Collage SimKrit F Fischer

___________________________________________________________________________Friedmar Fischer; Simulation kritischer Infrastrukturen- Ein subjektiver Rundgang durch die Fachliteratur - 1

Simulationkritischer Infrastrukturen

(SIMKRIT)

Vom Denken in Systemenzu Prototypen von Simulationsmodellen

Ein subjektiver Rundgang durch die Fachliteratur

Dr. Friedmar Fischer

Karlsruher Institut für Technologie(K.I.T.)

Institut für Kern- und Energietechnik(IKET)

Campus Nord

Februar 2010


Inhaltsverzeichnis

1 Vorwort 3

2 Einleitung 5

3 Definitionen kritischer Infrastrukturen 9

4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen) 13

5 Modelltheorie (Prof. Wolthusen, Univ. Bochum) 19

6 P. Pederson: CI – Interdependency Modeling: A Survey 35

7 S. Rinaldi: Modeling and Simulating CI 41

8 SCADA Definition 47

9 E. Luiijf et al: Empirical Findings on CI Dependencies 51

10 DIESIS Project Description 57

11 K. Niemeyer: Simulation of Critical Infrastructures 63

12 W. Schmitz: Modellbildung und Simulation für KI 77

13 P. Gomez: Ganzheitliches Problemlösen 101

14 J. Sterman: Skeptic’s Guide to Computer Models 105


1 Vorwort

Aus der Projektskizze:

SIMKRIT: Simulation Kritischer Infrastrukturen für das Krisenmanagement

Kritische Infrastrukturen umfassen die Sektoren Energieversorgung, Versorgung mit Trinkwasser undNahrungsmitteln, Gefahrenstoffe, Behörden und Verwaltung, Telekommunikation undInformationstechnik, Transport und Verkehrswesen, Finanz-, Geld- und Versicherungswesen undSonstiges wie Großforschungseinrichtungen, symbolträchtige Bauwerke, Kulturgut und Medien.

Kritische Infrastrukturen haben komplexe innere Abhängigkeiten und sind außerdem starkmiteinander vernetzt, was insbesondere beim Ausfall der Stromversorgung bei Großschadenslagendeutlich wird. Entscheidungsträger sind daher in solchen Situationen nicht nur durch einengenerellen Mangel an Ressourcen und deren nur eingeschränkte Verfügbarkeit bzw.Leistungsfähigkeit sondern auch durch ein unzureichendes Verständnis der Auswirkungenangedachter Maßnahmen auf die komplexe Schadenslage eingeschränkt handlungsfähig.

Vorraussetzungen einer guten Entscheidungsstrategie im Krisenmanagement sind daher die Kenntnisder Schadenslage sowie der Überblick über die zu erwartenden Auswirkungen und der verfügbarenRessourcen. Weitere Bedingung für ein erfolgreiches Krisen- und Notfallmanagement beim Ausfallvon Versorgungssystemen ist zudem das Verständnis über das Verhalten der jeweils betroffenenkritischen Infrastrukturen bezüglich der vorrangigen Hilfsmaßnahmen und deren Auswirkungen aufdas gesamte System. Um die Reaktion des Systems realitätsnah abzubilden, bieten sichSimulationsmodelle an. Das Problem existierender Ansätze ist jedoch ihre Inselcharakteristik.Simulationen von Verkehrströmen, Stromnetzen und Transportwegen sind weltweit verfügbar,allerdings sind diese Systeme weder vernetzt noch interagieren sie miteinander.

Die Ziele des Projektes im Einzelnen umfassen u.a. die folgenden Punkte:

Welche Modellansätze und Modelle existieren zur Abbildung kritischer Infrastrukturen und derenVernetzung, die im Bereich der Bewältigung von Schadensereignissen aber auch bereits in derPlanungsphase eingesetzt werden können, und welche Anforderungen werden an sie gestellt.

Welche Ansätze zur Entscheidungsunterstützung vermögen es, die komplexen Zusammenhängezwischen den kritischen Infrastrukturen für einen Entscheidungsträger fassbar abzubilden.



2 Einleitung

Aktuelle Naturkatastrophen, Terroranschläge der vergangenen Jahre (insbesondere der Anschlag aufdas WTC in New York am 09. September 2001) haben die Verwundbarkeit unserer hoch technisiertenWelt drastisch vor Augen geführt. Weltweit gibt es inzwischen zahlreiche Studien, Konferenzen zurErörterung von sogenannten „kritischen Infrastrukturen“ in den unterschiedlichsten Bereichen destäglichen Lebens. Es gilt Schwachstellen herauszufinden, formale Lösungswege zur Sicherung derInfrastrukturen zu finden und Entscheidungshilfen und –methodiken anzubieten. Dievorangegangenen Auszüge aus der Projektskizze von SIMKRIT beschreiben Teilaspekte dieser immerwiederkehrenden Aufgabenstellungen.

Losgelöst von aktuellen (realen) Erereignissen beschreibt Klaus Niemeyer (IABG) im August 2000 inseiner Studie „Modell ausgewählter Branchen zur Simulation von kritischenStörungen (Bericht NOA-TR-1, www.n-o-a.de):

„Menschen leben in einer komplexen, dynamischen Realität von natürlichen und sozialenSystemen. Viele Systeme sind nicht im Gleichgewicht und der Zustand ändert sich kontinuierlich.Um dieses zu verstehen, sich anzupassen und um die Realität zu kontrollieren sind Methoden zuentwickeln und einzusetzen. Eine wichtige Methode ist die Beschreibung des Systems als formalesModell und die Nutzung auf einem Rechner in Sinne eines Berechnungsexperimentes.

Die mentalen Modelle des menschlichen Gehirns der Entscheidungsträger sind nicht in der Lage,die Komplexität, Variabilität und Vielfältigkeit der Prozesse der problematischen Systeme zuerfassen. Mit Hilfe von Computern ist es jedoch möglich auf explizite und anschauliche Weise dieZusammenhänge zu formulieren, zu programmieren und die Annahmen und Resultate anEntscheidungsträger zu vermitteln und damit eine konstruktive Kritik zu bewirken.

Speziell Simulationsmodelle können genutzt werden, um die unmittelbar existierendenWechselwirkungen zwischen Struktur und Verhalten dynamischer Systeme zu untersuchen. Mankann problematisches Verhalten eines Systems in Zusammenhang bringen mit der Struktur desSystems und kann Veränderungen der Struktur zur Verbesserung des Verhaltens herausfinden.”

Diese Statements können als roter Faden für einen ersten Rundgang durch die einschlägigeFachliteratur dienen.

Zunächst einmal gibt es eine Vielzahl von ähnlich klingenden internationalen Definitionen desBegriffs „Kritische Infrastrukturen“ (siehe Kapitel 3). Die George Mason University, School of Law,Center for Infrastructure Protection, Arlington, VA(USA), hat eine Zusammenstellung in Form vonMindMaps gemacht. Die für Europa wesentlichen Teile daraus sind (als Text exportiert) dargestellt.Der US-Report for Congress, RL 31556, 2003, „Critical Infrastructures: What makes an InfrastructureCritical”, (siehe: http://www.fas.org/irp/crs/RL31556.pdf), beschreibt im Groben die wesentlichenanfälligen Infrastrukturbereiche und wie sich Kriterien und Komponenten kritischer Infrastrukturenim Laufe der Zeit verändern.

Damit zu verstehen ist, welche Hilfsmittel zur Entscheidungsunterstützung bei Problemlösungenkritischer Infrastrukturen sich wie in den wissenschaftlichen Kontext einordnen, erscheint es nützlich,


zunächst – quasi als Meta-Ebene der Betrachtung - einen Abstecher in den Bereich derSystemtheorie bzw. im Weiteren auch der Modelltheorie zu machen.

In einem Grundsatzartikel (siehe Kapitel 4) beleuchtet Prof. M. Schwaninger (Universität St. Gallen)„das Systemdenken als ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatischesDenken; es ist gleichzeitig analytisch und synthetisch orientiert. Für komplexe Aufgabenstellungenspielt die getroffene Unterscheidung zwischen geschlossenen und offenen Systemen einewesentliche Rolle. Angesichts wachsender Komplexität und Dynamik unserer Welt stossenherkömmliche Modellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realerSachverhalte nicht adäquat Rechnung tragen, zunehmend an Grenzen. Zahlreich sind die Versuche,systemisch-kybernetisch geprägte Method(ik)en für einen "ganzheitlichen" Umgang mit komplexenSystemen anzubieten. Als ein wichtiges Beispiel dafür ist die am Massachusetts Institute ofTechnology entwickelte(top-down) System-Dynamics-Methodik. Sie beruht auf einer heute weitverbreiteten Technik für die Simulation kontinuierlicher Systeme mit zahlreichen Variablen undRückkopplungen. Komplementär dazu sind eher (bottom-up) orientierte agenten-basierteSimulationsmodelle.“

Prof. S. Wolthusen (Universität Bochum) skizziert in seinem modelltherethischen Übersichtsbeitrag(siehe Kapitel 5) den „Schutz kritischer Infrastrukturen und Informationssicherheit - Grundzüge derModellierung und Simulation -“ und erschließt das Thema mit Schlüsselfragen. Was genau sollmodelliert werden? Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihrEinfluss(quantitativ)? In welchem Beziehungsgeflecht stehen die als wichtig identifizierten Größenmiteinander? Mit welchem Instrumentarium lassen sich die Wechselwirkungen und Abhängigkeitenbeschreiben? Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw.automatisierte Lösung geeignet? Es werden Fragen zur Bewertung (Validierung, Genauigkeit) undKlassifizierung (diskret vs. kontinuierlich; determinstisch vs. stochastisch) der Modelle gestellt.

In Kapitel 6 werden einige Aspekte der Problematik voneinander abhängiger bzw. kaskadierenderInfrastrukturen angeschaut. P.Peterson et al. geben in Ihrem Artikel: “Critical InfrastructureInterdependency Modeling: A Survey of U.S. and International Research”, Idaho National Laboratory,Idaho Falls (USA) einige Hinweise auf die internationale Forschungsarbeit auf diesem Gebiet

In Kapitel 7 werden „Inderdependenz-Modelle“ kritischer Infrastrukturen kategorisiert. S. Rinaldi(Sandia National Laboratories) unterscheidet in seinem Konferenzbeitrag: „Modeling and SimulatingCritical Infrastructures and their Dependencies“ z.B. aggregierte Angebots- und Nachfrage-Tools,dynamische Simulationen, agenten-basierte Modelle, ingenieurs-basierte Modelle, Bevölkerungs-Mobilitäts-Modelle, Leontief Input-Out-Modelle. Als eine der ganz grossen Herausforderungen zurModellierung von Interdependenzen erweist sich nach seiner Auffassung die Erhebung undBereitstellung entsprechender Daten. Auch die Validierung und Verifikation der verwendetenModelle ist dabei von fundamentaler Bedeutung. In einem weiteren Beitrag weisen S. Rinaldi, J.Peerenboom, T. Kelly: „Identifying, Understanding, and Analyzing Critical InfrastructureDependencies“ (IEEE Control Systems Magazine), auf die Bedeutung von sogenannten „Cyber“ –Interdependenzen hin.

Da das zuverlässige Funktionieren moderner Infrastrukturen inzwischen sehr stark vonautomatisierten („computerisierten“) Kontrollmechanismen abhängt („Cyber – Inderdependenz“)wird in Kapitel 8 eine allgemeine Beschreibung dieser sogeannten SCADA (supervisory and dataaquisition) System gegeben. Cyber – Inderdependenzen verbinden Infrastrukturen untereinanderdurch elektronische informationelle „Links“. Daher gibt es dazu inzwischen auch den terminustechnicus für diesen Teilbereich der „critical informational infrastructure protection“ (CIIP).


Während Rinaldi et al. und Wolthusen für die Erörterung der Abhängigkeiten kritischerInfrastrukturen einen theoretischen Modellzugang gewählt haben, gehen E. Luiijf et al. (TNODefence, The Hague, NL) einen anderen Weg. Eine Skizze dieses Weges findet man in Kapitel 9. Eswerden europäische Datensammlungen zu Störfallen bei kritischen Infrastrukturen ausgewertet. Inder Untersuchung werden die Störfallereignisse klassifiziert (auslösende, resultierende, oderunabhängige Ereignisse). Es gibt dabei u.a. kaskadierende auslösende bzw. resultierendeErereignisse. Aus der Vielzahl gesammelter empirische europäischer Daten läßt sich die Vermutungeiner „Domino-Theorie“ für kritische Infrastrukturen nicht bestätigen. Kaskadierende Ereignisse (-bezogen auf unterschiedliche Sektoren des täglichen Lebens -) erwiesen sich als sehr asymmetrischund gebündelt. Der Schwerpunkt der kaskadierenden Effekte lag im Energie- undTelekommunikationssektor. Ferner meinen die Autoren festgestellt zu haben, das weit wenigerInterdependenzen aus empirischen Untersuchungen belegbar waren als beim Design theoretischerModelle meist angenommen wird.

Kapitel 10 skizziert das EU – Projekt DIESIS (Design of an Interoperable European federatedSimulation network for critical InfraStructures). In einem DIESIS - Projekttext werden diewesentlichen Aufgaben beschrieben. “Die europaweit wachsende Abhängigkeit von kritischenInfrastrukturen wie Energieversorgung, Telekommunikation, Transportwesen oder Wasserstraßenbirgt auch Risiken von internationalem Ausmaß. Katastrophen, menschliches Versagen odertechnische Störungen der Informationstechnik und Telekommunikation können große Regionen vonlebenswichtigen Infrastrukturen abschneiden. Zur Vorbeugung hat die Europäische Union dasForschungsprojekt DIESIS unter Federführung des Fraunhofer-Instituts für Intelligente Analyse- undInformationssysteme IAIS gestartet.Die Forschung im Bereich komplexer Infrastruktursysteme ist darauf angewiesen, Modelle undSimulationsumgebungen als Hilfsmittel zu verwenden, da Untersuchungen oder Erprobungen vonneuen Techniken aus Sicherheitsgründen nicht an den im Betrieb befindlichen Kontrollsystemendurchgeführt werden können. Für einzelne Infrastrukturen gibt es bereits sehr gute Simulatoren,jedoch gibt es bisher keine, die geeignet sind, eine koordinierte und sektorübergreifende Simulationvon mehreren voneinander abhängigen Infrastrukturen zu leisten. Aufgabe und Ziel des ProjektsDIESIS ist es nun, eine europaweit standardisierte Plattform für die Modellierungs- undSimulationsaufgaben zu konzipieren, die die Grundlage für eine grenzübergreifende Erforschung vonSicherheitsaspekten der kritischen europäischen Infrastrukturen bildet. Die Plattform soll im Rahmeneines später einzurichtenden »Europäischen Zentrums für die Simulation und Analyse kritischerInfrastrukturen EISAC« bereitgestellt werden.Das DIESIS-Konsortium besteht aus fünf Projektpartnern, neben dem Fraunhofer IAIS sind dies Enteper le Nuove Tecnologie, l‘Energia e l‘Ambiente ENEA (Italien), Consorzio Campano di Ricerca perl’Informatica e l‘Automazione Industriale CRIAI (Italien), TNO (Niederlande) sowie das ImperialCollege in London. “

In Kapitel 11 beschreibt K. Niemeyer (IABG, Ottobrunn) in einem Zeitschriftenartikel seineVorgehensweise zur Darstellung von Modell-Prototypen zur Simulation kritischer Infrastrukturen. Erschreibt in z.B. in seinem Report NOA-TR-1 „Modell ausgewählter Branchen zur Simulation vonkritischen Störungen“: “Um die impliziten Ursachen der Probleme der Struktur eines Systems zuidentifizieren, sind die Modelle zu entwickeln, experimentell zu analysieren und zu modifizieren. Im„systems dynamics“ Kontext wird die Entwicklung des Modellkonzeptes und die Nutzung einesgroßen Spektrums an Kriterien für Vergleiche mit realen Systemen im Vordergrund gesehen, sowohlin struktureller Hinsicht als auch im Verhalten. Eine Reihe von Eigenschaften komplexer Systemewerden von menschlichen mentalen Modellen nur sehr schwer erfasst. Zunächst ist die Ursache desdynamischen Verhaltens zu erfassen . Weiterhin ist es schwierig die zeitlichen Verzögerungen inrealen Systemen zu erfassen. Diese verursachen zeitlich verschobene Verteilungen der Auswirkungen


von Parametern und Wirkungen. Verzögerungen verführen Menschen dazu Priorität den kurzfristigenErgebnissen zu geben und langfristige Auswirkungen zurückzustellen oder zu ignorieren und damitmöglicherweise erheblich schlechtere Gesamtresultate erzielen. Darüber hinaus gibt esRückkopplungen, d.h. reale Systeme sind durch Wirkungen gekennzeichnet, die auf verursachendeParameter zurückwirken. Derartige Rückwirkungen können die Ursachen verstärken oder auchdämpfen, damit wird ein System instabil oder stabil. Wenn Menschen versuchen, dieRückkopplungen zu organisieren, sind Verstärkung oder Dämpfung richtig einzuschätzen um dieSystemstabilität zu gewährleisten. Letztlich gibt es in erheblichem Maße nicht-lineare Prozesse. Diesführt zu unproportionalen Abhängigkeiten, die nicht oder nur unzureichend beurteilt werdenkönnen. Derartige Charakteristika komplexer Systeme verdecken die Zusammenhänge zwischenUrsache und Wirkung und führen zu schwerwiegenden Fehlentscheidungen. Erfolgreiche Lösungensind häufig entgegengesetzt zur menschlichen Intuition und schwer zu finden.Zur visuellen Vorbereitung, Aufbereitung und Darstellung der dynamischen Prozesse („systemdynamics“) werden existierende Softwarekonzepte genutzt wie etwa: GAMMA („ConceptMapping“, „holistic thinking“) von www.topsim.de und PowerSim von www.powersim.com.

In Kapitel 12 wird beschrieben, wie N. Schmitz (IABG, Ottobrunn) auf den Überlegungen seinesKollegen K. Niemeyer aufbaut und ein ausgezeichnetes denkbares Vorgehensmodell für einKontrollmodell zum Schutz kritischer Infrastrukturen im Bereich Energie vorgestellt. Dabei werdenzunächst häufige Fehler bei der Modellierung komplexer Systeme angesprochen. Er schreibt, diemethodische Herausforderung bestehe darin, methodische Unzulänglichkeiten (Fehler) zu vermeidenund Antworten auf wichtige Fragen zu finden: Wie reagiert das System „Kritische Infrastrukturen“ aufbestimmte Ereignisse? Wie robust und flexibel ist das System? Wie kann sein Systemverhaltenverbessert werden? Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutztwerden? Was sind die kritischen und unkritischen Bereiche des Systems?Die konkrete Umsetzung des gewählten Systembeispiels erfolgt mit den Software-WerkzeugenGAMMA und TopSim.

