelnen Arbeitsschritte konsekutiv dargestellt sind, sind sie doch als rekursiver Prozess aufzufassen:
nach jedem Schritt kann zu einem der vorangegangenen Schritte zurückgesprungen und der
Sachverhalt entsprechend verändert werden.
Abbildung 1: Prozessmodell zum Schutz kritischer Infrastrukturen
___________________________________________________________________________
3.1 Schritt 1: Zielfunktionen und Systemmodellierung
Eine korrekte Problembeschreibung ist ausschlaggebend für eine erfolgreiche Problemlösung.
Zusammenhang, Beziehungen und Interaktionen zwischen den Elementen müssen erfasst und
verstanden werden. Ebenso wichtig ist es, die wahren Zielsetzungen zu erkennen, die uns zu den
tatsächlichen Problemlösungen leiten. Allerdings sind in komplexen Situationen oft nur vage
Zielsetzungen anzutreffen und einzelne Zielfunktionen können auch im Interessenkonflikt stehen.
Zum Beispiel sind Überlebensfähigkeit, Risikominimierung, Shareholder Value, Versorgungssicherheit
und technische Funktionsfähigkeit oft genannte Zielfunktionen, wobei z.B. Maximierung des
Shareholder Value im Interessenkonflikt zu Risikominimierung stehen kann.
Abbildung 2: Kontrollmodell „Schutz kritischer Infrastrukturen“
Das Verhalten einer kritischen Infrastruktur kann gemäß Abbildung 2 als Kontrollmodell beschrieben
werden, wobei folgende Elemente zu unterscheiden sind:
 Akteure wie z.B. Bedienungspersonal, Nutzer, Kunden
 Kontrollierbare Faktoren wie Computer, Netzwerk, Verteiler etc.
 Kriterien oder Indikatoren, die den Erreichungsgrad der Zielfunktion angeben.
Akteure kontrollieren die kontrollierbaren Faktoren. Umgekehrt beeinflussen die Indikatoren das
Verhalten der Akteure. Da kritische Infrastrukturen keine abgeschlossenen Systeme darstellen,
können auch externe Faktoren die kritische Infrastruktur beeinflussen. Beispiele für solche externe
von der Infrastruktur nicht direkt beeinflussbare Faktoren sind die Gesetzgebung und internationale
Standards. Diese Faktoren beeinflussen sowohl das Verhalten der Akteure als auch die internen von
der Infrastruktur direkt kontrollierbaren Faktoren. Externe und interne Faktoren beeinflussen den
Wert der Indikatoren und damit auch den Wert der Zielfunktion wie z.B. die technische
___________________________________________________________________________
Funktionsfähigkeit. Der Wert der Zielfunktion wiederum veranlasst die Akteure, die internen
Faktoren zu ändern, wenn der wert der Zielfunktion außerhalb des Normalbereiches liegt.
3.2 Arbeitsschritt 2: Analyse der Kausalitäten