In Kapitel 13 würdigen die Autoren P. Gomez und G. Probst die Methode des „holistic thinking“ undgehen auch kurz auf die Software-Werkzeuge GAMMA und TopSim ein.

Zum Schluss werden in Kapitel 14 von J. Sterman in einem Überblicksaufsatz skeptische Blicke aufSimulationen durch Computermodelle geworfen. Es werden Grenzen der Simulation aufgezeigt,Fragen bzgl. der Genauigkeit von Entscheidungsregeln, der Berücksichtigung von sogenannten„weichen (soften)“ Einflussgrößen gestellt, die Problematik der Festlegung von Modellgrenzen derSimulation und der Feedbacks angerissen.Es würde den Rahmen dieses ersten Rundgangs durch die Fachliteratur sprengen, detaillierter auf diezahlreichen neueren Beiträge zu Detailaspekten der Modellierung und Simulation kritischer (auchInformations-) Infrastrukturen einzugehen.

Dazu sei verwiesen auf die Konferenzberichte zu CRITIS 2008 und 2009 (CRITIS = Critical InformationInfrastructures Security) und auf das Projekt IRIIS (Integrated Risk Reduction for Information-basedInfrastructure Systems). Im Projekttext steht u.a.: Aufgabe und Ziel von IRRIIS ist es, eine neueSimulationsumgebung aufzubauen. Das Tool SimCIP (Simulation of Critical Infrastructure Protection)ist ein agentenbasiertes Simulationssystem, das ganz unterschiedliches Zeitverhalten undAbhängigkeiten von kritischen Infrastrukturen simulieren kann. Um die erforderliche Präzision derSimulation zu erzielen, gestattet SimCIP über Federated Simulation spezielle Simulatoren zuintegrieren, zum Beispiel für Energienetze oder Telekommunikationssysteme.

Für die Modellierung mittels des „system dynamics“ – Denkens und der „holististischen“Herangehensweise gibt es weitere Produkte auf dem Markt (z.B. ithink!, Heraklit, VenSim, u.v.a.).


3 Definitionen kritischer Infrastrukturen


From: http://cip.gmu.edu/research/CriticalInfrastructureMapping.php(reconstructed text from mindmapping charts)International Definitions of Critical Infrastructure

International Organizations with U.S. ParticipationNorth Atlantic Treaty Organisation (NATO)

"Critical infrastructure are those assets, facilities, networks and services which, if disrupted ordestroyed, would have a serious impact on the health, safety, security, economic well being oreffective functioning of a country."

Source: Backgrounder: NATO’s Role in Civil Emergency Planning, NATO Public Diplomacy Division,September 2006, p. 9. Available at: http://www.nato.int/docu/cep/cep-e.pdf (last accessed May 17, 2007).

Organisation for Economic Co-operation and Development (OECD)

"The Asian Development Bank (ADB) uses the definition of infrastructure developed by theTask Team on Infrastructure for Poverty Reduction, which distinguishes 'social infrastructure'(such as health, education, and culture) from 'economic infrastructure' (such as transport,energy, information and communication technology, and irrigation, drinking water, andsanitation)."

Source: Regional Cooperation on Disaster Management and Preparedness, Central Asia Regional EconomicCooperation, August 28-29, 2006, p. 4. Available at:http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN025915.pdf (last accessed May 17,2007).

United States

Critical infrastructure: "Assets, systems, and networks, whether physical or virtual, so vitalto the United States that the incapacity or destruction of such assets, systems, or networkswould have a debilitating impact on security, national economic security, public health orsafety, or any combination of those matters."

Source: National Infrastructure Protection Plan (NIPP), U.S. Department of Homeland Security, June 2006, p.103. (Aktuelles Dokument nun in: http://www.dhs.gov/files/programs/editorial_0827.shtm)

"As defined in the Homeland Security Act, 'key resources' are publicly or privately controlledresources essential to the minimal operations of the economy and government."

Source: NIPP, p. 104.

European Union (EU)

". . . European Critical Infrastructure – that is critical infrastructure that, if disrupted ordestroyed, would significantly affect two or more Member States or a single Member State ifthe critical infrastructure is located in another Member State. With due regard to existing


Community competences, the responsibility for protecting National Critical Infrastructuresfalls on the NCI owners/operators and on the Member States. The Commission will supportthe Member States in these efforts only where requested to do so."

Source: "The European Programme for Critical Infrastructure Protection (EPCIP)," Press Release, Commissionof the European Communities, December 12, 2006, p. 3. Available at:http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/06/477&format=HTML&aged=0&language=EN&guiLanguage=en (last accessed May 17, 2007).

Assessment for Critical Infrastructure Protection (ACIP)

"The term Large Complex Critical Infrastructure (LCCI) defines a distributed network ofindependent, mostly privately-owned, man-made systems and processes workingcollaboratively and synergistically to produce and distribute a continuous flow of essentialgoods and services.

An LCCI is an infrastructure (such as an electric grid, a telecommunications network or arailway/air/road transportation network) whose destruction or degradation can entail severeconsequences to public health, safety, security, or the economy."

Source: Deliverable D7.5: Final Report (2-PR): Analysis and Assessment for Critical Infrastructure Protection(ACIP), Information Society Technologies, June 5, 2003, p. 36. Available at:http://www.iabg.de/acip/doc/wp7/D75_final_progress_report_public.pdf (last accessed May 17, 2007).

Germany

"Critical infrastructures (CI) are organisations and facilities of major importance to thecommunity whose failure or impairment would cause a sustained shortage of supplies,significant disruptions to public order or other dramatic consequences."

Source: "Critical Infrastructure Protection for Disaster Reduction," Presentation by Susanne Lenz, Federal Officeof Civil Protection and Disaster Assistance, Centre for Critical Infrastructure Protection, August 29, 2006.Available at: http://www.davos2006.ch/Presentations/Lenz_S_Pres.pdf (last accessed May 17, 2007).



4 Systemtheorie (Prof. Schwaninger, Univ. St. Gallen)


Prof. Dr. Markus Schwaninger, Universität St. Gallen, „Systemtheorie“, Diskussionsbeitrag No, 19,Dezember 2004(siehe den kompletten Beitrag:http://www.ifb.unisg.ch/org/ifb/ifbweb.nsf/SysWebRessources/beitrag+19/$FILE/DB_19.pdf)

Aus der Systemtheorie leiten sich verschiedene Systemmethodiken ab. Diesen liegt eine auf denErkenntnissen der allgemeinen Systemtheorie basierende Denkweise zugrunde, die alsSystemdenken bezeichnet wird. Zu diesen Erkenntnissen zählen etwa:

1. Das Ganze und die Teile: Das Ganze ist nicht gleich der Summe der Teile.

2. Vernetztheit: Komplexe Systeme sind vernetzte, dynamische Ganzheiten.

3. Das System und seine Umwelt:Offene Systeme sind jeweils mit ihrer Umwelt ernetzt undtauschen mit dieser Materie, Energie und Information aus.

4. Komplexität: Das Verhalten komplexer Systeme lässt sich nicht im einzelnen vorhersehen,aber beeinflussen.

5. Ordnung: Komplexe Systeme weisen erkennbare Ordnungsmuster auf, die (mit-)gestaltet werden können.

6. Lenkung: Lenkung (Steuerung, Regelung) hält ein System unter Kontrolle.

7. Entwicklung: Soziale Systeme können lernen und sich qualitativ entwickeln.

Systemdenken ist ein ganzheitliches, prozessorientiertes, interdisziplinäres und pragmatischesDenken; es ist gleichzeitig analytisch und synthetisch orientiert.…Für komplexe Aufgabenstellungen spielt die getroffene Unterscheidung zwischen geschlossenen undoffenen Systemen eine wesentliche Rolle. Offene Systeme sind durch Materie-, Energie- undInformationsaustausch mit ihren Umsystemen in der Lage, zu wachsen und sich zu entwickeln. Siekönnen ein Fliessgleichgewicht mit ihrer Umwelt aufrechterhalten und trotz wechseln der Elementeihre Identität aufrechterhalten. Die für geschlossene Systeme zwingende Zunahme der Entropie(Unordnung) im Zeitablauf (2. Hauptsatz der Thermodynamik) gilt nicht für offene Systeme. Diesekönnen durch Aufnahme von Materie, Energie und Information Zustände wachsender Ordnung, resp.ein gehobenes Energieniveau auf bauen.Beer (1967) klassifiziert Systeme unter dem Beschreibungs- und Regelungsaspekt nach zweiDimensionen:

Komplexität: Einfach, komplex, äusserst komplex

Bestimmbarkeit: Determiniert versus stochastisch

Daraus ergeben sich 6 Stufen von einfach und determiniert bis äusserst komplex und stochastisch.Den verschiedenen Systemtypen können jeweils geeignete Lenkungsty pen resp. Systemmethodikenzugeordnet werden.

Die mathematische Systemtheorie unterscheidet nach der Art der Transformation vonzeitabhängigen Eingangsgrössen u(t) in Ausgangsgrössen y(t) folgende Merkmalsausprägungen:

linear, nichtlinear

zeitinvariant, zeitvariabel


statisch, dynamisch

sofortwirkend, zeitverzögert wirkend

deterministisch, stochastisch

Den Gegenstand z.B. betriebswirtschaftlicher Fragen bilden Systeme der Kategorien komplex undstochastisch (z. B. Lagerhaltung) sowie äusserst komplex und stochastisch (z. B.Unternehmungsführung).Boulding, K. (1956) klassifiziert Systeme anhand von 9 Stufen, die von 1. statischen Strukturen("Fachwerken"), 2. Uhrwerken, 4. Zellen über 7. Menschen bis 8. soziale Organisationen und 9.transzendente Systeme reichen.Soziale Systeme unterscheiden sich von den Systemen der vorgelagerten Stufen vor allem insofern,als ihre Subsysteme (z. B. Gruppen) und Elementen (Individuen) sich an eigenen Werten und Zielenorientieren.….Gegenstand der allgemeinen Systemtheorie ist die Abbildung von Systemen unterschiedlichsterInhalte mit demselben formalen Apparat. Geschah dies ursprünglich weitgehend verbal und unterRückgriff auf Analogien wurden später zunehmend mathematische Strukturgleichheiten(Homomorphien) zwischen Systemstrukturen und -prozessen identifiziert. Dabei liegt der didaktisch-lernökonomische Nutzen der Systemtheorie darin, dass vielfältige Einzelrscheinungen als Ausprägungweniger theoretischer Grundkonzepte erklärt und durchschaut werden können.Die mathematische Systemtheorie hat vielfältige Verfahren zur Beschreibung, Analyse undOptimierung komplexer Systeme hervorgebracht. Dazu einige Beispiele, ohne Anspruch aufVollständigkeit oder perfekte Systematik:

- Lineare Systeme

- Nichtlineare Systeme

- Kontinuierliche und diskontinuierliche Systeme

- Adaptive Systeme

- Dynamische Systeme

- Hierarchische Systeme

- Interagierende systeme

Die neueren Methoden der mathematischen Modellierung offener Systeme ermöglichen es,komplexe organisationale Phänomene als notwendige Folgen nichtlinearer Wechselwirkungen zuerklären. Entsprechende Anwendungen sind insbesondere aus Chemie und Biologie bekannt.Diese Methoden sind im Prinzip nicht nur auf technisch-naturwissenschaftliche, sondern auch aufsoziale und ökologische Systeme übertragbar. Dort tritt allerdings, angesichts der hohen Komplexitätder betrachteten Phänomene, anders als in den Naturwissenschaften, gegenüber dermathematischen Analyse und der Lösung von Gleichungssystemen die Simulation, oft in Verbindungmit der Optimierung, in den Vordergrund. Als besonders vielseitig anwendbar ist die System-Dynamics-Methodik hervorzuheben.…Angesichts wachsender Komplexität und Dynamik unserer Welt stossen herkömmlicheModellierungs- und Problemlösungsmethoden, die der Vieldimensionalität realer Sachverhalte nicht


adäquat Rechnung tragen, zunehmend an Grenzen. Optimierungsmodelle mit zu eng gesetztenSystemgrenzen beispielsweise generieren oft Lösungen, die nur kurzfristig attraktiv, langfristig aberkontraproduktiv sind, etwa wenn die ökologische Dimension von ökonomischen Sachverhaltenkünstlich abgetrennt wird.Zahlreich sind die Versuche, systemisch-kybernetisch geprägte Method(ik)en für einen"ganzheitlichen" Umgang mit komplexen Systemen anzubieten, dessen philosophische Basis ein"systemisches Weltbild" bildet. Grob vereinfachend kann zwischen positivistisch, objektivistisch,rationalistisch geprägten Ansätzen einerseits und hermeneutisch, interpretativ, subjektivistischgeprägten Ansätzen andererseits unterschieden werden. Erstere basieren auf sachlogischen undquantitativen Analysen, letztere auf qualitativen - sozio logisch, kulturell, politisch undhandlungsorientierten - Betrachtungsweisen. Die folgende Gegenüberstellung muss vereinfachen,weshalb die Gegensätze zwischen den einzelnen Schulen grösser erscheinen mögen, als sie diesheute noch sind. Beispielsweise hat die ursprünglich streng positivistisch .geprägte System-Dynamics-Schule über die Zeit auch zunehmend sozio-logische und hermeneutische Aspekte in ihreMethodiken integriert.Postiivistische geprägte Methodiken: Beispiele aus Modellierung und SimulationZunächst die von Jay W. Forrester am Massachusetts Institute of Technologyentwickelte System-Dynamics-Methodik. Sie beruht auf einer heute weit verbreiteten Technik fürdie Simulation kontinuierlicher Systeme mit zahlreichen Variablen und Rückkopplungen. Diese gehtdavon aus, dass das Verhalten eines komplexen Systems weitgehend durch dessen Strukturbestimmt ist. Kernelement der Methodik ist eine Darstellung des gegenständlichen Systems mit Hilfeeines Flussdiagrammes, das zwischen Bestandesgrössen ("stock variables", "levels"), Flussgrössen("flow variables", "rates"), Hilfsgrössen und Parametern (im Sinne von charakteristischen Grössen, -meist Konstanten) unterscheidet. Weiter werden die im Diagramm dargestellten Beziehungen mittelsquantitativer Funktionen (Gleichungen, Input-Outputtabellen) in ein formales Simulationsmodellübergeführt. Mit Hilfe der visuellen Abbildung und der Simulationen lassen sich wertvolle Einsichtenin das Systemverhalten gewinnen. Mittlerweile ist eine Reihe von "System-Archetypen", -generischen Strukturen - formalisiert worden, die sich in vielfältigen Systemen immer wiederfeststellen lassen.

Die Anwendungsgebiete von System Dynamics sind äusserst vielfältig. Sie reichen imsozioökonomischen und ökologischen Bereich von globalen Modellen zu Modellen vonVolkswirtschaften, regionalen Systemen, Organisationen und Teilaspekten der Unternehmungs-führung.Seit einigen Jahren verfügbare, leicht handzuhabende und leistungsfähige Software (z.B.: Dynamo,PowerSim, Stella, Vensim) erleichtert die Erstellung von System Dynamics-Modellen erheblich underlaubt teilweise auch die Optimierung von Modellparametern.Komplementär zu System Dynamics, das eher eine top-down-Betrachtung - den Blick auf Struk-turen und Verhaltensmuster auf hochaggregierter Ebene - anstellt, sind auch die agentenbasiertenSimulationsmodelle von grosser Bedeutung. Sie weisen eine bottom-up-Orientierung auf, und zwarin dem Sinne dass das Verhalten der einzelnen Agenten auf Mikroebene in seiner GesamtheitVerhaltensmus ter auf Makroebene erzeugt. Zwischen diesen beiden Welten - System Dynamicsund agentenbasierter Simulation werden langsam Brücken gebaut.Hermeneutisch geprägte Methodiken: Beispiel Soft Systems MethodologyChecklands Soft Systems Methodology wurde für den Umgang mit schlecht definierten,"weichen" Problemsituationen entwickelt. Sie versteht sich als eine firmere Leitlinie für das Handeln,als dies eine Philosophie sein könnte, nicht aber als eine präzise Technik der Modellierung. Sie bietetein heuristisches Vorge henskonzept, in dem zwischen Aktionen in der realen Welt und Schritten desSystem denkens auf der formal-konzeptionellen Ebene unterschieden wird. Dabei wird eineVerwendung quantitativer Methoden oder Methodiken der Modellierung in bestimmten Phasen


keineswegs ausgeschlossen. Besonderes Gewicht liegt auf einer Berück sichtigung multipler Perspek-tiven in der Definition und Abgrenzung der Problemdefinition.Integrative SystemmethodikenIn jüngster Zeit wächst die Einsicht, dass wirksame Problemlösungen in Management-Kontexten aufeiner Synthese beider Arten von Methodiken basieren. Damit sowohl den sachlogischen, als auchden sozio-logischen Aspekten der zu bewältigenden Probleme adäquat Rechnung getragen wird, sindfür Anwendungen auf dem Gebiet des Managements Methodiken entwickelt worden, die Aspektebeider genannten Ansätze verknüpfen. Zu diesen zählen das Sensitivitätsmodell (Vester) und dieMethodik des Vernetzten Denkens (Gomez, P./Probst, G.), Methodenpakete, die jeweilsqualitative und grobe quantitative Verfahren kombinieren. Zur Unterstützung dieser Methodikenliegen die Softwarepakete 'Sensitivitäts modell', 'GAMMA' und 'Heraklit' vor.

Es wurde eine systemisch-kybernetische Management-Methodik, die Cybernetic Methodologyentwickelt, die auf der Soft Systems Methodology aufbaut. Sie ist speziell darauf angelegt, dass imEntscheidungsprozess nicht nur das Problem an sich (Objektebene), sondern auch derZusammenhang, in den das Problem eingebettet ist (Kontextebene), in seiner Dynamik berücksichtigtwird.Auf dieser Grundlage wurde eine Integrative Systemmethodik erarbeitet, die eine Reihe vonAnforderungen und neuen Möglichkeiten einbezieht. Sie soll Akteuren in Organisationen helfen, ihrVerhaltensrepertoire im Sinne einer "Requisite Variety" zu verbessern. Die IntegrativeSystemmethodik bildet einen methodologischen Rahmen, der vor allem zwei bis anhin zu wenigberücksichtigten Aspekten speziell Rechnung trägt:a) der Überwindung der Kluft zwischen der positivistischen und der interpretativen Tradition:

- objektivistische versus subjektivistische Weltsicht

- strukturalistische versus diskursive Ausrichtung

- qualitative versus quantitative Methoden

- instrumentalistischer und kommunikativer Rationalität,

b) der Validierung der verwendeten Modelle.

Einen Überblick zum Prozess vermittelt Abbildung 3. Im ersten Teil der Abbildung (3/1) wird die demProblemlösungsprozess zugrundlegende Sequenz von Schritten gezeigt. Die Unterscheidung vonInhalts- und Kontextebene gilt für den gesamten Prozess, der auf beiden Ebenen geführtwerden muss. Im zweiten Teil (3/2) wird eine etwas detailliertere Sequenz von Schrittendargestellt, die jeweils für beide Ebenen gelten. Im Zentrum steht der Aspekt der Validierung. Dies istdie stete Bemühung um bessere Modelle und Strategien. Zu diesem Zweck sind besondereMethoden und Techniken entwickelt worden.



5 Modelltheorie (Prof. Wolthusen, Univ. Bochum)


Aus:http://www.crypto.rub.de/imperia/md/content/lectures/kritis/wolthusen/28012006/segment2.pdf

Schutz kritischer Infrastrukturen und InformationssicherheitGrundzüge der Modellierung und Simulation WS 2005/06

Prof. Dr. Stephen D. Wolthusen

Grundmerkmale von Modellen

Modelle sind, wie alle Abbildungen, durch drei Merkmale gekennzeichnet (Stachowiak1973):Stachowiak, H. (1973): Allgemeine Modelltheorie. Wien: Springer.

1) Abbildungsmerkmal: Modelle sind stets Modelle von etwas, nämlich Abbildungen,Repräsentationen natürlicher oder künstlicher Originale, die selbst wieder Modelle seinkönnen.

2) Verkürzungsmerkmal: Modelle erfassen im Allgemeinen nicht alle Attribute des durch sierepräsentierten Originals, sondern nur solche, diejeweils relevant erscheinen.

3) pragmatisches Merkmal: Modelle sind ihrem Original nicht unbedingt eindeutig zugeordnet:Sie erfüllen eine Ersetzungsfunktion für bestimmte Subjekte, innerhalb eines bestimmtenZeitintervalls und unter Einschränkungen auf bestimmte gedankliche oder tatsächlicheOperationen.


Das System und seine Bestandteile

Ein System S ist ein Quadrupel, das aus

(1) der Menge der Attribute,(2) der Menge der Funktionen,(3) der Menge der Subsystemeund(4) der Menge der Relationen gebildet wird.

(1) Attribute: Die äußeren Merkmale und Eigenschaften eines Systems bilden die Menge seinerAttribute. Diese wird in disjunkteTeilmengen (zum Beispiel Input, Output) unterteilt. Ein Attribut hatmindestens eine Ausprägung (zum Beispiel Wert). Ein Attribut isteine nicht-leere Menge vonEigenschaftsausprägungen.

(2) Funktion: Die Beziehungen zwischen den Attributen eines Systems bilden die Menge derFunktionen. Eine Funktion wird als n-Tupelaufgefaßt, bei dem jede Stelle durch das Element einesAttributs besetzt ist. Eine Funktion ist eine Teilmenge des kartesischen Produkts zwischen Attributen.

(3) Subsysteme: Die inneren Bestandteile eines Systems bilden die Menge der Subsysteme. JedesSubsystem kann selbst als System aufgefaßt werden; es besitzt daher auch eine eigene Menge vonAttributen. Systemumgebung: Ausgehend von einer Grundmenge, die die Menge allerSubsystemeenthält, erhält man die Umgebung, wenn man die Differenzmenge zwischen derGrundmenge und der Menge aller Subsysteme bildet.

(4) Relationen: Die Beziehungen zwischen den Attributen verschiedener Subsysteme bilden dieMenge der Relationen. Eine k-stelligeRelation ist eine Teilmenge des kartesischen Produkts zwischenk Attributen von k Subsystemen.

Modellierung

Vereinfachende Abbildung (abstrakte Repräsentation) eines Wirklichkeitsausschnittes /Gegenstands

Abhängig von dem verfolgten Zweck bzw. der Sichtweise

Eingeschränkte durch die Modellierungsmethode bzw. die entsprechendenModellierungskonstrukte

Subjektiver Prozess(in der Regel nicht automatisierbar)

Dient insbesondere der Bewältigung von Komplexität

Voraussetzung für eine informationstechnische Umsetzung

Basiert in der Regel auf Abstraktion

(Verallgemeinerung, Loslösung vom Konkreten, Theoretisierung)–Typisierung relevanterSachverhalte– Nicht-Abbildung irrelevanter Aspekte


Unternehmensmodellierung: Das Unternehmen bzw. betriebliche Gegebenheiten stellen denbetrachteten Wirklichkeitsausschnitt dar

Definition Modellierung (1)

Modell : (vereinfachendes) Abbild einer (partiellen) Realität

konkret: z.B. Modellbau, Experimente (Windkanal)

abstrakt: formale Beschreibung, typischerweise (aber nicht nur) mit dem Methodenapparatder Mathematik

mathematische Modellierung : Prozessder formalen Herleitung und Analyse eines mathematischenModells

zunächst: informale Beschreibung des Problems (Prosa)

daraus: semiformale Beschreibung mit Instrumentarium der Anwendungswissenschaft

daraus schließlich: streng formale Beschreibung (Konsistenz!)

D.h.: Formalisierung bzw. Mathematisierung eines Problems zur besseren Lösbarkeit!

Definition Modellierung (2)

Beispiel: Stunden-und Raumbelegungsplan einer Schule

zunächst Beschreibung mit Text

daraus Kärtchentableau

daraus Graph und Scheduling-Problem

Simulation: virtuelles (i.A. rechnergestütztes) Experiment am Modell, eigentliches Ziel derModellierung

Modellbildung unterschiedlich naheliegend und etabliert

exakte Naturwissenschaften: lange Tradition, Formulierungen derPhysik etwa per semathematisch, heute i.W. anerkannt

staatliche Wirtschaftspolitik: stark umstritten, mindestens zwei Lager (Monetaristen undKeynesianer), beide fahren Modelle auf

Klimamodellierung: stark abweichende Theorien zu Ozonloch und globaler Erwärmung, allemodellgestützt


Spieltheorie: von Neumanns MinMax-Prinzipvon Vorsicht geprägt (worstcase), kaumrealistisch für Zocker etc.

Modellierung und Simulation

Was ist der Zweck einer Simulation?

ein bekanntes Szenario verstehen bzw. nachvollziehen:

- Naturkatastrophen (Erdbeben etc.): warum überhaupt, warum an diesem Ort und zudieser Zeit, warum so heftig?

- Einsturz des World Trade Centers

ein bekanntes Szenario optimieren:

- Flugeinsatzplan der Lufthansa- Wärmeabtransport eines Kühlsystems-Durchsatz durch ein Rechensystem oder das

Internet

ein unbekanntes Szenario vorhersagen:- Klimaveränderungen, Wettervorhersage- Entwicklung des Bevölkerungswachstums- Eigenschaften neu konzipierter Materialien (Verbundwerkstoffe, Legierungen, ...)

Anwendungsbeispiele (1)

Wo wird modelliert und simuliert?

Physik: Astrophysik, Geophysik, ...

Chemie: Proteinforschung, Drug Design

Biologie: Limnologie, Bioverfahrenstechnik, ...

Materialwissenschaften: Smart materials, Nanostrukturen

Klima & Wetter: Global Warming, Golfstrom, Ozonloch, ...

Automobilindustrie: Crashtests (Strukturmechanik), Windkanal (Strömungsmechanik),Einspritzung und Zündzeitpunkt (Verbrennung), Airbags (Mikrosystemtechnik, Kopplungen),Fahrdynamik (Optimalsteuerung), Schallabstrahlung (Akustik)

Volkswirtschaft: Konjunkturmodelle (Zyklen, ...), Wirtschafts-und Steuerpolitik,Preisbildungsmechanismen, ...

Finanzwirtschaft: Kursprognosen, Option Pricing, ...

Anwendungsbeispiele (2)


Wo wird überall modelliert und simuliert?

Halbleiterindustrie: Bauelementsimulation (npn-Übergangim Transistor),Prozesssimulation(Herstellung von hochreinen Kristallen), Schaltkreissimulation, Chip-Layout,...

Computergraphik: lokale und globale Beleuchtungsmodelle

Logistik/Ablaufplanung: Routing, Scheduling, Fuhrparkmanagement, ...

Verkehrstheorie: Stauprävention, Verkehrssteuerung, Durchsatzerhöhung, ...

Strategie: militärische/politische/ökonomische Szenarien•Wahl -und Meinungsforschung:Faktorenanalyse, ...

Codierungstheorie: Informationsmodell

Versorger: Lastmodelle, Redundanz und Sicherheit•Steuerung : Funktionieren komplexerSysteme

Software Engineering: Abläufe (Workflow)

Herleitung von Modellen

Was genau soll modelliert werden?

der Wirkungsgrad eines Katalysators oder die der die detaillierten Reaktionsvorgänge inihm?

das Bevölkerungswachstum in Afrika oder nur in Kairo in Kairo?

der Durchsatz durch ein Rechnernetz oder die mittlere Durchlaufzeit eines Pakets?

Welche Größen spielen eine Rolle (qualitativ) und wie groß ist ihr Einfluss(quantitativ)?

optimale Flugbahn des SpaceShuttle: Gravitation des Mondes, des Pluto, des Hörsaals?

Dow Jones Index morgen um 12 Uhr: Äußerungen des Notenbankpräsidenten

i.A. alles andere als offensichtlich (Expertise, Studien, Hypothesen);frühe Festlegungen bestimmen spätere Simulationsergebnisse(vgl.Klima!)

Beziehungsgeflecht von Einflussgrößen


In welchem Beziehungsgeflecht stehen die als wichtigidentifizierten Größen miteinander?

qualitativ: Vorzeichen von Ableitungen, “wenn –dann” etc.

quantitativ: konkrete Größe der Abhängigkeiten

typischerweise sehr komplizierte Beziehungen:-Normalerweise beeinflusstdie CPU-Leistung die Job-Bearbeitungszeit stark.-Bei heftigem Seitenflattern spielt sie dagegen kaum eine Rolle!-allgemeine Beschreibung dieser schwankenden Abhängigkeit?

Mit welchem Instrumentarium lassen sich dieWechselwirkungen und Abhängigkeiten beschreiben?

algebraische Gleichungen und Ungleichungen

Beschreibungsmittel (2)

Instrumentarien zur Beschreibung von Beziehungen

Automaten, Zustandsübergangsdiagramme


-Modellierung von Warteschlangen (Zustände: verschiedene Füllgrade; Übergänge: Ankunftbzw. Bearbeitungsende)

-Modellierung von Texterkennung (Zustände: bisherige Struktur; Übergänge: neues Zeichen)

-Modellierung von Wachstumsprozessen mit zellulären Automaten (Zustände:Gesamtbelegungssituation (Zellen voll, gefüllt, leer), Übergänge durch Regeln)

Graphen

-Modellierung von Rundreisen (Problem des Handlungsreisenden; Knoten: Orte; Kanten:Wege)

-Modellierung von Reihenfolgeproblemen (Knoten: Teilaufträge auf einer Maschine; Kanten:zeitliche Reihenfolge)

-Modellierung von Rechensystemen (Komponenten und Kanäle)

-Modellierung von Abläufen (Datenflüsse, Workflows)

Beschreibungsmittel (3)

Instrumentarien zur Beschreibung von Beziehungen

Wahrscheinlichkeitsverteilungen

-Ankunftsprozessin einer Warteschlange

-Zustimmung zur Regierungspolitik in Abhängigkeit von der Arbeitslosenquote

-Kontrolltheorie: Störterme, Rauschen

-randomisierteHeuristiken (Greedy, simulatedannealing, ...)

FuzzyLogic

-Regelung von Geräten der ConsumerElectronics (Waschmaschinen, Spülmaschinen,Fotoapparate)

neuronale Netze

algebraische Strukturen :

-Gruppen in der Quantenmechanik

-endliche Körper in der Kryptologie


Simulationsaufgabe

Welche Gestalt hat die resultierende Aufgabenstellung?

finde eine Lösung zu gegebenem Gleichungssystem-Bestimmung einer gültigen Startlösung in linearer Optimierung

finde die Lösung zu gegebenem Gleichungssystem-eindeutig lösbare partielle Differentialgleichung

löse Existenzaufgabe-Gibt es überhaupt Lösung (Hamiltonschen Weg im Graphen)?

löse unbeschränkte Extremalaufgabe-kürzester Weg von der Quelle zur Senke

löse beschränkte Extremalaufgabe-Rucksackproblem-lineare Optimierung

ermittle Störenfried bzw. Flaschenhals-kritischer Pfad-Komponente maximaler Auslastung

Analyse von Modellen

Aussagen zur Handhabbarkeit und Lösbarkeit

Existenz von Lösungen:

-Populationsdynamik: Gibt es stationären Grenzzustand?Wenn ja, wird dieser erreicht?-Reihenfolgeproblem: Ist der Präzedenzgraph zyklenfrei?-Minimierung: Gibt es Minima oder nur Sattelpunkte?

Eindeutigkeit von Lösungen:

-Minimierung: Lokales oder globales Minimum?-Stabile Zustände oder Oszillationen zwischen verschiedenen Lösungen (Molekulardynamik)?-Alle Lösungen gleichwertig?

stetige Abhängigkeit der Resultate von den Eingabedaten:

-Eingabe: Anfangswerte, Randwerte, Startzustände, ...-entspricht Kondition bzw. Sensitivität

Sachgemäß gestellte Probleme


Hadamard1923: Existenz + Eindeutigkeit + Stetigkeit

allerdings: die meisten Probleme sind‘s nicht (John, Tikhonov), sondern unsachgemäß gestellt (ill-posed)

Beispiel: inverse Probleme (Antwort/Ergebnis ist vorgegeben, gesucht ist dieAnfangseinstellung)-Wirtschaftpolitik: was heute tun, damit im Oktober 2002 die Arbeitslosenzahl in D unter 3.5Millionen?-Technik: wie Stanzmaschine einstellen, damit bestimmtes Blech herauskommt?-Rechnernetz: wie Netzkomponenten auslegen, damit erforderlicher Mindestdurchsatzgarantiert ist?

Strategien für inverse Probleme:

-(sinnvolles) Ausprobieren und Anpassen (Folge von Vorwärtsproblemen)-Löse verwandtes (regularisiertes) Problem, das sachgemäß gestellt ist.

Eignung für weitere Verarbeitung

Ist das Modell in seiner hergeleiteten Form für eine rechnergestützte bzw. automatisierte Lösunggeeignet?

Verfügbarkeit der Eingabedaten (in hinreichender Genauigkeit)

Implementierungsaufwand-Verfügbarkeit von (ggfs. zu erweiternder) Software etc.

erforderlicher Rechen-und Speicheraufwand absolut-Beispiel: NP-vollständige Probleme-Beispiel: Wettervorhersage: Rechenzeit > Echtzeit

erforderlicher Rechen-und Speicheraufwand relativ-Ist das Modell kompetitiv(cost-benefit-ratio)?

Empfindlichkeit

-Bei schlecht gestelltem Problem können kleinste Trübungen der Eingabe das Ergebniskomplett verfälschen (vgl. Chaos, “Schmetterlingsflügel”)



Bewertung von Modellen (1)

Validierung: „Stimmt das Modell?”

Vergleich mit Experimenten-“1:1 Experimente” (Windkanal, Crashtest, ...)-Laborexperimente an (verkleinerten) Prototypen; Problem: Skalierungsichergestellt?

a-posteriori-Beobachtungen-Realitäts-Test (Wetter, Börse, militärische Szenarien)-Zufriedenheits-Test (Verkehrssteuerung, Beleuchtungsmodelle in der Computergraphik)

Plausibilitäts-Test-Test der Simulationsergebnisse auf Konsistenz mit bestehenden Theorien (Astrophysik,Quantenphysik)

Modellvergleich-Vergleich der Ergebnisse zu auf unterschiedlichen Modellen basierenden Simulationen

Bewertung von Modellen (2)

Genauigkeit: “Wie präzise ist das Modell?”

Genauigkeit im Hinblick auf die Qualität der Eingabedaten

(bei Messdaten auf 3 Stellen genau als Eingabe kann kein Resultat auf 8 Stellen genauerwartet werden!)

Genauigkeit im Hinblick auf die Fragestellung

-Beispiel Bundestagswahl-Frage: welche Regierung?-Modell erlaubt Wahlprognose mit +/-2% Genauigkeit-Koalitionsaussagen: Rot-Grün und Gelb-Schwarz-Simulation liefert: FDP 4%, Grüne 6%, Union 45%, SPD 45%-keine Aussage möglich!-Somit taugt das verwendete Modell im Grunde genommen nicht für unsere Fragestellung!

Sicherheit: worst case oder average case Aussagen?

Klassifizierung von Modellen (1)

Möglichkeit 1: diskret vs. Kontinuierlich

diskretes Modell nutzt diskrete / kombinatorische Beschreibung:


binäre oder ganzzahligeGrößen

Zustandsübergänge in Graphen oder Automaten

kontinuierliches Modell nutzt kontininuierliche/ reellwertigeBeschreibung:

reelle Zahlen, physikalische Größen

algebraische Gleichungen, Differentialgleichungen

naheliegend, aber nicht zwingend: Einsatz für entsprechende Phänomene

Beispiel: Verkehrsflussdurch Stadt

-diskret: Anzahl der Autos im System, an Ampeln, Warteschlangen-kontinuierlich: Dichten, Flüsse (Fluid-Modellmit Kanälen, Sperren)

Klassifizierung von Modellen (2)

Möglichkeit 2: deterministisch vs. Stochastisch

wiederum kein zwingender Bezug zwischen dem zu modellierenden Phänomen und demInstrumentarium:

Beispiel 1: Würfeln

-offensichtlich Zufallsexperiment (d.h. probabilistischeRealität)-sinnvollerweise auch stochastisches Modell (Zufallsvariable)

Beispiel 2: Crash-Test

-deterministisches Phänomen-üblicherweise deterministisches Modell

Beispiel 3: Wettervorhersage

-deterministisch (Strömungsmechanik etc.) oder Chaos-Theorie?