Geeignete Analysetools werden benötigt, um Beziehungen, Einflüsse und Zeitverhalten komplexer
System untersuchen und besser verstehen zu können. Die Darstellungen durch Netzwerke erlauben
uns, die Kausalitäten der Beziehungen zu beschreiben und ihre Eigenschaften zu analysieren. Dazu
wird zunächst dieses Bild um die Größen Zielfunktion und Kriterien zum Messen der Zielfunktion
erweitert (siehe Abbildung 3). Gemäß Abbildung 3 soll die Überlebensfähigkeit des Systems „Kritische
Infrastrukturen“ gewährleistet werden. Überlebensfähigkeit ist eine komplexe Funktion, die über
Kriterien oder Teilziele wie technische Funktionsfähigkeit, Akzeptanz und Umweltverträglichkeit
verfeinert wird. Akteure dieses Systems sind: Elektrizität, Telekommunikation, Wasser, Gas, Öl,
Transport. Alle Elemente sind mit Pfeilen verbunden, die die charakteristischen Beziehungen
zwischen den Elementen anzeigen.
Abbildung 3: System interdependenter kritischer Infrastrukturen
Die Farben der Pfeile sollen unterschiedliche Einflusssphären kennzeichnen: Schwarz für
physikalische Einflüsse, rot für Cyber-Einflüsse, braun für Managementeinflüsse und blau für
strategische Einflüsse.
___________________________________________________________________________
Falls Element A das Element B beeinflusst, stellt sich die Frage, ob A eine verstärkende oder
dämpfende Wirkung auf B ausübt. Plus- oder Minus-Zeichen in der Pfeilspitze sollen diese
verstärkende oder dämpfende Wirkung anzeigen.
Zeitaspekte spielen ebenfalls eine wichtige Rolle im Systemverständnis. Planer schätzen die
Reaktionszeit des Systems oft falsch ein, wenn sie Korrekturmaßnahmen einleiten. Sie mögen zwar
die individuellen Antwortzeiten der einzelnen Elemente kennen, aber in aller Regel nicht die
vernetzten Zeitaspekte, die durch Rückkopplungen über mehrere Stationen hervorgerufen werden.
Die Erfahrung hat gezeigt, dass es oft schon ausreicht zwischen kurz-, mittel- und langfristig zu
unterscheiden, um zu brauchbaren Ergebnissen zu kommen. Allerdings können die Vorstellungen
über diese Zeitangaben von Sektor zu Sektor sehr unterschiedlich sein.
Die Dicke der Pfeile zeigt die Stärke der Beeinflussung an, denn nicht alle Beziehungen haben den
gleichen Effekt. Mit Hilfe der Beeinflussungsstärke lassen sich die Elemente in Klassen oder Rollen
einteilen:
 Elemente, die das Verhalten des Gesamtsystems stark beeinflussen, ohne dass sie selbst stark
beeinflusst werden, werden als „aktive“ Elemente oder auch „Treiber“ bezeichnet.
 Elemente, die andere nur schwach beeinflussen, aber selbst stark beeinflusst werden, werden
„reaktiv“ oder „passiv“ oder auch „getriebene“ Elemente genannt.
 Elemente, die sowohl stark beeinflussen als auch stark beeinflusst werden, werden „kritisch“
genannt.
 Elemente, die weder stark beeinflussen noch stark beeinflusst werden, werden als puffernde
Elemente bezeichnet.
Wie Abbildung 4 zeigt, wird in diesem Demonstrationsbeispiel der Sektor „Elektrizität“ als kritische
Größe, die Sektoren „Öl“, „Telekommunikation“ sowie „Transport/Verkehr“ als Treiber bzw. aktive
Größen, der Sektor „Erdgas“ als passive und „Wasser“ als puffernde Größe eingeschätzt.
Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen werden das Verhalten des
Gesamtsystems der hier abgebildeten kritischen Infrastrukturen empfindlich beeinflussen. Im
Störungsfall macht sich besonders negativ bemerkbar, dass in diesem Netzwerk keine dämpfende
Rückkopplungen enthalten sind, die auf die Infrastruktursektoren direkt einwirken könnten (siehe
Abbildung 5). Das heißt, das Gesamtsystem enthält keine Kontrollschleifen, die Selbstregulierung
auslösen oder fördern könnten.
Auf diesen Schwachpunkt wird in Arbeitsschritt 4 „Einflussanalyse“ (siehe Kapitel 3.4) noch genauer
eingegangen.
___________________________________________________________________________
Abbildung 4: Die Rolle der Elemente
Abbildung 5: Verstärkende Rückkopplungen

___________________________________________________________________________
3.3 Arbeitsschritt 3: Scenario Entwicklung
Komplexe Systeme verhalten sich nach ihren eigenen Regeln. Insofern kann ihre Zukunft nicht exakt
vorausgesagt werden. Aber es können Szenarien entwickelt und die daraus folgenden Konsequenzen
simuliert werden. In der Praxis hat es sich bewährt, ein Basis-Scenario mit Alternativen zu entwickeln
wie z.B. ein optimistisches und ein pessimistisches Scenario. Die Scenarioentwicklung erfordert
folgende Arbeitsschritte:
 Festlegung des Zeithorizontes
 Ermittlung der Einflussgrößen des Netzwerkes
 Entwicklung des Basis-Scenarios
 Entwicklung der alternativen Szenarien
 Interpretation der Szenarien.
3.4 Arbeitsschritt 4: Einflussanalyse

In diesem Arbeitsschritt sollen die Kontroll- oder Steuerungsmöglichkeiten ermittelt werden. Die
Analyse der Steuerungsmöglichkeiten beinhaltet die Analyse von Rückkopplungsschleifen,
Selbstregulierungsmechanismen, Beeinflussungsstärken sowie Zeitverhalten. Hierbei ist zu beachten,
durch welche Maßnahmen die Elemente beeinflusst werden können und wer die Kompetenz dazu
hat. Maßnahmen und Kompetenzverteilung legen letztendlich die Auflösungsebene des Netzwerkes
fest.
Um gezielt Standards zur Vermeidung oder Milderung von Störungen in der Infrastruktur
„Elektrizität“ erlassen zu können, muss diese Infrastruktur genauer untersucht werden, was in
unserem Fall höhere Auflösung des Netzwerkes der Infrastruktur „Elektrizität“ bedeutet. Ein
mögliches Beispiel zeigt Abbildung 6.
In diesem Beispiel sind die Leitzentralen zur Energieerzeugung und zur Energieverteilung am
stärksten vernetzt, was auf eine Sonderstellung dieser beiden Größen schließen lässt. Gleichzeitig
werden beide Leitzentralen von der externen Größe IuK (Element 24) sehr stark beeinflusst. Die
Portfolio-Betrachtung (siehe Abbildung 7) bestätigt die obige Vermutung und weist die beiden
Leitzentralen als die kritischen Elemente des Netzwerkes aus.
___________________________________________________________________________
Abbildung 6: Netzwerk „Elektrizität“ (Variante 1)
Beeinflussung Liste der Elemente

1 Versorgungssicherheit
100 14 A 2 Verfügbarkeit Gewerbe
A 3 Verfügbarkeit Industrie
A 4 Verfügbarkeit Haushalt
90 A 5 Verfügbarkeit Verkehr
6 Rekonstitution
B 7 Wasserkraftwerke
80
8 konvent. therm. KW
9 KKW
70 1 15 C 10 KW erneuerbareEnergie
11 Raffinerien
B 12 Trsp Primärenergie
60 13 Trsp Endenergie
14 Leitzentr. Energieerzeugung
13 8 15 Leitzentr. Trsp / Verteilung
50 16 Leitungsgebunde Energie Verteilung
18 17 Nichtleitungsgebundene Energie Verteilung
40 18 Krisen-/Einsatzstab
19 Medienarbeit
20 Schlüsselpersonal
30 6 A 16 21 Staatl. Sicherheitsdienste
9 17 22 Medien
C 23 Verkehr
20 B 24 Telekommunikation/IT
21 22 11
10 19
0 C 20 24
0 10 20 30 40 50 60 70 80 90 100
Einflußnahme
Abbildung 7: Portfolio „Elektrizität“ (Variante 1)
Trotz starker Einflussnahme auf die Leitzentralen wird IuK (Element 24) als pufferndes Element
eingestuft und nicht als Treiber wie die Elemente 11, 16 und 17.
___________________________________________________________________________
Geht man aber zum Beispiel von der Annahme aus, dass aus Kostengründen die Leitzentralen ihre
Kontrollfunktion über das Internet abwickeln und nicht mehr ein eigenes Steuerungsnetz aufrecht
erhalten, dann muss die Abhängigkeit der Leitzentrale von IuK als extrem hoch eingeschätzt werden,
was in Abbildung 8 angenommen wird.
Abbildung 8: Netzwerk „Elektrizität“ (Variante 2)
___________________________________________________________________________
Dieser Eingriff in das Netzwerk bewirkt, dass IuK zum Treiber des Netzwerkes wird. Die beiden
Leitzentralen werden weiterhin als die kritischen Elemente eingeschätzt (siehe Abbildung 9).
Abbildung 9: Portfolio „Elektrizität“ (Variante 2)
Die Konsequenz bei der Absicherung der kritischen Infrastruktur „Elektrizität“ muss also sein, vor
allem diese drei Größen einer genaueren Analyse und Beobachtung zu unterziehen. Dies bedeutet,
dass die beiden Leitzentralen weiter aufgelöst werden müssen (höhere Aggregationsebene), um den
Einfluss von IuK auf die Leitzentralen und der Einfluss der Leitzentralen auf die anderen Größen
genauer analysieren zu können.
3.5 Arbeitsschritt 5: Lösungsstrategien und Maßnahmen

Die Ermittlung von Lösungsstrategien und Steuerungsmaßnahmen ist ein kreativer Prozess, der den
Planer vor große Herausforderungen stellen kann. So zeigt z.B. das Netzwerk in Abbildung 3 auf Seite
83 nur selbst verstärkende Rückkopplungen, Ansätze zur Selbstregulation fehlen vollständig. Das
bedeutet, dass dieses System kritischer Infrastrukturen instabil und nicht fehlertolerant ist.
Fordert man aber auf der hohen Aggregationsebene von Abbildung 3 die Möglichkeit
der Selbstregulation, dann muss die Topologie des Netzwerkes geändert werden. Zu diesem Zwecke
soll jetzt eine Regulierungsbehörde für „Elektrizität“ eingeführt werden (siehe Abbildung 10), die z.B.
über Verschärfung von Standards technischen Unzulänglichkeiten oder umweltschädlicher
Stromerzeugung entgegenwirken kann.
___________________________________________________________________________
Abbildung 10: Einführung einer Regulierungsbehörde „Elektrizität“
Mit der Einführung der Regulierungsbehörde können in diesem Netzwerk mindestens zwei
Selbstregulierungsschleifen identifiziert werden (siehe Abbildung 11).
___________________________________________________________________________
Abbildung 11: Selbstregulation im erweiterten Netzwerk
In diesem Fall können mindestens zwei Rückkopplungsprozesse mit der Fähigkeit zur
Selbstregulierung identifiziert werden:
(1) Kontrolle der technischen Funktionsfähigkeit: Falls die Regulierungsbehörde eine

Verschlechterung der technischen Funktionsfähigkeit des Gesamtsystems feststellt, die
beispielsweise durch geringere Leistungsfähigkeit der Elektrizitätswirtschaft hervorgerufen
werden könnte, dann kann sie dieser Entwicklung durch Verabschiedung strengerer Standards
entgegenwirken und so zu einer Verbesserung der technischen Funktionsfähigkeit des
Gesamtsystems beitragen.
(2) Kontrolle der Umweltverträglichkeit: Falls die Regulierungsbehörde abnehmende