Beispiel 4: Paketankunft an Bedieneinheit im Internet

-im Grunde deterministisch (hoffentlich)-für den Betrachter ohne Außensicht aber eher zufällig-außerdem interessieren v.a. Durchschnittsgrößen


Unternehmensmodellierung: Klassifikationsmerkmale

Betrachtungsgegenstand

Zweck / Charakter: Beschreibung, Erklärung, Gestaltung

Sicht: Daten, Funktionen, Prozesse, ...

Detaillierung (Granularität)

Betrachtungsebene: fachlich, DV-, Implementierung

Individualität: unternehmensspezifisch vs. Referenz•Abstraktionsgrad: Ausprägung, Typ,Meta

Formalisierung: nicht fomal, semi-formal, formal

Integration: Sichten, Ebenen, Gegenstand, Detaillierung, ...

Unternehmensmodellierung: Zweck / Charakter

Aufgaben der Wirtschaftsinformatik:

Beschreibung, Erklärung, Gestaltung, ..--> Modellierung kann verschiedenen Zwecken dienen


Modellcharakter: Vorbild (Soll) vs. Nachbild (Ist)

Beispiele für konkrete Zwecke:

–Gestaltung von Informationssystemen / Softwareentwicklung–Planung einer integrierten Datenhaltung–Dokumentation / Analyse / Verbesserung von Geschäftsprozessen–Unterstützung von Konfiguration und Einführung von Standardanwendungssoftware–Simulation einer neuen Fertigungsanlage–Ableitung von (objektiven) Informationsbedarfen–Wissensmanagement–Prozesskostenrechnung

Unternehmensmodellierung: Sichten

Daten

–Abbildung von Sachverhalten (passiv)–Zustandsbeschreibung (“Stammdaten”)–Ereignisbeschreibung (“Bewegungsdaten”)

Funktionen/Prozesse

–Abbildung von Vorgängen (aktiv)–Funktionen: Werkstoffe oder Informationen transformierende Aktivitäten im Hinblick aufeine Aufgabe bzw. Zielsetzung–Prozesse: dynamische Abläufe, expliziter Zeitbezug

Organisationseinheiten/Ressourcen

-Personen–Stellen (Rollen in der Organisation)–technische Einheiten



6 P. Pederson: CI – Interdependency Modeling: A Survey

(Idaho National Laboratory)


P. Pederson et al: Critical Infrastructure Interdependency Modeling:A Survey of U.S. and International Research(see: http://www.inl.gov/technicalpublications/Documents/3489532.pdf)

INTRODUCTION

“The Nation’s health, wealth, and security rely on the production and distribution of certain goodsand services. The array of physical assets, processes, and organizations across which these goods andservices move are called critical infrastructures.”2 This statement is as true in the U.S. as in anycountry in the world. Recent world events such as the 9-11 terrorist attacks, London bombings, andgulf coast hurricanes have highlighted the importance of stable electric, gas and oil, water,transportation, banking and finance, and control and communication infrastructure systems.

Be it through direct connectivity, policies and procedures, or geospatial proximity, most criticalinfrastructure systems interact. These interactions often create complex relationships, dependencies,and interdependencies that cross infrastructure boundaries. The modeling and analysis ofinterdependencies between critical infrastructure elements is a relatively new and very importantfield of study.

Much effort is currently being spent to develop models that accurately simulate critical infrastructurebehavior and identify interdependencies and vulnerabilities. The results of these simulations areused by private companies, government agencies, military, and communities to plan for expansion,reduce costs, enhance redundancy, improve traffic flow, and to prepare for and respond toemergencies.

Modelers have developed various innovative modeling approaches including agent based modeling,effects-based operations (EBO) models, input-output models, models based on game theory,mathematical models, and models based on risk. These have been applied to infrastructure ofshipboard systems, University campuses, large power grids, and waterways to name a few. Modelingis complicated by the quality and availability of data, intricacy of systems, sectors, and implicationsand sensitivity of results. This survey identifies and catalogs much of the state-of-the-art researchbeing conducted in the area of infrastructure interdependency modeling and analysis.

Technical Support Working Group

The U.S. Technical Support Working Group (TSWG) is the sponsor for this effort.3 TSWG is a nationalforum to identify, prioritize, and coordinate interagency and international research and development(R&D) requirements for combating terrorism. The aim of TSWG is to support rapidly developedtechnologies and product development to provide tools for combating terrorism. It supports multipleU.S. government agencies as well as major allies.

The main objective of this study is to develop a single source reference of critical infrastructureinterdependency modeling tools (CIIMT) that could be applied to allow users to objectively assess thecapabilities of CIIMT. This information will provide guidance for directing R&D to address the gaps indevelopment. The results will inform the R&D efforts of the TSWG Infrastructure ProtectionSubgroup of R&D efforts and allow a more focused approach to addressing the needs of CIIMT end-user needs.


Background

The study and analysis of infrastructure interdependencies is relatively new. The interdependenciesbetween critical infrastructures received little attention in the early 1990s. However, in the mid1990s events such as the Oklahoma City bombing in 1995 and the report from the Defense ScienceBoard Task Force on Information Warfare in 1996, and the increased reliance on information andcomputerized control systems brought the increasing importance of infrastructureinterdependencies into focus. Also in 1996, President Clinton established the President’s Commissionon Critical Infrastructure Protection (PCCIP). …….

INFRASTRUCTUREINTERDEPENDENCIES

“One of the most frequently identified shortfalls in knowledge related to enhancing criticalinfrastructure protection capabilities is the incomplete understanding of interdependencies betweeninfrastructures. Because these interdependencies are complex, modeling efforts are commonly seenas a first step to answering persistent questions about the “real” vulnerability of infrastructures.”

The importance of “What are infrastructure inter-dependencies, and how are they modeled?” isaddressed in this section. References to interdependent relationships in this paper are actuallyreferring to as dependent relationships or influences between infrastructures. The following Figureillustrates common representations of infrastructure based on the scenario of a flooding event andthe subsequent response. Parallels to this scenario with the events in New Orleans during HurricaneKatrina can easily be drawn. Within the figure, individual infrastructure networks are represented ona single plane. The parallel lines represent individual sectors or subsets within that particularinfrastructure. The spheres or nodes represent key infrastructure components within that sectorfrom the events in New Orleans The energy sector infrastructure, for example, during HurricaneKatrina contains the sectors of electrical generation and distribution, natural gas production anddistribution, etc. Ties and dependencies exist within each infrastructure and between the differentsectors. The solid lines in the Figure, crossing sectors and connecting nodes, represent internaldependencies, while the dashed lines represent dependencies that also exist between differentinfrastructures (infrastructure interdependencies).

The example in the Figure is a simple attempt to portray the complexity of dependencies that mayexist between components. In chaotic environments such as emergency response to catastrophicevents, decision makers should understand the dynamics underlying the infrastructures. Failure tounderstand those dynamics will result in ineffective response and poor coordination betweendecision makers and agencies responsible for rescue, recovery, and restoration. It could also causethe mismanagement of resources, including supplies, rescue personnel, and security teams. At best,emergency responders will lose public trust, at worst, human life.



Sample dependency matrix (from:http://www.inl.gov/technicalpublications/Documents/3489532.pdf)Pederson et al: Critical Infrastructures Interdependency Modeling: A Survey of. U.S. and InternationalResearch

Again, while the dependencies within an individual infrastructure network are often well understood,the region of interest in interdependency and effects modeling is the influence or impact that oneinfrastructure can impart upon another. Therefore, the key effects to model and gain understandingof are the chains of influence that cross multiple sectors and induce potentially unforeseen n-aryeffects. These chains, potentially composed of multiple interdependency types, compose the pathsor arcs between infrastructure components or nodes denoted as {(a,b), (b,c), (c,d), ...(y,z)}. Thisparticular path represents the cascading consequence of an event or the derived dependency ofnode z on node a, further denoted (aDz). Likewise the genesis of the chain may not be singular inthat the end effect is the influence of multiple nodes, denoted by (abc..Dz). These paths may not beunique in terms of effect, they may change over time, and their behavior may be cumulative innature, i.e., the end effect may be the culmination of multiple predicated events. The intertwining ofnetworks in this fashion represents a complex system where emergent behaviors are rarely fullyunderstood. Rinaldi, Peerenboom and Kelly (see Reference 13) provide a nice visual representationof this intertwining and the potential cascading effects. This is shown in the following figure.


Figure: Cascading consequence example

In the Pederson document a survey of existing CI interdependence modeling and simulation toolsaround the world are presented.


7 S. Rinaldi: Modeling and Simulating CI

(and their Interdependencies)


From Steven Rinaldi: Modeling and Simulating Critical Infrastructures and Their Interdependencies(Proceedings of the 37th Hawaii International Conference on System Sciences – 2004)

See: http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=01265180

……….

Modeling and Simulation Techniques (M & S)

Models and simulations of individual infrastructures are rather well developed today – numerousproducts are available commercially that enable infrastructure owners to develop, operate, andmanage their systems. However, M&S of multiple, interdependent infrastructures are immature bycomparison. A number of different approaches to interdependent infrastructure M&S have emergedthat address various factors listed in Table 1. This section provides a high-level description of severalof these techniques.

Table 1. Factors affecting interdependencies analyses

Factor Implications for AnalysesTime Scales Infrastructure dynamics vary from millisec onds (e.g., electrical

grid disturbances) to decades (construction of major new facilities).Different infrastructures will have varying time scales of

Geographic Scales Specific scenarios and issues range from cities to national orinternational levels in scale. Scale affects the resolution and quantityof infrastructure and interdependency data required for models.

Cascading and HigherOrder Effects

Disruptions in one infrastructure can ripple or cascade intoother infrastructures, creating second and higher order

Social / PsychologicalElements

Infrastructures are socio-technical systems. Social networks andbehavioral responses can influence infrastructure operations, such asthe spread of an infectious disease and the response of the public

Operational Procedures Company-specific procedures influence the state of an infrastructure,such as responses to market fluctuations.

Business Policies Specific corporate business policies affect the operationsof the infrastructures.

Restoration andRecovery Procedures

Company-specific procedures influence the state of an infrastructureduring a crisis or emergency, and may affect coordination amongvariousinfrastructure owners. Cross-infrastructure restoration/recovery

Government Regulatory,Legal, Policy Regimes

Government actions will influence operational behaviors as wellas the response to and recovery from disasters or disruptions.

Stakeholder Concerns Stakeholders have differing motivations and different sets ofconcerns that drive M&S requirements.

We group interdependency models into six broad categories. These categories range from highlyaggregated tools to very detailed, high resolution and fidelity models. We are currently developingdetailed interdependencies models and simulations in the first three classes described below atSandia National Laboratories.

Aggregate Supply and Demand Tools. This category of tools evaluates the total demand forinfrastructure services in a region and the ability to supply those services. Multipleinfrastructures can be linked by their demand for commodities or services provided by otherinfrastructures, and the ability of those infrastructures to satisfy demands. The ability of an


infrastructure to meet its instantaneous or forecast demands can provide an indication of itshealth or early warning of potential problems (e.g., the inability to meet demand in multipleinfrastructures). We have developed a prototype model that links the electrical grid, oil andnatural gas systems, wireline telecommunications, and inland waterways in the PacificNorthwest. The prototype includes the ability to perform “what-if” analyses, so that theconsequences and cascading effects of the loss of additional infrastructure assets can bedetermined in terms of aggregate supply and demand.

Dynamic Simulations. We are employing dynamic simulations to examine infrastructuresoperations, the effects of disruptions, and the associated downstream consequences.Thegeneration, distribution, and consumption of infrastructure commodities and services can beviewed as flows and accumulations in the context of dynamic simulation. Interdependenciesamong infrastructures are readily incorporated into system dynamics models as flows ofinfrastructure commodities among multiple infrastructures. Moreover, dynamic simulationscan examine the effects of policies, regulations, and laws upon infrastructure operations. Wehave developed detailed dynamic simulations of multiple, linked infrastructures, includingenergy (electricity, oil, natural gas), communications, transportation (waterways, highways,rail), emergency services, banking and finance, agriculture, water, shipping, and markets. Wehave constructed system dynamics models of infrastructures in California and the PacificNorthwest for analyses of the Northridge earthquake, the California energy crisis, and theimpacts of security policies in the ports of Seattle and Portland.

Agent-Based Models. Agent-based models have been used in a wide spectrum ofinterdependency and infrastructure analyses. Physical components of infrastructures can bereadily modeled as agents, allowing analyses of the operational characteristics and physicalstates of infrastructures. Agents can also model decision and policy makers involved withinfrastructure operations, markets, and consumers (such as firms and households). We havedeveloped agent-based models of supply chains (manufacturers, distributors, households,labor sectors), telecommunications (wireline, wireless, satellite), electric power,transportation, banking, and governmental policies. Using these models, we have examinedthe consequences of the losses of infrastructure services upon manufacturing supply chains.These microeconomic analyses have enabled us to examine how infrastructure disruptionsaffect firms, their relative ability to compete during disruptions, and the effects ofinfrastructure-related policies on the ability of firms to survive disruptions.

Physics-Based Models. Physical aspects of infrastructures can be analyzed with standardengineering techniques. For example, power flow and stability analyses can be performed onelectric power grids, and hydraulic analyses can be used with pipeline systems. These modelscan provide highly detailed information, down to the individual component level, on theoperational state of the infrastructures. These techniques have been applied tointerdependent energy infrastructures, examining issues such as outage areas associatedwith single and multiple contingencies.

Population Mobility Models. This class of model examines the movement of entities throughurban regions. Entities interact with one another, generating and consuming infrastructurecommodities in the process. For example, the entities may be people following their dailyroutines in a city. By generating and simulating these routines, a population mobility modelcan determine the use of multimodal transportation assets and assist with urbantransportation or evacuation planning. An important characteristic of these models is thatthey develop detailed insights into social networks, which can be critical for certain types ofstudies such as epidemiology. Population mobility models have been used for extremely highresolution and fidelity urban interdependencies studies of multimodal transportation,electrical power girds (including electrical markets), wireless telecommunications, andepidemiology.


Leontief Input-Output Models. Leontief’s model of economic flows can be applied toinfrastructure studies. The basic model provides a linear, aggregated, time-independentanalysis of the generation, flow, and consumption of various commodities amonginfrastructure sectors. This model has been extended to include nonlinearities and timedependencies, and applied to examining the spreading of risk among interdependentinfrastructures.

Future Challenges

A number of significant challenges face developers of interdependencies models and simulations.These hurdles and potential solutions are not just technical; some may require changes in laws orregulations. We will discuss several of the key challenges in this section.Obtaining the requisite data to enable the models to accurately represent infrastructures presentsarguable the biggest hurdle. First, there are several crucial forms of data to which a modeler musthave access. The infrastructure topology – how the infrastructure is built and interconnected withother infrastructures – is clearly essential. Key data also include the operational, emergency, andother procedures used by infrastructure owners that influence infrastructure states during normal orcrisis operations. Government and corporate policies also influence operations and comprise anelement of data. The modeler must be cognizant of these and other data types and, importantly,have access to the data.However, gaining access to data is not necessarily easy. The private sector owns and operates thevast majority of infrastructures and consequently controls access to substantial quantities of crucialinformation, much of which is proprietary. There are significant barriers to sharing informationbetween the private sector and government. These barriers include concerns about release ofinformation under the Freedom of Information Act (FOIA), antitrust laws, confidentiality and privacyissues, liability issues, access to classified national security information, and reservations aboutsharing information with the law enforcement community. Although some of the barriers arecurrently being addressed by legislation, such as FOIA, obtaining access to sufficiently detailed andhigh quality data remains a crucial issue to the development of interdependencies M&S.Data must also be available in a timely fashion, particularly for certain applications. Real-timemonitoring of infrastructures requires real-time access to data across multiple infrastructures. Even ifaccess to such information is granted, ingesting, verifying, warehousing and using the data in real-time is a nontrivial problem. Moreover, data necessary for nonreal-time applications are perishableand must be updated and verified regularly. For example, physical infrastructure topologies are notstatic – telecommunications and information service providers regularly augment their networkswith new lines and equipment, new roads and highways may be added to a region, airlines maymodify their flight schedules and routes, and so forth.For certain stakeholder issues, it may be desirable to integrate multiple models or different classes ofmodels together in a “co-simulation.” There are substantial technical issues to creating a co-simulation, such as embedded (and often conflicting) assumptions in the models, different timesteps, varying spatial scales, and different data requirements. Comprehensive simulation frameworksthat couple disparate models to address the spectrum of stakeholder concerns are only beginning toemerge, and will take time to mature.Verification and validation are fundamentally important to M&S development. We have used severaltechniques with our models and simulations, including comparing model outputs to historical data,using widely accepted models as benchmarks for testing new models, and obtaining feedback fromexperts in seminar settings. One must take care when comparing model outputs to historical data, asinfrastructure technology in use during the timeframe of the comparison. For example, theinformation infrastructure of the United States has advanced tremendously over the past decade – a


fact which must be taken into account in any comparisons to historical data more than a few yearsold.Similarly, models and simulations must keep abreast of changes in infrastructure technology. Modelsthat accurately reflect the state of technology today could be outdated in a few years. This problemmay be particularly challenging for cyber interdependencies, given the explosive growth ininformation technology.Finally, metrics that accurately represent the state of infrastructures present another majorchallenge. There are no satisfactory metrics today that would enable:

comparisons of mitigation, response, recovery, reconstitution, and restoration strategies;

comparisons of the “criticality” of nodes and links;

determination of appropriate investment strategies to increase security; and

evaluation of the relative effectiveness of security measures and policies.

Development of a comprehensive and widely accepted set of metrics should be a component of thenational critical infrastructure protection program.

From: Rinaldi, Peerenboom, Kelly: “Critical Infrastructure Interdependencies”, IEEE Control Systems,Dec 2001, p. 11-25

(see: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=969131&isnumber=20901)



8 SCADA Definition

(Supervisory Control and Data Aquisition)


Supervisory Control and Data Acquisition

SCADA definition (from http://www.topbits.com/scada.html)

SCADA is an acronym that stands for Supervisory Control and Data Acquisition. SCADA refers to asystem that collects data from various sensors at a factory, plant or in other remote locations andthen sends this data to a central computer which then manages and controls the data.