Umweltverträglichkeit feststellt, die beispielsweise durch zu starke Berücksichtigung
konventioneller Kraftwerke verursacht sein könnte, dann kann sie dieser Entwicklung durch
entsprechende Auflagen entgegenwirken und so zu einer Verbesserung der
Umweltverträglichkeit beitragen.
Dieses einfache Beispiel soll zeigen, wie durch Veränderung der Systemtopologie das
Systemverhalten stabilisiert werden kann.
3.6 Arbeitsschritt 6: Entwicklung robuster und anpassungsfähiger

Problemlösungen
Die Problemlösungen sollten so ausgewählt werden, dass sie auch unter widrigen Umständen
beibehalten werden können, indem sie sich der veränderten Situation anpassen können. Das heißt,
Reparatur- und Anpassungseigenschaft müssen in die Problemlösung integriert werden. Dazu ist ein
Kontrollprozess zu installieren, der die notwendigen Korrekturmaßnahmen erkennt und initiiert.
Voraussetzung hierfür ist, dass das System über Frühwarnsignale verfügt, die Abweichungen so früh
wie möglich anzeigen. Um aber Frühwarnsignale bestimmen zu können, müssen Erkenntnisse über
das Zeitverhalten des Systems vorliegen. Solche Erkenntnisse können mit Simulationen erforscht
werden. Ebenso können Kaskadeneffekte, die auf den Interdependenzen der Infrastrukturen
beruhen, mit Simulationen aufgezeigt werden wie die folgenden Beispiele einer dynamischen
Analyse kritischer Infrastrukturen zeigen.
___________________________________________________________________________
4 Dynamische Analyse der kritischen Infrastrukturen
Die Simulation kritischer Infrastrukturen basiert auf den in den vorangegangenen Kapitelen
vorgestellten Netzwerken. Diese Netzwerke werden mit Hilfe einer Simulationssprache in eine
logische Struktur transferiert, die auf der Systems Dynamics Methode basiert. Diese Methode erlaubt
die dynamische Darstellung aller erfassten Parameter mit ihren Interaktionen.
So sind in Abbildung 12 die Infrastrukturen aufgeführt, die in der Simulation zur Zeit abgebildet sind.
Darüber hinaus zeigen die Verbindungslinien zwischen den Infrastrukturen deren vielfältigen
Interaktionsprozesse an. Potentielle Störungen – verursacht durch Terroranschläge,
Naturkatastrophen oder große Unfälle – verursachen Probleme im Betrieb der Infrastrukturen. In der
Simulation reagieren die Variablen auf solche Einwirkungen durch einen Abfall ihrer
Produktionskurven, die sich hinsichtlich Schwere und Dauer deutlich unterscheiden können.
Abbildung 12: Startbild der Simulation
___________________________________________________________________________
Zunächst wollen wir davon ausgehen, dass in den ersten 6 Stunden keine Störung in den
Infrastrukturen auftreten. In diesem Fall arbeiten alle im Normalbetrieb, was in der Simulation
bedeutet, dass die Produktivität mit dem Wert 0,9 beschrieben wird (siehe Abbildung 13).
Nach den sechs Stunden ungestörten Betriebes wird angenommen, dass eine extreme schwere
Störung in der Energieverteilung auftritt, die über ein entsprechendes Eingabefenster eingegeben
werden kann (siehe Abbildung 14).
Abbildung 13: Simulation im ungestörten Falles
___________________________________________________________________________
Abbildung 14: Eingabe einer extrem schweren Störung in der Energieverteilung
Darüber hinaus wird angenommen, dass diese Störung erst nach 12 Stunden behoben werden kann.
Die Auswirkungen dieser Störung auf die einzelnen Infrastrukturen zeigen die Abbildung 15 bis
Abbildung 17. Nach einer kurzen Verzögerung macht sich die Störung der Energieverteilung in der
Infrastruktur „Transport & Verkehr“ bemerkbar, nicht aber in der Telekommunikation, weil diese
über Notstrom verfügt.
Sobald die Störung in der Energieverteilung beseitigt ist, reagieren die Kurvenverläufe der
Infrastruktur „Energie“ und streben dem Normalwert entgegen, den sie aber erst mit einer
Zeitverzögerung erreichen können (Abbildung 18).
Ein solcher Trend, wenn auch mit wesentlich größerer Zeitverzögerung, lässt sich bei den Kurven der
Infrastruktur „Transport & Verkehr“ beobachten (Abbildung 20), wogegen die Kurven der
Infrastruktur „Telekommunikation“ erst jetzt auf die Störung reagieren, deren Auswirkungen noch
nicht ganz überwunden sind (Abbildung 19). Der Grund ist, dass in der Simulation eine
Notstromversorgung von 12 Stunden für die Telekommunikation angenommen wird.
Diese Beispiele zeigen, dass sich die Störung in der „Energie“ kaskadenartig auf die anderen
Infrastrukturen ausbreitet, aber mit unterschiedlicher Geschwindigkeit und Auswirkung.
___________________________________________________________________________
Abbildung 15: Simulationsverlauf „Energie“ im gestörten Fall
___________________________________________________________________________
Abbildung 16: Simulationsergebnisse der Infrastruktur „Telekommunikation“
___________________________________________________________________________
Abbildung 17: Simulationsergebnisse der Infrastruktur „Transport & Verkehr“
Abbildung 18: Simulationsverlauf „Energie“ nach Beseitigung der Störung
___________________________________________________________________________
Abbildung 19: Simulationsverlauf „Telekommunikation“ nach Beseitigung der Störung
Abbildung 20: Simulationsverlauf „Transport&Verkehr“ nach Beseitigung der Störung
___________________________________________________________________________
5 Empfehlungen
(1) Der Schutz wirtschaftlicher Systeme war bisher nicht gegen Terror ausgerichtet, sondern auf
Gegenspionage und / oder Wirtschaftsspionage. Hier muss dringend nachgebessert werden. Bin
Laden drohte unverhohlen auch der amerikanischen Wirtschaft. Diese Drohung muss ernst
genommen werden. Sie wird im Erfolgsfall unmittelbare Auswirkung auch auf Europa und die
Weltwirtschaft haben. Bin Laden und seine Unterstützer haben umsichtige Planung und
weitsichtiges Handeln nachgewiesen. Allein schon die Nutzung der dort konzentrierten
wirtschaftlichen Macht kann Turbulenzen an Börsen hervorrufen, da ein Handeln nicht auf
Gewinnmaximierung ausgerichtet sein wird, sondern auf Schadensmaximierung. Terroristen mit
diesen Fähigkeiten sind in der Lage, Schwachpunkte kritischer Infrastrukturen zu identifizieren
und geeignete Angriffsstrategien zu ermitteln, um mit einem Minimum an Risiko und Aufwand
ein Maximum an Schaden und öffentlicher Aufmerksamkeit zu erreichen.
(2) Zum Schutz kritischer Infrastrukturen sind Werkzeuge zu entwickeln sind, die zum einen das
Zusammenspiel kritischer Infrastrukturen mit und ohne Störungen simulieren können und zum
andern dem Planer helfen, die kybernetische Eigenschaften des Gesamtsystems aufzudecken und
zu verstehen. Nur so kann entschieden werden, ob Eingriffe in das System zur Beeinträchtigung
seiner Überlebensfähigkeit führen oder nicht und welche Maßnahmen die Überlebensfähigkeit
stabilisieren bzw. verbessern.
(3) Simulationen sind hilfreich, um die Dynamik des Systems untersuchen zu können. Sie lassen den
Planer erkennen, wie empfindlich das System reagiert und wo die Risiken liegen, welche
Vorsichtsmaßnahmen zu ergreifen sind, um die Stabilität zu verbessern, und wie kritische
Bereiche geschützt werden können.
(4) Sensitivitätsanalysen mittels Simulationen decken auf, welche Parameter geändert werden
sollten, um die gewünschten Ergebnisse zu erzielen. Sie geben Aufschluss, wo