SCADA is a term that is used broadly to portray control and management solutions in a wide range ofindustries. Some of the industries where SCADA is used are Water Management Systems, ElectricPower, Traffic Signals, Mass Transit Systems, Environmental Control Systems, and ManufacturingSystems.

SCADA as a System

There are many parts of a working SCADA system. A SCADA system usually includes signal hardware(input and output), controllers, networks, user interface (HMI), communications equipment andsoftware. All together, the term SCADA refers to the entire central system. The central system usuallymonitors data from various sensors that are either in close proximity or off site (sometimes milesaway).

For the most part, the brains of a SCADA system are performed by the Remote Terminal Units(sometimes referred to as the RTU). The Remote Terminal Units consists of a programmable logicconverter. The RTU are usually set to specific requirements, however, most RTU allow humanintervention, for instance, in a factory setting, the RTU might control the setting of a conveyer belt,and the speed can be changed or overridden at any time by human intervention. In addition, anychanges or errors are usually automatically logged for and/or displayed. Most often, a SCADA systemwill monitor and make slight changes to function optimally; SCADA systems are considered closedloop systems and run with relatively little human intervention.

One of key processes of SCADA is the ability to monitor an entire system in real time. This isfacilitated by data acquisitions including meter reading, checking statuses of sensors, etc that arecommunicated at regular intervals depending on the system. Besides the data being used by the RTU,it is also displayed to a human that is able to interface with the system to override settings or makechanges when necessary.

SCADA can be seen as a system with many data elements called points. Usually each point is amonitor or sensor. Usually points can be either hard or soft. A hard data point can be an actualmonitor; a soft point can be seen as an application or software calculation. Data elements from hardand soft points are usually always recorded and logged to create a time stamp or history

User Interface (HMI)

A SCADA system includes a user interface, usually called Human Machine Interface (HMI). The HMIof a SCADA system is where data is processed and presented to be viewed and monitored by ahuman operator. This interface usually includes controls where the individual can interface with theSCADA system.


HMI's are an easy way to standardize the facilitation of monitoring multiple RTU's or PLC's(programmable logic controllers). Usually RTU's or PLC's will run a pre programmed process, butmonitoring each of them individually can be difficult, usually because they are spread out over thesystem. Because RTU's and PLC's historically had no standardized method to display or present datato an operator, the SCADA system communicates with PLC's throughout the system network andprocesses information that is easily disseminated by the HMI.

HMI's can also be linked to a database, which can use data gathered from PLC's or RTU's to providegraphs on trends, logistic info, schematics for a specific sensor or machine or even maketroubleshooting guides accessible. In the last decade, practically all SCADA systems include anintegrated HMI and PLC device making it extremely easy to run and monitor a SCADA system.

SCADA Software and Hardware Components

SCADA systems are an extremely advantageous way to run and monitor processes. They are great forsmall aplications such as climate control or can be effectively used in large applications such asmonitoring and controlling a nuclear power plant or mass transit system.

SCADA can come in open and non proprietary protocols. Smaller systems are extremely affordableand can either be purchased as a complete system or can be mixed and matched with specificcomponents. Large systems can also be created with off the shelf components. SCADA systemsoftware can also be easily configured for almost any application, removing the need for custommade or intensive software development.



9 E. Luiijf et al: Empirical Findings on CI Dependencies


Empirical findings on Critical Infrastructure Dependencies in EuropeEric Luiijf, Albert Nieuwenhuijs, Marieke Klaver, Michel van Eeten and Edite Cruz

Critical Information Infrastructure Security: Third International Workshop, CRITIS 2008, Rome, Italy,October13-15, 2008.Revised Papers book contentsPages: 302 - 310Year of Publication: 2009ISBN:978-3-642-03551-7

http://www.springerlink.com/content/7404012311x77786/fulltext.pdf

Abstract One type of threat consistently identified as a key challenge for Critical InfrastructureProtection (CIP) is that of cascading effects caused by dependencies and interdependencies acrossdifferent critical infrastructures (CI) and their services. This paper draws on a hitherto untapped datasource on infrastructure dependencies: a daily maintained database containing over 2375 seriousincidents in different CI all over the world as reported by news media. In this paper we analyse thisdata to discover patterns in CI failures in Europe like cascades, dependencies, and interdependencies.Some analysis results indicate that less sectors than many dependency models suggest drivecascading outages and that cascading effects due to interdependencies are hardly reported.

Dependencies - state of the art

Most CI dependency literature use a theoretical modelling approach to dependencies, e.g., Rinaldi etal, and Svendsen and Wolthuysen. Most post mortem analysis reports about CI disruption incidentsdescribe the incident from a single CI view. Cascading effects and dependency consequences areoften hidden in government reports about their emergency response efforts to disasters, e.g., VonKirchbach. Other research focuses on the modelling and simulation of CI and cross-links betweendifferent CI sectors. Generally spoken, these models are not based on real life data or on a fulldependency analysis of past incidents. The empirical work in this paper discusses observations madeon CI dependencies based on news and other reports about serious CI events. There exist, however,databases which focus on collecting empirical data of infrastructure incidents. Without exception,however, these databases focus on a specific environment, a single CI sector, or a specific type ofrisk. Examples of foci of such databases are for instance terrorism-caused energy infrastructuredisruptions, process industry safety, electric power disturbances (e.g., national or European griddisturbance reports), radiological incidents, and aircraft incidents. No databases have been foundwhich focus on serious disturbances of all CI and the cascading effects using an ’all-hazards’approach.

Method

At the core of our analysis is a database with public reports of CI disruptions, collected from opensources like newspapers and internet news outlets. If possible, the data is augmented by officialincident reports. An event in one of the CI sectors will be added to the database if there is a seriousimpact: only events are recorded which had a noticeable effect to society, e.g., at least 10.000affected electric power customers. Daily occurring local and scheduled operational disturbances areexcluded. For each event we record, e.g., affected CI sector and service, initiating event, theconcerned organisation(s), start and end times/dates, country, affected geographic area and its size,description of the cause, threat category and subcategory, consequences/damages and impact,recovery process, and references. While data has been collected on a variety of countries in the


world, for the purposes of this paper we focus on a subset: 1749 CI failure incidents in 29 Europeannations (95% of them occurred after 2000). Based on this subset, we empirically study CI (inter)dependencies. A CI dependency is the relationship between two CI products or services in which oneproduct or service is required for the generation of the other product or service; a CIinterdependency is a mutual CI dependency.We understand that the data set and approach has limitations. We explored the validity of thefindings by triangulating the Dutch national data with outage data from a Dutch CI operator. We alsofound self-similarities in the Dutch, EU and US subsets of the event database. However, we realisethat the data is biased by the limited set of European languages (Dutch, English, French, German,Portuguese, and Spanish) which we use to identify and extract media reports. Another bias may bethe reporting practices of news media as not every serious CI incident is reported by news media.Among other factors, the news reports likely reflect what the news outlets assume is of interest totheir audience. It is not clear if and how our findings are affected by these limitations. We are notaware of any research that has studied biases in how the media report on CI failures. That said, webelieve that in light of the overall paucity of empirical research on this topic our analysis contributesmuch needed data to the policy debates on CIP and the risk of CI cascading failure.

In our analysis, we will classify events in cascade initiating events, cascade resulting events andindependent events. A cascade initiating event is an event that causes an event in another CI or CIservice; a cascade resulting event is an event that results from an event in another CI or CI service,and an independent event is an event that is neither a cascade initiating event, nor a cascaderesulting event. These categories are not mutually exclusive. Because an event can be both caused byan event outside a CI sector and propagate as another event outside the CI sector, some events areboth a cascade initiating and a resulting event. This may cause the sum of initiating, resulting andindependent events to exceed the total number of events (e.g., the ”Total column” in Table 1). Theanalysis below is performed at the level of CI services. This means that we only consider a cascadingresulting event to be a dependency -and include it into the results- if the event takes place in anotherCI service than the one of the cascade initiating event. For readability, most results below areaggregated to the CI sector level. Consequently, dependencies between underlying services within aCI sector appear as occuring within a single CI sector.

CI dependencies in Europe Number of cascades

We have first analysed the data by distinguishing cascading events from noncascading events (Table1). Interestingly, 29% of the reported incidents in Europe result from incidents in other services (501of the 1749 events). Anecdotal evidence about dependencies and cascading sometimes conveys thesense of reporting on rather unlikely scenarios, suggesting that cascades are events of low probabilityand high consequence. Our data, however, shows that they are significant more frequent.


Directionality of cascades

Next, we established in which CI sector an event originates and which CI sectors are affected (Table2). The events that are not cascade-related are labelled no sector”. They comprise disruptions due toa large range of external events (e.g., weather, deliberate human actions, and economical factors)and internal failures (e.g., human error, technical failure). Table 2 shows that the energy andtelecommunication sectors are the main cascading initiating sectors. Energy is the only sector whichinitiates more cascades than it ends up receiving. When disregarding not cascade initiated events,the empirical data confirms that the dependency matrix is sparsely populated and that cascades arehighly asymmetrical. The energy and telecommunication sectors cause outages in other sectors (60%and 24% respectively), but not many other CI sectors cause outages in energy, telecommunicationand internet (Table 2). The affected energy, telecommunication and internet sector eventpercentages of 15%, 25% and 10%, respectively, are for a large part generated by services withinthese three sectors. In short, the dependencies are very focused and directional. In fact, one maywant to stop talking about inter-dependencies, as this suggests a reciprocal relationship that the datasimply does not warrant as occurring frequently. Actually, only two weak Europeaninterdependencies are recorded.


This raises an important issue: does this mean that, while dependencies and interdependencies areeverywhere, at least theoretically, they are rarely strong enough to trigger a secondary outage whichis reported by the news media? Do they only occur after a longer period of disruption than is oftenthe case? Or are these cascading outage events so hidden in the chaos caused by the primary CIoutage and its effects that the press does not report on them?

The dependency of many sectors on energy and telecommunications has been reported widely. TheTable 3 data suggests that the CI dependency on energy is substantially higher (taken mitigationmeasures into account) as 60% of all cascades originate within the energy sector, 28% in thetelecommunication and internet sectors, and 5% in the transport sector, 3% in the water sector, and4% in the remaining CI.


Our findings raise several important issues. First, while the current literature gives very little clues asto the probability of cascading failures, our empirical data suggests that such cascades are in factfairly frequent. This forms a sharp contrast with the typical examples of events of low probability andhigh consequence that are often presented as evidence of the urgency of dealing with CIdependencies. Second, they question the validity of the Domino Theory of CI. While there are analmost unlimited number of dependencies and interdependencies among CI possible, i.e., there aremany pathways along which failures may propagate CI sector boundaries, we found that thispotential is not expressed in the empirical data on actual events. The cascades that were reportedwere highly asymmetrical and focused. The overwhelming majority of them originated in the energyand telecom sectors. This is not unexpected, but what is new is the fact that so few cascades tookplace in other CI sectors. Third, interdependencies far less occur than analysts have consistentlymodelled. We found only two cases on a total of some 770 CI failures. In short, while dependenciesand interdependencies exist everywhere, they rarely appear to be strong enough to trigger areported serious cascading CI outage. It is unclear whether this is because the CI operators managethe (inter)dependencies effectively or because the dependencies are not that powerful to begin with.


10 DIESIS Project Description


DIESIS:Design of an interoperable European federated simulation network forcritical infrastructures

From http://www.diesis-project.eu/include/Documents/Deliverable2.3.pdf

In contrast to the utmost importance of critical infrastructures like electricity andtelecommunication for all European citizens, the European economy and the European societyat large, the understanding of the complex system of critical infrastructures with all theirdependencies and interdependencies is still immature. The study of these complexinfrastructure systems demands joint interdisciplinary efforts of researchers, industrialstakeholders and governmental organisations to overcome all the difficulties involved (e.g.availability of models and data for single infrastructures, interoperable simulation of multipleinfrastructures, testbeds and benchmarks for protection solutions).

In order to address these challenges, DIESIS proposes to establish the basis for a Europeanmodelling and simulation e-Infrastructure based upon open standards to foster and supportresearch on all aspects of critical infrastructures with a specific focus on their protection. ThisEuropean e-Infrastructure will support full cooperation of the different partners in charge forstudying (inter) dependencies of critical infrastructures, while preserving the confidentiality ofthe proprietary knowledge embedded into the different models and simulation packages.Indeed for a lot of economical, political, technological and social reasons, the Europeancritical infrastructures (CI), once isolated and autonomous, are becoming more and morecoupled. As a consequence, breakdowns in an infrastructure are no longer sector-specific, butcan result in cascading effects that disturb other sectors also. Then it is necessary to havemodelling and simulation tools able to provide useful support to understand the complexsystem of systems composed by the interdependency of these critical infrastructures. This is aprerequisite to develop adequate solution for Critical Infrastructure Protection (CIP)strategies.

The core of this e-Infrastructure will be contained in a middleware that will allowinteroperable simulations and that will offer similar services to those provided by the HighLevel Architecture (HLA) to federated simulations in the military sector. DIESIS willleverage on existing computing facilities, which will be typically organised into disjoined andheterogeneous GRIDs. DIESIS will enable the reuse of existing simulators to setup complexsimulation models.

The DIESIS middleware should allow research institutions, industrial stakeholders andgovernmental organisations concerned with CIP to run complex joint simulations where eachpartner contributes with its own simulator using the data available. Around this core,additional value of the research e-Infrastructure consists in establishing a platform for trustedinformation exchange on the subject of CIP, establishing reference scenarios for the study ofcritical infrastructures, CIP strategies and technology and providing decisions makers withaccess to reliable information in case of emergencies.

The purpose of this deliverable is to review, to the best of our knowledge, the availableinfrastructure simulators. Indeed, the DIESIS middleware should be aware of the current


simulators models in order to accomplish its task. Then, when it has been possible to gathersufficient information and enough knowledge about the available simulators, their review willbe organized as follows:

General description of simulator;2. Suitability for modelling;3. Suitability for simulation;4. Conclusion.

The deliverable is organised as follows: The beginning chapters respectively describesimulators of power grids, telecommunications, water (and flood forecasting) andtransportation infrastructures. Another Chapter describes other infrastructure simulators,which although not considered critical,

have been brought to DIESIS consortium attention by the DIESIS survey (see Section 1.3).An overview of the available analysis tools is presented. The analysis of the federatedsimulators logs will be a crucial component of the DIESIS middleware. In addition, availableEuropean data sources are of fundamental importance to DIESIS. To demonstrate the validityof the DIESIS approach, realistic scenarios will be needed. The term realistic refers to the


simulated Critical Infrastructures topologies and to the data available for the simulation. Tothis end, a final chapter describes data sources available in EU databases.

Some sentences will be devoted to a discussion of the infrastructures interdependencies ofsimulators. The main objective is to describe promising CI interdependency analysis tools thatexist in the literature. The deliverable finalises with References and sthat describe,


respectively: the



11 K. Niemeyer: Simulation of Critical Infrastructures


Klaus Niemeyer, “Simulation of Critical Infrastructures”, Information and Security, 15, No. 2,October 2005, 120-143

see: http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?ots591=&lng=en&id=14175

siehe auch ausführliche deutsche Dokumente, die beim Autor K.Niemeyer (www.n-o-a-de).z.B. Report NOA-TR-1: Modell ausgewählter Branchen zur Simulation von kritischen Störungen, 2000

Model prototypes have been developed to simulate the most critical areas of a highly-developedregion in social, economic, technical and informational terms. The models were developed inspiredby the fact that the highly integrated information infrastructure creates risks of failure andintrusions with a possible consequence of total loss of vital resources, such as energy or traffic.The models are seen on three levels of abstraction and are programmed and executed withtools from System Dynamics.

On the highest level of abstraction, the modelled region is described and calculated using systemattributes and variables like productivity, social pressure, satisfaction, etc.

On the medium level of abstraction, critical areas of an advanced society are identified andcalculated using variables that represent an entity in the reality and that, in general, have anempirical context. Identified critical areas for the first experiments with the model were thesectors of energy, communications, traffic, security, government, and defence. Applying amethodology to identify value drivers and to visualise the interrelations of components incomplex systems helped in developing the model inputs and descriptive factors. This approachwas used together with a group of experts in each area.

On a low level of abstraction, a model prototype was developed using variables that in generalcan be measured and quantified based on real-life empirical sources. The latter approach is verycomplex and resource-intensive and requires detailed insight and knowledge.…

Socio-Economic Systems

The problem of vulnerability of modern socio-economic systems is considered extremely important.The critical conditions of modern, technologically -based economies are not enough explored andresearched from the holistic point of view of the whole system.…

Crisis Team

In a crisis or catastrophe, the crisis team is the crucial group of people that can pre vent possible

chaotic development and disorganisation and can act to avoid disastrous consequences. These are

people that come from various organisations, administra tions and industries and have to get

organised for the required purpose. Due to the fact that different organizations often work in

normal circumstances in conditions of competition, it cannot be assumed that the designated people

in the crisis team immediately find a harmonic basis for cooperative work. It is, therefore,


necessary to establish methods and mechanisms for the formation of a crisis team to

compensate these negative effects.

In addition, it has to be assumed that the members of the crisis team originate from very diverse

knowledge areas. Although this is an essential element of crisis man agement, this substantial

problem has to be taken into consideration in the internal communication since the different

knowledge areas have developed their own, very specific languages that hinder the communication

within the crisis team.

An essential attribute of crises and catastrophes is their sudden, partially very sur prising

emergence. Since crises are characterized by a series of unexpected and quick events, a requirement

exists for the crisis team to react under very high time pressure. Since only a few people are able to

act in these circumstances and since there are psychological group -dynamic effects in addition, a

relevant and rational work is possible only within a very rigid configuration. For the successful work

of the group, a crucial prerequisite is the structure of the team and accordingly trained personnel

to fill the positions.

For the purposes of the consequent analysis, the decisions and actions of the crisi s group

necessitate a maximum transparency. The analysis of a crisis is required in all related areas in order

to systematically gain experience. In addition, the actions of the members of the crisis team often

have legal, ethical or moral consequences tha t are justified only with a complete set of well -

documented underlying principles, causes, and effects.

Methodology

A top-down approach of system analysis and related modelling is pursued in the presented work.