Steuerungsmaßnahmen sinnvoll sind oder nicht. Unter Berücksichtigung kybernetischer Regeln
kann so das System „Kritische Infrastrukturen“ kontinuierlich hinsichtlich seiner
Überlebensfähigkeit verbessert werden.
-----------------------------
Software for example:
GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :

http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf
PowerSim Studio Express 7
___________________________________________________________________________
___________________________________________________________________________
13 P. Gomez: Ganzheitliches Problemlösen
___________________________________________________________________________
Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag
(www.haupt.ch), 1999, 133-134
Computerunterstützte Simulationsmodelle
In den letzten Jahren sind einige PC-taugliche Programmpakere auf den Markt gekommen, die es
erlauben, auf dem vernetzten Denken basierende Systemmodelle abzubilden und zu simulieren. Die
wichtigsten drei Pakete seien hier kurz vorgestellt.
Das Programm Gamma (Tata Interactive Systems) bietet mehrere Analysefunktionen an, die dem
Bereich Simulation zugeordnet werden können. Hierzu gehören die Untersuchung der
Wirkungsausbreitung (welche Elemente sind betroffen, wenn Eingriffe an einem bestimmten
Element erfolgen?) und der Wirkungsaufnahme (von welchen Elementen wird ein bestimmtes
Element beeinflusst?), die Riickkoppelungsanalyse (welche geschlossenen Wirkungsketten liegen im
untersuchten System vor?) und vor allem die Zeitanalyse. Bei dieser wird nach einem Eingriff im
System die Veränderung der einzelnen Elemente im Zeitablauf dargestellt. Hervorzuheben ist die
einfache Bedienung des Programms. Es eignet sich vor allem für Problemlösende, die ihre Resultate
des vernetzten Denkens dokumentieren und einfache Zusammenhänge durchspielen möchten.
Als zweites sind die von VESTER entwickelten sm-Tools zu erwähnen. Diese sollen zur
Rationalisierung der Arbeit mit Netzwerken beitragen und die Möglichkeit der Simulation eröffnen.
Das Programmpaket dient zum einen als Protokollierungsinstrument und Arbeitshilfe während des
Problemlösungsprozesses, anderseits werden einige Schritte auch automatisiert, und es existiert eine
Simulationsfunktion. Die Benutzer haben die Möglichkeit. den Ablauf der Simulation zu steuern und
auch während dieser in das Geschehen einzugreifen. Während der Simulationen lassen sich die
Werte der einzelnen Elemente anhand von Balkendiagrammen innerhalb des Netzwerkes darstellen,
und der gesamte Simulationsverlauf kann mit Hilfe von Liniendiagrammmen und Histogrammen
visualisiert werden. Hieraus erhält man Aufschluss über relative Veränderungen der Systemelemen-
te, nicht jedoch über deren absolute Werte. Die Simulationsfunktion kann für einfache
Sensitivitätsanalysen eingesetzt werden, eine vollwertige Simulation im engeren quantitativen Sinne
wird nicht geboten. Der sehr hohe Lizenzpreis dürfte es den meisten Anwendern zum vornherein un-
möglich machen, diese Sofnvare zu benutzen.
Eine letzte Gruppe von Programmen bilden die auf System Dynamics basierenden
Softwarewerkzeuge ithink! oder Powersim. Sie sind vollständig quantitativ ausgerichtet, und die
Simulation steht klar im Mittelpunkt. Die Verwendung dieses Instrumentariums erfordert die
Quantifizierung und mathematische Darstellung aller Beziehungen des Netzwerkes untereinander.
Der damit verbundene Arbeitsaufwand ist enorm. Die Möglichkeiten der Beschreibung der Wirkungs-
beziehungen ist jedoch bedeutend ausgefeilter als bei den anderen Programmen. Die Simulation
kann interaktiv erfolgen, Sensitivitätsanalysen lassen sich einfach durchführen und dokumentieren,
graphische und tabellarische Darstellungen können problemlos erstellt werden. Der Lerneffekt für
die Problemlösenden ist unseres Erachtens sehr gross. Preislich liegen diese Softwarepakete im
Rahmen, aber ihr Einsatz erfordert doch einen gewaltigen Aufwand der Quantifizierung.
Wir haben in der Praxis festgestellt, dass es in den weitaus meisten Fällen genügt, mit
Papiermodellen und gedanklichen Simulationen zu arbeiten. Dabei dürfen der Gruppeneffekt und die
schrittweise Erarbeitung der Szenarien nicht unterschätzt werden. Sie sind einer noch so detaillierten
und komplizierten Computersimulation durch Experten und der Kenntnisnahme der Ergebnisse in
Form von Endberichten vorzuziehen, da so kaum ein Gefühl und Verständnis für das Systemverhalten
___________________________________________________________________________
entwickelt werden kann. Eine Weiterentwicklung der heutigen Programmpakete kann aber auch
diese zu einem wertvollen Instrument für Problem für problemlöser werden.
___________________________________________________________________________
___________________________________________________________________________
14 J. Sterman: Skeptic’s Guide to Computer Models
___________________________________________________________________________
John D. Sterman, “ A Skeptic’s Guide to Computer Models”, 1998
Prof. Sterman is Director of the MIT System Dynamics Group and Professor of Management Science
at the Sloan School of Management at M.I.T.
(see: http://www.clexchange.org/ftp/documents/system-dynamics/SD1998-02SkepticsGuideTMods.pdf)
Simulation
The Latin verb simulare means to imitate or mimic. The purpose of a simulation model is to mimic
the real system so that its behavior can be studied. The model is a laboratory replica of the real
system, a microworld (Morecroft 1988). By creating a representation of the system in the laboratory,
a modeler can perform experiments that are impossible, unethical, or prohibitively expensive in the
real world.
Simulations of physical systems are commonplace and range from wind tunnel tests of aircraft design
to simulation of weather patterns and the depletion of oil reserves. Economists and social scientists
also have used simulation to understand how energy prices affect the economy, how corporations
mature, how cities evolve and respond to urban renewal policies, and how population growth
interacts with food supply, resources, and the environment. There are many different simulation
techniques, including stochastic modeling, system dynamics, discrete simulation, and role-playing
games. Despite the differences among them, all simulation techniques share a common approach to
modeling.
Optimization models are prescriptive, but simulation models are descriptive. A simulation model
does not calculate what should be done to reach a particular goal, but clarifies what would happen in
a given situation. The purpose of simulations may be foresight (predicting how systems might behave
in the future under assumed conditions) or policy design (designing new decision-making strategies
or organizational structures and evaluating their effects on the behavior of the system).
In other words, simulation models are “what if” tools. Often such “what if” information is more
important than knowledge of the optimal decision.
Every simulation model has two main components. First it must include a representation of the
physical world relevant to the problem under study.
How much detail a model requires about the physical structure of the system will, of course, depend