Starting from a holistic point of view, the socio-economic system of a highly-developed region is

identifiable by very general element areas or object classes. On this high level of abstraction,

variables and objects are postulated that can be programmed in the model. This model on high

abstraction level is seen as a first and rapid procedure for testing only some of the relationships

and for preparation to get improved insights into system behaviour. Since almost no experience is

available, such as the interactions of the information networks with the physical and social systems

in mathematical-logical form, assumptions and hypotheses are made that appear plausible, but

an intensive examination and verification is required.

There is a small amount of systematic and useful research and practical resu lts available for

development of such models. Nevertheless, a model of high abstraction has been chosen as a

first design and quick prototype for generation of initial guess for the system structure.

In a second step, a relatively low abstraction -level model has been developed. Here, the

reference to real objects is much better; however, there are also major problems regarding data

collection and modelling of system structure. In addition, a much big ger effort is required for

model development. Due to this reason, only a model of the traffic sector has been developed,

which required considerably more time and effort for development compared to the high

abstraction level model. Nevertheless, this ap proach should still be pursued in order to find better

solutions.

Third; as a compromise, a model has been developed that can be represented as a model of medium

abstraction level. In order to collect the required input data and to generate an acceptable model

of the system structure, a series of seminars and bra instorming sessions were conducted. The


seminars were supported intensively by the methodol ogy “Gamma.” This effort led to the

development of a model that can serve as a driving force for exercises and follow-on research.

Gamma

For initial structuring, generation of assumptions, and estimation of factors and pa rameters, a

brainstorming approach supported by computer software called Gamma was used. Gamma

provides tools for interactive visualisation and analysis of complex interrelationships of systems and

from the beginning it generates a holistic view.

The graphical toolset generates a net diagram as a result of the thinking process of session

participants and captures parameters and values of identified links between system elements.

Understanding relationships of type cause and effect becomes possible. This provides a good

ground for mutual acceptance and a common view of system interrelations. The generated values

are available for subsequent analysis.

Gamma is not a rigid methodology providing decision optimisation with a guarantee to find the

best solution. It rather belongs to the group of the so-called heuristic approaches that improve the

likelihood of locating a good solution.

In an initial step, relevant influential factors and elements of the system under consideration are

drafted. This is followed by the creation of a graphical network of interrelationships. Direction,

type, intensity and frequency determine the relationships between the elements. The objective is

to get knowledge about the structure and dynamics of the essential processes in the system.

System Dynamics

For simulation, the method of System Dynamics has been chosen due to the fact that it is very well

suited for quick prototyping.

This method has been applied to a wide vari ety of problems in both the public and private

sectors. Large corporations and governmental agencies make use of the in sights gained from

building System Dynamics models while designing policies and strategies and in tactical and

operational decision making.

Within the System Dynamics paradigm, emphasis is placed on model conceptualisa tion and on

the utilization of a wide spectrum of criteria for model validation that help to ensure that the

resulting models correspond to real systems structurally as well as behaviourally.

In particular, there are four types of structural properties that humans find cognitively challenging in

dynamic systems.

First, there is the origin of dynamic behaviour itself, the relationship between flows and levels.

Second, there are delays or lags in actual systems.Third, there is a feedback.Finally, there are nonlinear relationships.

Powersim

The availability of easy-to-use software engineering tools such as Powersim enabled a fast

model development process.


Powersim is a software package that facilitates the study of dynamic systems. It makes possible

the formulation of simulation models in the graphical notation as de fined in the System Dynamics

methodology.

Powersim is particularly convenient for use of generic models. These models can be stored in a

library, from which they can be copied, modified, and incorporated as co models or integrated

(pasted) as sub-models in a larger “main” model.

The ability of Powersim to describe and solve problems, however, suggests that its rea l benefit

comes from its application in the model -building process itself, rather than from its ability to

simulate a particular model. As a result, the people who both know the system experiencing the

problem and are charged with implementing model-based results should participate fully in the

modelling process. Their participation increases the probability that they will trust the model

they helped to create and will implement its results. Powersim’s graphical user interface greatly

reduces the barriers to the participation of policy makers in the modelling process. In addition,

the graphical notation and the user -friendly interface make possible the fast develop ment and

rapid prototyping of simulation models.

High Abstraction-Level Model

On a high abstraction level, the system to be simulated is determined by variables that are defined

in relation to a maximum possible value. In this way, it is not necessary to introduce absolute

values since the variables are defined without a physical dimension and c an only take values

between 0 and 1. Relative variables of this type make possible the quantitative calculations with

freely chosen, normally only qualitatively describable, parameters such as, for example,

“satisfaction” or “alteration pressure,” especial ly in areas where no or only restricted empirical

data is available. Quickly-developed abstract models can be generated with relative variables

although with the disadvantage of being highly speculative.


In the high abstraction-level model, the elements are subdivided into three areas: the physical

area, the information area and the social area. The physical area contains all the components that

are physically defined, and can be physically measured and de¬scribed. The information area

contains all the components that can be assigned to an information network: the logical and virtual

elements, the procedures, programs, data, or, in other words, the software and the databases.

Computers, cable, storage medi¬ums, electronic devices, etc., or the hardware, are physical

components. The social area consists of humans, groups, hierarchies, organizations, etc. The

elements of the social area could be allotted to the physical and information area. However, since

this area contains important feedbacks, the social area is identified explicitly (Figure 2).


For each area, one can identify and describe sectors of industries, administration, se curity area,

etc. The following six sectors were defined in the initial research phase: energy sector,

information industry, civil service, security, traffic and transportation, and finance. Table 1

presents some of the real objects and elements that were as signed to these sectors and

outlines the areas for further explanation and develop ment.

Figure 3 illustrates the physical area. Some important interrelations are defined that already

describe the structure of the simulation model in the graphical notation used by the Powersim

simulation software. The variable physical performance as relative value describes the

contribution of each element to the total productivity of the viewed system considering all

sectors. The total productivity or the success of the system has an effect on the satisfaction of the

social system in the social area in con sequence. At the same time, the performance of a given

sector is influenced by the performance of other sectors. Furthermore, the performance is

diminished by random disturbances from the environment.

Each system has internal forces that keep the processes running and produce the performance.

These forces are controlled by a feedback loop that tries to keep the performance level close to a

desired value; in other words, the system tries to maintain equilibrium or a stable state. The role

of feedback is played by the size of the variable physical pressure. By definition, the influence of

the physical pressure is delayed in time and depends on performance. In addition, the physical

pressure is influenced by satisfaction in the social area and information in the information area.


Similarly the “Information Area” and the “Social Area”


Figure 5 defines the social area. The variable satisfaction describes in relative terms the generalstatus of the social part of the considered system for each element in all sectors. The satisfaction of asector depends on the performance and the information from the other areas. Again, a feedbackloop is considered to cover the inner forces for maintaining a stable state.


Here, the variable social pressure that also depends on performance and information plays the roleof a feedback. Figure 5 presents a typical diagram of the model in System Dynamics notation asrealized in Powersim. Most of the variables are defined as vectors, where the index represents thesectors under consideration. The detailed description of the model is part of Powersim’s code. Thecode and the interpretation of the variables can only be seen in the context while the model isexecuted and calculation experiments are performed.

Low Abstraction-Level Model

Essentially, the system under consideration consists of the various types of transpor tation: road,

rail, air and sea (water), split into transportation of goods and transpor tation of people. The traffic

elements or the vehicles depend on the existence of a transportation network. The transportation

network is simplified according to the traf fic elements. For road and rail transportation, the traffic

within the region and traffic in the outside world are separately modelled. For the model of the

traffic within the region, the traffic is considered as a sort of container with a corresponding

descriptive size; for the traffic in the outside world the region is viewed as a node of a network.

For air and water transport, the region represents only one node, i.e. an airport or s eaport.

For details see the complete article of K. Niemeyer, please.

Medium Abstraction-Level Model

Experiments with the high abstraction-level model revealed the difficulty to establisha relationship between realistic absolute values and the generic variables as postu-lated. On the other hand, this is a prerequisite for application of models in exercises.


For this reason, it is necessary to do some brainstorming with the objective to generate real objects,entities, variables of the system and the sectors, as well as to quantitatively define theirrelationships.

A list of elements was used as a basis for creation of cause-and-effect network in Gamma. With thehelp of Gamma’s graphical tools it was possible to arrange the elements as components of a networkon the screen. Simultaneously, values for the influences were defined with the help of lines andarrows and their strength estimated. All the models were executed during the brainstorming sessionsand corrections were made in multiple iterations, considering the different points of view of theparticipating experts.

A typical Gamma diagram for the transportation case study was created during these sessions asshown in Figure 7.

In a later phase, delay times of the influences of one element on another were defined. These delaytimes and the effects are direct results of the Gamma sessions; they are collected in tables and serveas input to the System Dynamics model of medium-abstraction level.

The diagram also indicates by means of lines and arrows how strong is the influence of each entityon other entities in the postulated system, which can be transformed easily into a matrix ofinfluences. A different view at these dependencies for the en ergy sector is demonstrated in Figure 8.


The horizontal axis represents on a scale between 0 and 1 the relative strength of the influence of anentity on other entities in the system, while the vertical axis represents on a scale between 0 and 1the relative strength by which an entity is influenced by other entities in the system. Each entity hasa well-defined position on the diagram. The distribution of positions demonstrates which entities arehighly sensitive and require further specific attention in a straightforward manner.

Modelling and simulation of critical business and public sectors of a highly developed technicalsociety is based on the entities, relationships and sensitive parameters as developed in brainstormingsessions by sector experts utilising the Gamma methodology. These relations are then transformedinto a logical structure based on the System Dynamics methodology using Powersim.

On this medium level of abstraction the system to be simulated is determined and described byparameters and values, which are again defined relatively to a maximum possible absolute value. Inthis way, setting absolute values is not necessary since the parameters are defined without ameasurement dimension and can take only values between 0 and 1. Relative parameters of this typemake also possible quantitative calculations with freely-chosen, normally only qualitativelydescribable, parameters as defined in the expert sessions with the Gamma methodology.

In normal conditions the system of each sector is in a stable state or in equilibrium, i.e. theparameters do not change with time. These changes only occur if disturbances from outside act onthe system. And this is the case in reality, although disturbances are continuously balanced by systeminternal regulations and control mechanisms. The system state becomes stable and eventuallyfluctuates only around the equilibrium. Only unusual disturbances are able to generate unstablebehaviour, however, leading to stable state again although at different level. Theoretically, the set ofrelationships among the elements, as defined with the Gamma methodology, should cover this


stabilisation effect. Unfortunately, this was not the case; all relationships were defined as positivefeedbacks in the System Dynamics notation.

Therefore: In any system, for stabilising control mechanisms negative feedbacks have to be availablein order to create a stable equilibrium.

-----------------------------Software for example:

GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf

PowerSim Studio Express 7



12 W. Schmitz: Modellbildung und Simulation für KI


Walter Schmitz, „Modellbildung und Simulation für Kritische Infrastrukturen“; IABG, 02/2004(siehe: http://www.competence-site.de/downloads/93/9f/i_file_3951/B2_M%26S%20f%C3%BCr%20CI.doc)

1 Einführung

Kritische Infrastrukturen sind komplexe Systeme, deren Überlebensfähigkeit zu gewährleisten ist. DieErfahrungen mit komplexen Systemen haben gezeigt, dass das Wissen über Einzelteile nichtausreicht, komplexe Systeme zu erfassen und zu bewerten. Mindestens genau so wichtig ist es, dieVernetzung der Einzelteile zu berücksichtigen.Es sollte sowohl eine statische wie auch eine dynamische Analyse der Infrastrukturen durchgeführtwerden.Das Ziel der statischen Analyse ist, für jede der betrachteten Infrastrukturen die wichtigstenElemente der Infrastrukturen zu identifizieren, das Wirkungsgefüge zwischen den Elementen sichtbarzu machen, die „Rollen“ der Elemente innerhalb dieses Netzwerkes zu erkennen sowie die innerenkybernetischen Regeln der Infrastrukturen aufzudecken, um geeignete Überlebensstrategien für dieInfrastrukturen daraus ableiten zu können.Das Ziel der dynamischen Analyse besteht in erster Linie darin, Auswirkungen von Störungenaufzuzeigen. Hauptaugenmerk gilt dabei vor allem den Dominoeffekten, die sich kaskadenartig überdie einzelnen Infrastrukturen ausbreiteten.

2 Häufige Fehler bei der Modellierung komplexer Systeme

Eingriffe in die Vernetzung verändern die Beziehungen zwischen den Komponenten und damit denCharakter des Gesamtsystems. Offene Systeme wie z.B. ökologische Systeme erfahren immer wieder„Störungen“ von außen und reagieren darauf. Aber gerade durch diesen permanenten Austauschbewahren sie ihre Überlebensfähigkeit. Denn ein solcher Austausch verursacht Rückkopplungen undSelbstregulation – Eigenschaften, die nicht in den einzelnen Komponenten des Systems enthaltensind. Überlebensfähigkeit des Gesamtsystems kann also nicht alleine aus der Überlebensfähigkeitseiner Komponenten abgeleitet werden, sondern beruht mehr auf kybernetischen Prinzipien. Das istauch ein Grund, weshalb viele komplexe Projekte, die deterministisch geplant und ohneRückkopplung mit ihrem Umfeld durchgeführt wurden, gescheitert sind. Typische strategische Fehlerim Umgang mit komplexen Systemen sind:

Falsche Zielbeschreibung des Gesamtsystems

Unangemessene Abbildung / Beschreibung des Systems

Auswahl ungeeigneter Lösungsstrategien.

2.1 Zielbeschreibung des Gesamtsystems

Suboptimierung und Auswahl nicht zutreffender Zielfunktionen sind oft bei der Analyse komplexerSysteme zu beobachten. Anstatt sich auf die Überlebensfähigkeit des Gesamtsystems zukonzentrieren, verfolgen die Planer oft Reparaturstrategien oder wählen z.B. Shareholder Value alsZielfunktion aus. Die Konsequenz ist, dass Nachhaltigkeit, Stabilität und Robustheit des Systems nichtgefördert werden, was gerade bei kritischen Infrastrukturen ein verhängnisvoller Fehler wäre.


2.2 Systemmodellierung

Typische Modellierungsfehler sind:

1. Unausgewogene Auflösungsebenen2. Vernachlässigung wichtiger Interdependenzen3. Nichtberücksichtigung wesentlicher Systemkomponenten4. Verzicht auf „weiche“ Faktoren5. Missachtung von Störungen6. Unüberlegte Anwendung der Extrapolationsmethode.

(1) Unausgewogene Auflösungsebenen

Oft sind die Auflösungsebenen der einzelnen Systemkomponenten nicht problemadäquatausgewählt. Zu hohe Auflösung führt zu einer Informationsüberflutung. Große Datenmengen werdengesammelt, die ihrerseits aber verhindern, dass die Systemstruktur aufgedeckt wird. WichtigeBeziehungen und Interaktionen werden dadurch übersehen. Die Datenmenge kann nichtzielgerichtet ausgewertet werden. Wichtige Eigenschaften wie Rückkopplungen undSelbstregulierung bleiben unerkannt und damit auch der dynamische Charakter des Systems. DieAufgabe besteht also darin, die Interaktionen der einzelnen Ereignisse auf der geeignetenAuflösungsebene zu erkennen, die Datenmenge auf die wesentlichen Schlüsselkomponenten zubeschränken und nur diese Schlüsselkomponenten miteinander zu vernetzen.

(2) Vernachlässigung wichtiger Interdependenzen

Erziehung und Ausbildung zum Spezialistentum veranlasst uns, eher ins Detail zu gehen anstatt denGesamtzusammenhang zu erfassen. Dies führt oft dazu, einzelne Komponenten im Detail zuanalysieren und dafür die Vernetzung der Komponenten untereinander zu vernachlässigen.Aber ohne Kenntnis der Vernetzung – verursacht durch die Interdependenzen zwischen denKomponenten – lässt sich das Verhalten und die Leistungsfähigkeit des Gesamtsystems nichtbewerten, wie groß die Detailkenntnisse über die Einzelteile des Systems auch sein mögen. Die Rolleder Komponenten im Netzwerk bleibt unbekannt. Die Konsequenz ist, dass Symptome anstattUrsachen behandelt werden.

(3) Nichtberücksichtigung wesentlicher Systemkomponenten

Oft ist die Tendenz zu beobachten, sich auf Sachverhalte zu konzentrieren, die man als richtigerkannt hat. Dafür werden aber oft gravierende Elemente in anderen Bereichen ignoriert oderübersehen. Bewusstes oder unbewusstes Übersehen wesentlicher Komponenten reduziert zwar dieDatenmenge, vermittelt aber einen falschen Eindruck vom Gesamtsystem.

(4) Verzicht auf weiche Faktoren

Die Negierung weicher Faktoren wie Konsens, Vertrauen, Zufriedenheit, Motivation, Lebensqualitätund andere mehr führt ebenfalls zu einer unvollständigen und einseitigen Systembeschreibung. ZurErfassung der Leistungsfähigkeit des Systems sind qualitative Faktoren ebenso wichtig wiequantitative Faktoren.

(5) Missachtung von Störungen

Verfangen im linearen Ursachen-Wirkungs-Denken wird immer wieder versucht, allePlanungsfaktoren so genau wie möglich zu bestimmen anstatt Puffer für unvorhergesehene


Störungen vorzuhalten. Es wird getan, als ob es ein geschlossenes System vorliegen würde, das keineStörungen von außen zu befürchten hätte.

(6) Unüberlegte Anwendung der Extrapolationsmethode

Unüberlegte Anwendung der Extrapolationsmethode führt oft zu falschen Lösungen, weil dieseMethode – wenn überhaupt – das Verhalten komplexer Systeme nur für ein kleines begrenztesZeitintervall voraussagen kann. Abhängigkeiten und Störungen können bei komplexen Systemenüberraschende Effekte hervorrufen, die selten auf direkte Ursachen-Wirkungsbeziehungen zwischenbenachbarten Elementen zurückzuführen sind. Dies ist einer der wichtigen Gründe, weshalbkomplexe Systeme so schwierig zu planen und verstehen sind und Extrapolation als Lösungsmethodenur selten taugt. Prognosemodelle dieser Art sind ungeeignet, weil sie nur dann hinreichend guteAntworten geben können, wenn alle Daten bezüglich der Interaktionen bekannt sind und es sich umein geschlossenes System handelt.

2.3 Auswahl von Lösungsstrategien

Typische Fehler bei der Auswahl von Lösungsstrategien sind:

1. Ignorierung von Seiteneffekten2. Festhalten an Reparaturstrategien3. Tendenz zur Überreaktion4. Tendenz zu diktatorischem Verhalten.

(1) Ignorierung von Seiteneffekten

Herkömmliches Planen auf der Basis linearer Ursachen-Wirkungsbeziehungen versucht zwarkonsequent, die Situation zu verbessern, kümmert sich aber zu wenig darum, Seiteneffekte derausgewählten Maßnahmen aufzudecken. Was-wäre-wenn-Überlegungen müssen angestellt werden,um die Seiteneffekte der ausgewählten Strategien zu erfassen.

(2) Festhalten an Reparaturstrategien

Reparaturstrategien sind nicht nur kostspielig, sie verursachen auch noch Folgeschäden, weil sieInterdependenzen zwischen den Systemkomponenten missachten. Die bessere Strategie ist, dieSystemkonstellationen zu finden, die zu Selbstregulation führt.

(3) Tendenz zur Überreaktion

Beim Steuern komplexer Systeme zeigen wir oft ein typisches Verhalten:

Zurückhaltung, wenn erste Korrekturmaßnahmen durchgeführt werden.

Heftige Eingriffe, wenn sich das Systemverhalten nicht verändert.

Notbremsung, sobald die ersten unbeabsichtigten Effekte im Systemverhalten eintreten.

Ein solches Steuerungsverhalten negiert, dass sich die Auswirkungen der ersten zaghaftenSteuerungsmaßnahmen infolge von Zeitverzögerungen unbemerkt kumuliert haben. Ein solchesZeitverhalten kann in Simulationen erforscht werden.

(4) Tendenz zum diktatorischen Verhalten

Das Gefühl, das Verhalten des Systems steuern zu können und der Glaube, alle Systemfunktionen zukennen, verführt oft zu einem diktatorischen Verhalten, das jedoch völlig ungeeignet ist im Umgang


mit komplexen Systemen. Ein Steuerungsansatz, der die inhärenten Systemregeln und –eigenschaften ausnutzt, ist wesentlich effektiver. Die kybernetischen Systemeigenschaften müssenidentifiziert werden, um Kontrollschleifen und Rückkopplungen ausnutzen zu können.

3 Ein denkbares Vorgehensmodell

Die methodische Herausforderung des Schutzes kritischer Infrastrukturen besteht darin, die oben

aufgeführten methodischen Unzulänglichkeiten zu vermeiden und Antworten auf folgende Fragen zu

finden:

Wie reagiert das System „Kritische Infrastrukturen“ auf bestimmte Ereignisse?

Wie robust und flexible ist das System?

Wie kann sein Systemverhalten verbessert werden?

Wie können kybernetische Eigenschaften zur Systemsteuerung ausgenutzt werden?

Was sind die kritischen und unkritischen Bereiche des Systems?

Vester, Probst and Gomez zeigten, dass die Methode des Vernetzten Denkens das Verhalten

komplexer Systeme hinreichend genau beschreiben kann, selbst wenn nur Rohdaten der einzelnen

Komponenten vorliegen, aber die Abhängigkeit der Komponenten untereinander erfasst sind.

Die Arbeitsschritte eines solchen Ansatzes sind in Abbildung 1 dargestellt. Obgleich in diesem Bild die

einzelnen Arbeitsschritte konsekutiv dargestellt sind, sind sie doch als rekursiver Prozess aufzufassen:

nach jedem Schritt kann zu einem der vorangegangenen Schritte zurückgesprungen und der

Sachverhalt entsprechend verändert werden.

Abbildung 1: Prozessmodell zum Schutz kritischer Infrastrukturen


3.1 Schritt 1: Zielfunktionen und Systemmodellierung

Eine korrekte Problembeschreibung ist ausschlaggebend für eine erfolgreiche Problemlösung.

Zusammenhang, Beziehungen und Interaktionen zwischen den Elementen müssen erfasst und

verstanden werden. Ebenso wichtig ist es, die wahren Zielsetzungen zu erkennen, die uns zu den

tatsächlichen Problemlösungen leiten. Allerdings sind in komplexen Situationen oft nur vage

Zielsetzungen anzutreffen und einzelne Zielfunktionen können auch im Interessenkonflikt stehen.

Zum Beispiel sind Überlebensfähigkeit, Risikominimierung, Shareholder Value, Versorgungssicherheit

und technische Funktionsfähigkeit oft genannte Zielfunktionen, wobei z.B. Maximierung des

Shareholder Value im Interessenkonflikt zu Risikominimierung stehen kann.

Abbildung 2: Kontrollmodell „Schutz kritischer Infrastrukturen“

Das Verhalten einer kritischen Infrastruktur kann gemäß Abbildung 2 als Kontrollmodell beschrieben

werden, wobei folgende Elemente zu unterscheiden sind:

Akteure wie z.B. Bedienungspersonal, Nutzer, Kunden

Kontrollierbare Faktoren wie Computer, Netzwerk, Verteiler etc.

Kriterien oder Indikatoren, die den Erreichungsgrad der Zielfunktion angeben.

Akteure kontrollieren die kontrollierbaren Faktoren. Umgekehrt beeinflussen die Indikatoren das

Verhalten der Akteure. Da kritische Infrastrukturen keine abgeschlossenen Systeme darstellen,

können auch externe Faktoren die kritische Infrastruktur beeinflussen. Beispiele für solche externe

von der Infrastruktur nicht direkt beeinflussbare Faktoren sind die Gesetzgebung und internationale

Standards. Diese Faktoren beeinflussen sowohl das Verhalten der Akteure als auch die internen von

der Infrastruktur direkt kontrollierbaren Faktoren. Externe und interne Faktoren beeinflussen den

Wert der Indikatoren und damit auch den Wert der Zielfunktion wie z.B. die technische


Funktionsfähigkeit. Der Wert der Zielfunktion wiederum veranlasst die Akteure, die internen

Faktoren zu ändern, wenn der wert der Zielfunktion außerhalb des Normalbereiches liegt.

3.2 Arbeitsschritt 2: Analyse der Kausalitäten

Geeignete Analysetools werden benötigt, um Beziehungen, Einflüsse und Zeitverhalten komplexer

System untersuchen und besser verstehen zu können. Die Darstellungen durch Netzwerke erlauben

uns, die Kausalitäten der Beziehungen zu beschreiben und ihre Eigenschaften zu analysieren. Dazu

wird zunächst dieses Bild um die Größen Zielfunktion und Kriterien zum Messen der Zielfunktion

erweitert (siehe Abbildung 3). Gemäß Abbildung 3 soll die Überlebensfähigkeit des Systems „Kritische

Infrastrukturen“ gewährleistet werden. Überlebensfähigkeit ist eine komplexe Funktion, die über

Kriterien oder Teilziele wie technische Funktionsfähigkeit, Akzeptanz und Umweltverträglichkeit

verfeinert wird. Akteure dieses Systems sind: Elektrizität, Telekommunikation, Wasser, Gas, Öl,

Transport. Alle Elemente sind mit Pfeilen verbunden, die die charakteristischen Beziehungen

zwischen den Elementen anzeigen.

Abbildung 3: System interdependenter kritischer Infrastrukturen

Die Farben der Pfeile sollen unterschiedliche Einflusssphären kennzeichnen: Schwarz für

physikalische Einflüsse, rot für Cyber-Einflüsse, braun für Managementeinflüsse und blau für

strategische Einflüsse.


Falls Element A das Element B beeinflusst, stellt sich die Frage, ob A eine verstärkende oder

dämpfende Wirkung auf B ausübt. Plus- oder Minus-Zeichen in der Pfeilspitze sollen diese

verstärkende oder dämpfende Wirkung anzeigen.

Zeitaspekte spielen ebenfalls eine wichtige Rolle im Systemverständnis. Planer schätzen die

Reaktionszeit des Systems oft falsch ein, wenn sie Korrekturmaßnahmen einleiten. Sie mögen zwar

die individuellen Antwortzeiten der einzelnen Elemente kennen, aber in aller Regel nicht die

vernetzten Zeitaspekte, die durch Rückkopplungen über mehrere Stationen hervorgerufen werden.

Die Erfahrung hat gezeigt, dass es oft schon ausreicht zwischen kurz-, mittel- und langfristig zu

unterscheiden, um zu brauchbaren Ergebnissen zu kommen. Allerdings können die Vorstellungen

über diese Zeitangaben von Sektor zu Sektor sehr unterschiedlich sein.

Die Dicke der Pfeile zeigt die Stärke der Beeinflussung an, denn nicht alle Beziehungen haben den

gleichen Effekt. Mit Hilfe der Beeinflussungsstärke lassen sich die Elemente in Klassen oder Rollen

einteilen:

Elemente, die das Verhalten des Gesamtsystems stark beeinflussen, ohne dass sie selbst stark

beeinflusst werden, werden als „aktive“ Elemente oder auch „Treiber“ bezeichnet.

Elemente, die andere nur schwach beeinflussen, aber selbst stark beeinflusst werden, werden

„reaktiv“ oder „passiv“ oder auch „getriebene“ Elemente genannt.

Elemente, die sowohl stark beeinflussen als auch stark beeinflusst werden, werden „kritisch“

genannt.

Elemente, die weder stark beeinflussen noch stark beeinflusst werden, werden als puffernde

Elemente bezeichnet.

Wie Abbildung 4 zeigt, wird in diesem Demonstrationsbeispiel der Sektor „Elektrizität“ als kritische

Größe, die Sektoren „Öl“, „Telekommunikation“ sowie „Transport/Verkehr“ als Treiber bzw. aktive

Größen, der Sektor „Erdgas“ als passive und „Wasser“ als puffernde Größe eingeschätzt.

Störungen der als „aktiv“ oder „kritisch“ gekennzeichneten Größen werden das Verhalten des

Gesamtsystems der hier abgebildeten kritischen Infrastrukturen empfindlich beeinflussen. Im

Störungsfall macht sich besonders negativ bemerkbar, dass in diesem Netzwerk keine dämpfende

Rückkopplungen enthalten sind, die auf die Infrastruktursektoren direkt einwirken könnten (siehe

Abbildung 5). Das heißt, das Gesamtsystem enthält keine Kontrollschleifen, die Selbstregulierung

auslösen oder fördern könnten.

Auf diesen Schwachpunkt wird in Arbeitsschritt 4 „Einflussanalyse“ (siehe Kapitel 3.4) noch genauer

eingegangen.


Abbildung 4: Die Rolle der Elemente

Abbildung 5: Verstärkende Rückkopplungen


3.3 Arbeitsschritt 3: Scenario Entwicklung

Komplexe Systeme verhalten sich nach ihren eigenen Regeln. Insofern kann ihre Zukunft nicht exakt

vorausgesagt werden. Aber es können Szenarien entwickelt und die daraus folgenden Konsequenzen

simuliert werden. In der Praxis hat es sich bewährt, ein Basis-Scenario mit Alternativen zu entwickeln

wie z.B. ein optimistisches und ein pessimistisches Scenario. Die Scenarioentwicklung erfordert

folgende Arbeitsschritte:

Festlegung des Zeithorizontes

Ermittlung der Einflussgrößen des Netzwerkes

Entwicklung des Basis-Scenarios

Entwicklung der alternativen Szenarien

Interpretation der Szenarien.

3.4 Arbeitsschritt 4: Einflussanalyse

In diesem Arbeitsschritt sollen die Kontroll- oder Steuerungsmöglichkeiten ermittelt werden. Die

Analyse der Steuerungsmöglichkeiten beinhaltet die Analyse von Rückkopplungsschleifen,

Selbstregulierungsmechanismen, Beeinflussungsstärken sowie Zeitverhalten. Hierbei ist zu beachten,

durch welche Maßnahmen die Elemente beeinflusst werden können und wer die Kompetenz dazu

hat. Maßnahmen und Kompetenzverteilung legen letztendlich die Auflösungsebene des Netzwerkes

fest.

Um gezielt Standards zur Vermeidung oder Milderung von Störungen in der Infrastruktur

„Elektrizität“ erlassen zu können, muss diese Infrastruktur genauer untersucht werden, was in

unserem Fall höhere Auflösung des Netzwerkes der Infrastruktur „Elektrizität“ bedeutet. Ein

mögliches Beispiel zeigt Abbildung 6.

In diesem Beispiel sind die Leitzentralen zur Energieerzeugung und zur Energieverteilung am

stärksten vernetzt, was auf eine Sonderstellung dieser beiden Größen schließen lässt. Gleichzeitig

werden beide Leitzentralen von der externen Größe IuK (Element 24) sehr stark beeinflusst. Die

Portfolio-Betrachtung (siehe Abbildung 7) bestätigt die obige Vermutung und weist die beiden

Leitzentralen als die kritischen Elemente des Netzwerkes aus.


Abbildung 6: Netzwerk „Elektrizität“ (Variante 1)

Einflußnahme

Beeinflussung Liste der Elemente

1 VersorgungssicherheitA 2 Verfügbarkeit GewerbeA 3 Verfügbarkeit IndustrieA 4 Verfügbarkeit HaushaltA 5 Verfügbarkeit Verkehr

6 RekonstitutionB 7 Wasserkraftwerke

8 konvent. therm. KW9 KKW

C 10 KW erneuerbareEnergie11 Raffinerien

B 12 Trsp Primärenergie13 Trsp Endenergie14 Leitzentr. Energieerzeugung15 Leitzentr. Trsp / Verteilung16 Leitungsgebunde Energie Verteilung17 Nichtleitungsgebundene Energie Verteilung18 Krisen-/Einsatzstab19 Medienarbeit20 Schlüsselpersonal21 Staatl. Sicherheitsdienste22 Medien

C 23 Verkehr24 Telekommunikation/IT

0 10 20 30 40 50 60 70 80 90 100

0

10

20

30

40

50

60

70

80

90

100

1

A6

B

8

9

C

11

13

14

15

1617

18

19

20

2122

24

Abbildung 7: Portfolio „Elektrizität“ (Variante 1)

Trotz starker Einflussnahme auf die Leitzentralen wird IuK (Element 24) als pufferndes Element

eingestuft und nicht als Treiber wie die Elemente 11, 16 und 17.


Geht man aber zum Beispiel von der Annahme aus, dass aus Kostengründen die Leitzentralen ihre

Kontrollfunktion über das Internet abwickeln und nicht mehr ein eigenes Steuerungsnetz aufrecht

erhalten, dann muss die Abhängigkeit der Leitzentrale von IuK als extrem hoch eingeschätzt werden,

was in Abbildung 8 angenommen wird.

Abbildung 8: Netzwerk „Elektrizität“ (Variante 2)


Dieser Eingriff in das Netzwerk bewirkt, dass IuK zum Treiber des Netzwerkes wird. Die beiden

Leitzentralen werden weiterhin als die kritischen Elemente eingeschätzt (siehe Abbildung 9).

Abbildung 9: Portfolio „Elektrizität“ (Variante 2)

Die Konsequenz bei der Absicherung der kritischen Infrastruktur „Elektrizität“ muss also sein, vor

allem diese drei Größen einer genaueren Analyse und Beobachtung zu unterziehen. Dies bedeutet,

dass die beiden Leitzentralen weiter aufgelöst werden müssen (höhere Aggregationsebene), um den

Einfluss von IuK auf die Leitzentralen und der Einfluss der Leitzentralen auf die anderen Größen

genauer analysieren zu können.

3.5 Arbeitsschritt 5: Lösungsstrategien und Maßnahmen

Die Ermittlung von Lösungsstrategien und Steuerungsmaßnahmen ist ein kreativer Prozess, der den

Planer vor große Herausforderungen stellen kann. So zeigt z.B. das Netzwerk in Abbildung 3 auf Seite

83 nur selbst verstärkende Rückkopplungen, Ansätze zur Selbstregulation fehlen vollständig. Das

bedeutet, dass dieses System kritischer Infrastrukturen instabil und nicht fehlertolerant ist.

Fordert man aber auf der hohen Aggregationsebene von Abbildung 3 die Möglichkeit

der Selbstregulation, dann muss die Topologie des Netzwerkes geändert werden. Zu diesem Zwecke

soll jetzt eine Regulierungsbehörde für „Elektrizität“ eingeführt werden (siehe Abbildung 10), die z.B.

über Verschärfung von Standards technischen Unzulänglichkeiten oder umweltschädlicher

Stromerzeugung entgegenwirken kann.


Abbildung 10: Einführung einer Regulierungsbehörde „Elektrizität“

Mit der Einführung der Regulierungsbehörde können in diesem Netzwerk mindestens zwei

Selbstregulierungsschleifen identifiziert werden (siehe Abbildung 11).


Abbildung 11: Selbstregulation im erweiterten Netzwerk

In diesem Fall können mindestens zwei Rückkopplungsprozesse mit der Fähigkeit zur

Selbstregulierung identifiziert werden:

(1) Kontrolle der technischen Funktionsfähigkeit: Falls die Regulierungsbehörde eine

Verschlechterung der technischen Funktionsfähigkeit des Gesamtsystems feststellt, die

beispielsweise durch geringere Leistungsfähigkeit der Elektrizitätswirtschaft hervorgerufen

werden könnte, dann kann sie dieser Entwicklung durch Verabschiedung strengerer Standards

entgegenwirken und so zu einer Verbesserung der technischen Funktionsfähigkeit des

Gesamtsystems beitragen.

(2) Kontrolle der Umweltverträglichkeit: Falls die Regulierungsbehörde abnehmende

Umweltverträglichkeit feststellt, die beispielsweise durch zu starke Berücksichtigung

konventioneller Kraftwerke verursacht sein könnte, dann kann sie dieser Entwicklung durch

entsprechende Auflagen entgegenwirken und so zu einer Verbesserung der

Umweltverträglichkeit beitragen.

Dieses einfache Beispiel soll zeigen, wie durch Veränderung der Systemtopologie das

Systemverhalten stabilisiert werden kann.

3.6 Arbeitsschritt 6: Entwicklung robuster und anpassungsfähiger

Problemlösungen

Die Problemlösungen sollten so ausgewählt werden, dass sie auch unter widrigen Umständen

beibehalten werden können, indem sie sich der veränderten Situation anpassen können. Das heißt,

Reparatur- und Anpassungseigenschaft müssen in die Problemlösung integriert werden. Dazu ist ein

Kontrollprozess zu installieren, der die notwendigen Korrekturmaßnahmen erkennt und initiiert.