on the specific problem being addressed.
In addition to reflecting the physical structure of the system, a simulation model must portray the
behavior of the actors in the system. In this context, behavior means the way in which people
respond to different situations, how they make decisions. The behavioral component is put into the
model in the form of decision-making rules, which are determined by direct observation of the actual
decision-making procedures in the system.
Given the physical structure of the system and the decision-making rules, the simulation model then
plays the role of the decision makers, mimicking their decisions. In the model, as in the real world,
the nature and quality of the information available to decision makers will depend on the state of the
system. The output of the model will be a description of expected decisions. The validity of the
___________________________________________________________________________
model’s assumptions can be checked by comparing the output with the decisions made in the real
system.
L imitations of Simulation
Any model is only as good as its assumptions. In the case of simulation models, the assumptions
consist of the descriptions of the physical system and the decision rules. Adequately representing the
physical system is usually not a problem; the physical environment can be portrayed with whatever
detail and accuracy is needed for the model purpose. Also, simulation models can easily incorporate
feedback effects, nonlinearities, and dynamics; they are not rigidly determined in their structure by
mathematical limitations as optimization models often are. Indeed, one of the main uses of
simulation is to identify how feedback, nonlinearity, and delays interact to produce troubling
dynamics that persistently resist solution.
Simulation models do have their weak points, however. Most problems occur in the description of
the decision rules, the quantification of soft variables, and the choice of the model boundary.
Accuracy of the Decision Rules
The description of the decision rules is one potential trouble spot in a simulation model. The model
must accurately represent how the actors in the system make their decisions, even if their decision
rules are less than optimal. The model should respond to change in the same way the real actors
would. But it will do this only if the model’s assumptions faithfully describe the decision rules that
are used under different circumstances. The model therefore must reflect the actual decision-making
strategies used by the people in the system being modeled, including the limitations and errors of
those strategies.
Unfortunately, discovering decision rules is often difficult. They cannot be determined from
aggregate statistical data, but must be investigated first hand. Primary data on the behavior of the
actors can be acquired through observation of actual decision making in the field, that is, in the
boardroom, on the factory floor, along the sales route, in the household. The modeler must discover
what information is available to each actor, examine the timeliness and accuracy of that information,
and infer how it is processed to yield a decision. Modelers often require the skills of the
anthropologist and the ethnographer. One can also learn about decision making through laboratory
experiments in which managers operate simulated corporations. The best simulation modeling draws
on extensive knowledge of decision making that has been developed in many disciplines, including
psychology, sociology, and behavioral science.
Soft Variables.
The majority of data are soft variables. That is, most of what we know about the world is descriptive,
qualitative, difficult to quantify, and has never been recorded. Such information is crucial for
understanding and modeling complex systems. Yet in describing decision making, some modelers
limit themselves to hard variables, ones that can be measured directly and can be expressed as
numerical data. They may defend the rejection of soft variables as being more scientific than “making
up” the values of parameters and relationships for which no numerical data are available. How, they
ask, can the accuracy of estimates about soft variables be tested? How can statistical tests be
performed without numerical data? Actually, there are no limitations on the inclusion of soft
variables in models, and many simulation models do include them.
___________________________________________________________________________
After all, the point of simulation models is to portray decision making as it really is, and soft
variables—including intangibles such as desires, product quality, reputation, expectations, and
optimism – are often of critical importance in decision making. Imagine, for example, trying to run a
school, factory, or city solely on the basis of the available numerical data. Without qualitative
knowledge about factors such as operating procedures, organizational structure, political subtleties,
and individual motivations, the result would be chaos. Leaving such variables out of models just
because of a lack of hard numerical data is certainly less “scientific” than including them and making
reasonable estimates of their values. Ignoring a relationship implies that it has a value of zero—
probably the only value known to be wrong!
Of course, all relationships and parameters in models, whether based on soft or hard variables, are
imprecise and uncertain to some degree. Reasonable people may disagree as to the importance of
different factors. Modelers must therefore perform sensitivity analysis to consider how their
conclusions might change if other plausible assumptions were made. Sensitivity analysis should not
be restricted to uncertainty in parameter values, but should also consider the sensitivity of
conclusions to alternative structural assumptions and choices of model boundary.
Sensitivity analysis is no less a responsibility for those modelers who ignore soft variables. Apparently
hard data such as economic and demographic statistics are often subject to large measurement
errors, biases, distortions, and revisions. Unfortunately, sensitivity analysis is not performed or
reported often enough. Many modelers have been embarrassed when third parties, attempting to
replicate the results of a model, have found that reasonable alternative assumptions produce
radically different conclusions.
Model Boundary.
The definition of a reasonable model boundary is another challenge for the builders of simulation
models. Which factors will be exogenous, which will be endogenous? What feedbacks will be
incorporated into the model? In theory, one of the great strengths of simulation models is the
capacity to reflect the important feedback relationships that shape the behavior of the system and its
response to policies. In practice, however, many simulation models have very narrow boundaries.
They ignore factors outside the expertise of the model builder or the interests of the sponsor, and in
doing so they exclude important feedbacks. The consequences of omitting feedback can be serious.
Example: Econometrics (for details read complete article, please.)
___________________________________________________________________________