Voraussetzung hierfür ist, dass das System über Frühwarnsignale verfügt, die Abweichungen so früh

wie möglich anzeigen. Um aber Frühwarnsignale bestimmen zu können, müssen Erkenntnisse über

das Zeitverhalten des Systems vorliegen. Solche Erkenntnisse können mit Simulationen erforscht

werden. Ebenso können Kaskadeneffekte, die auf den Interdependenzen der Infrastrukturen

beruhen, mit Simulationen aufgezeigt werden wie die folgenden Beispiele einer dynamischen

Analyse kritischer Infrastrukturen zeigen.


4 Dynamische Analyse der kritischen Infrastrukturen

Die Simulation kritischer Infrastrukturen basiert auf den in den vorangegangenen Kapitelen

vorgestellten Netzwerken. Diese Netzwerke werden mit Hilfe einer Simulationssprache in eine

logische Struktur transferiert, die auf der Systems Dynamics Methode basiert. Diese Methode erlaubt

die dynamische Darstellung aller erfassten Parameter mit ihren Interaktionen.

So sind in Abbildung 12 die Infrastrukturen aufgeführt, die in der Simulation zur Zeit abgebildet sind.

Darüber hinaus zeigen die Verbindungslinien zwischen den Infrastrukturen deren vielfältigen

Interaktionsprozesse an. Potentielle Störungen – verursacht durch Terroranschläge,

Naturkatastrophen oder große Unfälle – verursachen Probleme im Betrieb der Infrastrukturen. In der

Simulation reagieren die Variablen auf solche Einwirkungen durch einen Abfall ihrer

Produktionskurven, die sich hinsichtlich Schwere und Dauer deutlich unterscheiden können.

Abbildung 12: Startbild der Simulation


Zunächst wollen wir davon ausgehen, dass in den ersten 6 Stunden keine Störung in den

Infrastrukturen auftreten. In diesem Fall arbeiten alle im Normalbetrieb, was in der Simulation

bedeutet, dass die Produktivität mit dem Wert 0,9 beschrieben wird (siehe Abbildung 13).

Nach den sechs Stunden ungestörten Betriebes wird angenommen, dass eine extreme schwere

Störung in der Energieverteilung auftritt, die über ein entsprechendes Eingabefenster eingegeben

werden kann (siehe Abbildung 14).

Abbildung 13: Simulation im ungestörten Falles


Abbildung 14: Eingabe einer extrem schweren Störung in der Energieverteilung

Darüber hinaus wird angenommen, dass diese Störung erst nach 12 Stunden behoben werden kann.

Die Auswirkungen dieser Störung auf die einzelnen Infrastrukturen zeigen die Abbildung 15 bis

Abbildung 17. Nach einer kurzen Verzögerung macht sich die Störung der Energieverteilung in der

Infrastruktur „Transport & Verkehr“ bemerkbar, nicht aber in der Telekommunikation, weil diese

über Notstrom verfügt.

Sobald die Störung in der Energieverteilung beseitigt ist, reagieren die Kurvenverläufe der

Infrastruktur „Energie“ und streben dem Normalwert entgegen, den sie aber erst mit einer

Zeitverzögerung erreichen können (Abbildung 18).

Ein solcher Trend, wenn auch mit wesentlich größerer Zeitverzögerung, lässt sich bei den Kurven der

Infrastruktur „Transport & Verkehr“ beobachten (Abbildung 20), wogegen die Kurven der

Infrastruktur „Telekommunikation“ erst jetzt auf die Störung reagieren, deren Auswirkungen noch

nicht ganz überwunden sind (Abbildung 19). Der Grund ist, dass in der Simulation eine

Notstromversorgung von 12 Stunden für die Telekommunikation angenommen wird.

Diese Beispiele zeigen, dass sich die Störung in der „Energie“ kaskadenartig auf die anderen

Infrastrukturen ausbreitet, aber mit unterschiedlicher Geschwindigkeit und Auswirkung.


Abbildung 15: Simulationsverlauf „Energie“ im gestörten Fall


Abbildung 16: Simulationsergebnisse der Infrastruktur „Telekommunikation“


Abbildung 17: Simulationsergebnisse der Infrastruktur „Transport & Verkehr“

Abbildung 18: Simulationsverlauf „Energie“ nach Beseitigung der Störung


Abbildung 19: Simulationsverlauf „Telekommunikation“ nach Beseitigung der Störung

Abbildung 20: Simulationsverlauf „Transport&Verkehr“ nach Beseitigung der Störung


5 Empfehlungen

(1) Der Schutz wirtschaftlicher Systeme war bisher nicht gegen Terror ausgerichtet, sondern auf

Gegenspionage und / oder Wirtschaftsspionage. Hier muss dringend nachgebessert werden. Bin

Laden drohte unverhohlen auch der amerikanischen Wirtschaft. Diese Drohung muss ernst

genommen werden. Sie wird im Erfolgsfall unmittelbare Auswirkung auch auf Europa und die

Weltwirtschaft haben. Bin Laden und seine Unterstützer haben umsichtige Planung und

weitsichtiges Handeln nachgewiesen. Allein schon die Nutzung der dort konzentrierten

wirtschaftlichen Macht kann Turbulenzen an Börsen hervorrufen, da ein Handeln nicht auf

Gewinnmaximierung ausgerichtet sein wird, sondern auf Schadensmaximierung. Terroristen mit

diesen Fähigkeiten sind in der Lage, Schwachpunkte kritischer Infrastrukturen zu identifizieren

und geeignete Angriffsstrategien zu ermitteln, um mit einem Minimum an Risiko und Aufwand

ein Maximum an Schaden und öffentlicher Aufmerksamkeit zu erreichen.

(2) Zum Schutz kritischer Infrastrukturen sind Werkzeuge zu entwickeln sind, die zum einen das

Zusammenspiel kritischer Infrastrukturen mit und ohne Störungen simulieren können und zum

andern dem Planer helfen, die kybernetische Eigenschaften des Gesamtsystems aufzudecken und

zu verstehen. Nur so kann entschieden werden, ob Eingriffe in das System zur Beeinträchtigung

seiner Überlebensfähigkeit führen oder nicht und welche Maßnahmen die Überlebensfähigkeit

stabilisieren bzw. verbessern.

(3) Simulationen sind hilfreich, um die Dynamik des Systems untersuchen zu können. Sie lassen den

Planer erkennen, wie empfindlich das System reagiert und wo die Risiken liegen, welche

Vorsichtsmaßnahmen zu ergreifen sind, um die Stabilität zu verbessern, und wie kritische

Bereiche geschützt werden können.

(4) Sensitivitätsanalysen mittels Simulationen decken auf, welche Parameter geändert werden

sollten, um die gewünschten Ergebnisse zu erzielen. Sie geben Aufschluss, wo

Steuerungsmaßnahmen sinnvoll sind oder nicht. Unter Berücksichtigung kybernetischer Regeln

kann so das System „Kritische Infrastrukturen“ kontinuierlich hinsichtlich seiner

Überlebensfähigkeit verbessert werden.

-----------------------------Software for example:

GAMMA 4.2 (current version) An instructive german tutorial can be downloaded :http://www.topsim.com/downloads/gamma/GAMMA%204%20Tutor.pdf

PowerSim Studio Express 7



13 P. Gomez: Ganzheitliches Problemlösen


Aus Gomez, Peter; Probst, Gilbert: “Die Praxis des ganzheitlichen Problemlösens”, Haupt Verlag(www.haupt.ch), 1999, 133-134

Computerunterstützte Simulationsmodelle

In den letzten Jahren sind einige PC-taugliche Programmpakere auf den Markt gekommen, die eserlauben, auf dem vernetzten Denken basierende Systemmodelle abzubilden und zu simulieren. Diewichtigsten drei Pakete seien hier kurz vorgestellt.

Das Programm Gamma (Tata Interactive Systems) bietet mehrere Analysefunktionen an, die demBereich Simulation zugeordnet werden können. Hierzu gehören die Untersuchung derWirkungsausbreitung (welche Elemente sind betroffen, wenn Eingriffe an einem bestimmtenElement erfolgen?) und der Wirkungsaufnahme (von welchen Elementen wird ein bestimmtesElement beeinflusst?), die Riickkoppelungsanalyse (welche geschlossenen Wirkungsketten liegen imuntersuchten System vor?) und vor allem die Zeitanalyse. Bei dieser wird nach einem Eingriff imSystem die Veränderung der einzelnen Elemente im Zeitablauf dargestellt. Hervorzuheben ist dieeinfache Bedienung des Programms. Es eignet sich vor allem für Problemlösende, die ihre Resultatedes vernetzten Denkens dokumentieren und einfache Zusammenhänge durchspielen möchten.

Als zweites sind die von VESTER entwickelten sm-Tools zu erwähnen. Diese sollen zurRationalisierung der Arbeit mit Netzwerken beitragen und die Möglichkeit der Simulation eröffnen.Das Programmpaket dient zum einen als Protokollierungsinstrument und Arbeitshilfe während desProblemlösungsprozesses, anderseits werden einige Schritte auch automatisiert, und es existiert eineSimulationsfunktion. Die Benutzer haben die Möglichkeit. den Ablauf der Simulation zu steuern undauch während dieser in das Geschehen einzugreifen. Während der Simulationen lassen sich dieWerte der einzelnen Elemente anhand von Balkendiagrammen innerhalb des Netzwerkes darstellen,und der gesamte Simulationsverlauf kann mit Hilfe von Liniendiagrammmen und Histogrammenvisualisiert werden. Hieraus erhält man Aufschluss über relative Veränderungen der Systemelemen-te, nicht jedoch über deren absolute Werte. Die Simulationsfunktion kann für einfacheSensitivitätsanalysen eingesetzt werden, eine vollwertige Simulation im engeren quantitativen Sinnewird nicht geboten. Der sehr hohe Lizenzpreis dürfte es den meisten Anwendern zum vornherein un-möglich machen, diese Sofnvare zu benutzen.

Eine letzte Gruppe von Programmen bilden die auf System Dynamics basierendenSoftwarewerkzeuge ithink! oder Powersim. Sie sind vollständig quantitativ ausgerichtet, und dieSimulation steht klar im Mittelpunkt. Die Verwendung dieses Instrumentariums erfordert dieQuantifizierung und mathematische Darstellung aller Beziehungen des Netzwerkes untereinander.Der damit verbundene Arbeitsaufwand ist enorm. Die Möglichkeiten der Beschreibung der Wirkungs-beziehungen ist jedoch bedeutend ausgefeilter als bei den anderen Programmen. Die Simulationkann interaktiv erfolgen, Sensitivitätsanalysen lassen sich einfach durchführen und dokumentieren,graphische und tabellarische Darstellungen können problemlos erstellt werden. Der Lerneffekt fürdie Problemlösenden ist unseres Erachtens sehr gross. Preislich liegen diese Softwarepakete imRahmen, aber ihr Einsatz erfordert doch einen gewaltigen Aufwand der Quantifizierung.

Wir haben in der Praxis festgestellt, dass es in den weitaus meisten Fällen genügt, mitPapiermodellen und gedanklichen Simulationen zu arbeiten. Dabei dürfen der Gruppeneffekt und dieschrittweise Erarbeitung der Szenarien nicht unterschätzt werden. Sie sind einer noch so detailliertenund komplizierten Computersimulation durch Experten und der Kenntnisnahme der Ergebnisse inForm von Endberichten vorzuziehen, da so kaum ein Gefühl und Verständnis für das Systemverhalten


entwickelt werden kann. Eine Weiterentwicklung der heutigen Programmpakete kann aber auchdiese zu einem wertvollen Instrument für Problem für problemlöser werden.



14 J. Sterman: Skeptic’s Guide to Computer Models


John D. Sterman, “ A Skeptic’s Guide to Computer Models”, 1998Prof. Sterman is Director of the MIT System Dynamics Group and Professor of Management Scienceat the Sloan School of Management at M.I.T.

(see: http://www.clexchange.org/ftp/documents/system-dynamics/SD1998-02SkepticsGuideTMods.pdf)

Simulation

The Latin verb simulare means to imitate or mimic. The purpose of a simulation model is to mimicthe real system so that its behavior can be studied. The model is a laboratory replica of the realsystem, a microworld (Morecroft 1988). By creating a representation of the system in the laboratory,a modeler can perform experiments that are impossible, unethical, or prohibitively expensive in thereal world.

Simulations of physical systems are commonplace and range from wind tunnel tests of aircraft designto simulation of weather patterns and the depletion of oil reserves. Economists and social scientistsalso have used simulation to understand how energy prices affect the economy, how corporationsmature, how cities evolve and respond to urban renewal policies, and how population growthinteracts with food supply, resources, and the environment. There are many different simulationtechniques, including stochastic modeling, system dynamics, discrete simulation, and role-playinggames. Despite the differences among them, all simulation techniques share a common approach tomodeling.

Optimization models are prescriptive, but simulation models are descriptive. A simulation modeldoes not calculate what should be done to reach a particular goal, but clarifies what would happen ina given situation. The purpose of simulations may be foresight (predicting how systems might behavein the future under assumed conditions) or policy design (designing new decision-making strategiesor organizational structures and evaluating their effects on the behavior of the system).

In other words, simulation models are “what if” tools. Often such “what if” information is moreimportant than knowledge of the optimal decision.

Every simulation model has two main components. First it must include a representation of thephysical world relevant to the problem under study.

How much detail a model requires about the physical structure of the system will, of course, dependon the specific problem being addressed.

In addition to reflecting the physical structure of the system, a simulation model must portray thebehavior of the actors in the system. In this context, behavior means the way in which peoplerespond to different situations, how they make decisions. The behavioral component is put into themodel in the form of decision-making rules, which are determined by direct observation of the actualdecision-making procedures in the system.

Given the physical structure of the system and the decision-making rules, the simulation model thenplays the role of the decision makers, mimicking their decisions. In the model, as in the real world,the nature and quality of the information available to decision makers will depend on the state of thesystem. The output of the model will be a description of expected decisions. The validity of the


model’s assumptions can be checked by comparing the output with the decisions made in the realsystem.

L imitations of Simulation

Any model is only as good as its assumptions. In the case of simulation models, the assumptionsconsist of the descriptions of the physical system and the decision rules. Adequately representing thephysical system is usually not a problem; the physical environment can be portrayed with whateverdetail and accuracy is needed for the model purpose. Also, simulation models can easily incorporatefeedback effects, nonlinearities, and dynamics; they are not rigidly determined in their structure bymathematical limitations as optimization models often are. Indeed, one of the main uses ofsimulation is to identify how feedback, nonlinearity, and delays interact to produce troublingdynamics that persistently resist solution.

Simulation models do have their weak points, however. Most problems occur in the description ofthe decision rules, the quantification of soft variables, and the choice of the model boundary.

Accuracy of the Decision Rules

The description of the decision rules is one potential trouble spot in a simulation model. The modelmust accurately represent how the actors in the system make their decisions, even if their decisionrules are less than optimal. The model should respond to change in the same way the real actorswould. But it will do this only if the model’s assumptions faithfully describe the decision rules thatare used under different circumstances. The model therefore must reflect the actual decision-makingstrategies used by the people in the system being modeled, including the limitations and errors ofthose strategies.

Unfortunately, discovering decision rules is often difficult. They cannot be determined fromaggregate statistical data, but must be investigated first hand. Primary data on the behavior of theactors can be acquired through observation of actual decision making in the field, that is, in theboardroom, on the factory floor, along the sales route, in the household. The modeler must discoverwhat information is available to each actor, examine the timeliness and accuracy of that information,and infer how it is processed to yield a decision. Modelers often require the skills of theanthropologist and the ethnographer. One can also learn about decision making through laboratoryexperiments in which managers operate simulated corporations. The best simulation modeling drawson extensive knowledge of decision making that has been developed in many disciplines, includingpsychology, sociology, and behavioral science.

Soft Variables.

The majority of data are soft variables. That is, most of what we know about the world is descriptive,qualitative, difficult to quantify, and has never been recorded. Such information is crucial forunderstanding and modeling complex systems. Yet in describing decision making, some modelerslimit themselves to hard variables, ones that can be measured directly and can be expressed asnumerical data. They may defend the rejection of soft variables as being more scientific than “makingup” the values of parameters and relationships for which no numerical data are available. How, theyask, can the accuracy of estimates about soft variables be tested? How can statistical tests beperformed without numerical data? Actually, there are no limitations on the inclusion of softvariables in models, and many simulation models do include them.


After all, the point of simulation models is to portray decision making as it really is, and softvariables—including intangibles such as desires, product quality, reputation, expectations, andoptimism – are often of critical importance in decision making. Imagine, for example, trying to run aschool, factory, or city solely on the basis of the available numerical data. Without qualitativeknowledge about factors such as operating procedures, organizational structure, political subtleties,and individual motivations, the result would be chaos. Leaving such variables out of models justbecause of a lack of hard numerical data is certainly less “scientific” than including them and makingreasonable estimates of their values. Ignoring a relationship implies that it has a value of zero—probably the only value known to be wrong!

Of course, all relationships and parameters in models, whether based on soft or hard variables, areimprecise and uncertain to some degree. Reasonable people may disagree as to the importance ofdifferent factors. Modelers must therefore perform sensitivity analysis to consider how theirconclusions might change if other plausible assumptions were made. Sensitivity analysis should notbe restricted to uncertainty in parameter values, but should also consider the sensitivity ofconclusions to alternative structural assumptions and choices of model boundary.

Sensitivity analysis is no less a responsibility for those modelers who ignore soft variables. Apparentlyhard data such as economic and demographic statistics are often subject to large measurementerrors, biases, distortions, and revisions. Unfortunately, sensitivity analysis is not performed orreported often enough. Many modelers have been embarrassed when third parties, attempting toreplicate the results of a model, have found that reasonable alternative assumptions produceradically different conclusions.

Model Boundary.

The definition of a reasonable model boundary is another challenge for the builders of simulationmodels. Which factors will be exogenous, which will be endogenous? What feedbacks will beincorporated into the model? In theory, one of the great strengths of simulation models is thecapacity to reflect the important feedback relationships that shape the behavior of the system and itsresponse to policies. In practice, however, many simulation models have very narrow boundaries.They ignore factors outside the expertise of the model builder or the interests of the sponsor, and indoing so they exclude important feedbacks. The consequences of omitting feedback can be serious.

Example: Econometrics (for details read complete article, please.)