Collage SimKrit F Fischer

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Collage SimKrit F Fischer

Enviado por

Direitos autorais:

Formatos disponíveis

Simulation

Vom Denken in Systemen

Ein subjektiver Rundgang durch die Fachliteratur

Dr. Friedmar Fischer

Karlsruher Institut für Technologie

3 Definitionen kritischer Infrastrukturen 9

4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen) 13

5 Modelltheorie (Prof. Wolthusen, Univ. Bochum) 19

6 P. Pederson: CI – Interdependency Modeling: A Survey 35

7 S. Rinaldi: Modeling and Simulating CI 41

9 E. Luiijf et al: Empirical Findings on CI Dependencies 51

10 DIESIS Project Description 57

11 K. Niemeyer: Simulation of Critical Infrastructures 63

12 W. Schmitz: Modellbildung und Simulation für KI 77

13 P. Gomez: Ganzheitliches Problemlösen 101

14 J. Sterman: Skeptic’s Guide to Computer Models 105

SIMKRIT: Simulation Kritischer Infrastrukturen für das Krisenmanagement

Vorraussetzungen einer guten Entscheidungsstrategie im Krisenmanagement sind daher die Kenntnis

Welche Ansätze zur Entscheidungsunterstützung vermögen es, die komplexen Zusammenhänge

Speziell Simulationsmodelle können genutzt werden, um die unmittelbar existierenden

Damit zu verstehen ist, welche Hilfsmittel zur Entscheidungsunterstützung bei Problemlösungen

Prof. S. Wolthusen (Universität Bochum) skizziert in seinem modelltherethischen Übersichtsbeitrag

In Kapitel 7 werden „Inderdependenz-Modelle“ kritischer Infrastrukturen kategorisiert. S. Rinaldi

Da das zuverlässige Funktionieren moderner Infrastrukturen inzwischen sehr stark von

Kapitel 10 skizziert das EU – Projekt DIESIS (Design of an Interoperable European federated

In Kapitel 11 beschreibt K. Niemeyer (IABG, Ottobrunn) in einem Zeitschriftenartikel seine

International Organizations with U.S. Participation

Organisation for Economic Co-operation and Development (OECD)

Source: NIPP, p. 104.

Assessment for Critical Infrastructure Protection (ACIP)

2. Vernetztheit: Komplexe Systeme sind vernetzte, dynamische Ganzheiten.

5. Ordnung: Komplexe Systeme weisen erkennbare Ordnungsmuster auf, die (mit-)

6. Lenkung: Lenkung (Steuerung, Regelung) hält ein System unter Kontrolle.

7. Entwicklung: Soziale Systeme können lernen und sich qualitativ entwickeln.

Systemdenken ist ein ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatisches

 Bestimmbarkeit: Determiniert versus stochastisch

 sofortwirkend, zeitverzögert wirkend

- Kontinuierliche und diskontinuierliche Systeme

Es wurde eine systemisch-kybernetische Management-Methodik, die Cybernetic Methodology

- strukturalistische versus diskursive Ausrichtung

- qualitative versus quantitative Methoden

- instrumentalistischer und kommunikativer Rationalität,

b) der Validierung der verwendeten Modelle.

Schutz kritischer Infrastrukturen und Informationssicherheit

Prof. Dr. Stephen D. Wolthusen

Grundmerkmale von Modellen

1) Abbildungsmerkmal: Modelle sind stets Modelle von etwas, nämlich Abbildungen,

(1) der Menge der Attribute,

 Vereinfachende Abbildung (abstrakte Repräsentation) eines Wirklichkeitsausschnittes /

 Abhängig von dem verfolgten Zweck bzw. der Sichtweise

 Eingeschränkte durch die Modellierungsmethode bzw. die entsprechenden

 Subjektiver Prozess(in der Regel nicht automatisierbar)

 Dient insbesondere der Bewältigung von Komplexität

 Voraussetzung für eine informationstechnische Umsetzung

 Basiert in der Regel auf Abstraktion

 (Verallgemeinerung, Loslösung vom Konkreten, Theoretisierung)–Typisierung relevanter

Definition Modellierung (1)

 konkret: z.B. Modellbau, Experimente (Windkanal)

mathematische Modellierung : Prozessder formalen Herleitung und Analyse eines mathematischen

 zunächst: informale Beschreibung des Problems (Prosa)

 daraus: semiformale Beschreibung mit Instrumentarium der Anwendungswissenschaft

 daraus schließlich: streng formale Beschreibung (Konsistenz!)

 D.h.: Formalisierung bzw. Mathematisierung eines Problems zur besseren Lösbarkeit!

Definition Modellierung (2)