🛡️

From Critical Infrastructure to Coupled System Governance

A Structure-Space Model for the 21st Century

The model is intentionally coarse at the top level; engineering resolution is provided via sub-layer annexes and interface specifications.

Abstract

Title: From Critical Infrastructure to Coupled System Governance: A Structure-Space Model for the 21st Century

Abstract:

Contemporary security and resilience challenges increasingly arise from tight coupling across energy, communications, logistics, healthcare, and governance rather than from isolated sector failures. Classical static infrastructure models fail to capture non-linear cascade dynamics, primarily driven by a temporal mismatch: executable Control & Logic layers operate at machine speed (milliseconds to seconds) while governance reacts on human timescales (hours to weeks).

This paper introduces Coupled System Governance grounded in a dynamic Structure-Space Model comprising six interacting layers: Geo, Infrastructure, Control & Logic, Data, Process, and Governance. The key resilience principle is the strict separation of volatile executable logic from persistent data assets, enabling “recovery by replacement” (disposable logic) without data loss.

We further propose fragmented persistence (erasure-coded, encrypted data shards with key separation) and policy-driven placement, where energy availability acts as a resilience constraint and optimization target under safety, legal, and latency requirements. The model yields methodological implications for node-centric risk mapping, cross-layer simulation, and pre-authorized operational playbooks capable of managing rare, high-impact regime shifts and cascade collapses (“Black Swan-class” events) in deeply coupled systems.

Abstract DE

Konventionelle KRITIS-Modelle behandeln Infrastruktur als statische Sektoren. Risiken des 21. Jahrhunderts entstehen jedoch primär aus Kopplungen und eskalieren als Kaskaden. Der zentrale Treiber ist die zeitliche Dissonanz: ausführbare Steuerlogik operiert in Millisekunden/Sekunden, während Governance in Stunden/Tagen/Wochen reagiert. Dadurch entstehen nicht-lineare Zusammenbrüche bis hin zu seltenen, hochwirksamen Regimewechseln („Black Swan“-Klasse) – nicht als Zufallsmystik, sondern als Kollapspunkt gekoppelter Felder außerhalb des validierten Betriebsbereichs.

Dieses Paper führt Coupled System Governance ein und operationalisiert sie mit einem Structure-Space Model aus sechs Layern: Geo – Infrastruktur – Control & Logic – Data – Process – Governance. Resilienz entsteht durch die harte Trennung von volatiler Exekutiv-Logik und persistenten Daten: Logik muss im Krisenfall disposable sein (Recovery by Replacement), Daten müssen rekonstruierbar und integritätsgesichert bleiben.

Als Mechanismen werden fragmentierte Persistenz (verschlüsselte, erasure-coded Datenfragmente mit Schlüsseltrennung) und policy-basierte Platzierung vorgeschlagen: Energie ist ein Parameter, aber nicht der Steuermann – Safety/Legal/Latency dominieren. Methodisch folgt daraus: Knoten-Kartografie statt Sektorenlogik, Zeitskalenmodellierung, Cross-Layer-Simulation und vorautorisierte Playbooks.

1. Introduction

Kritische Infrastrukturen (KRITIS) wurden historisch als diskrete Sektoren (Energie, Wasser, IT, Transport) behandelt. Risiken des 21. Jahrhunderts entstehen jedoch zunehmend zwischen diesen Sektorgrenzen – durch Systemkopplung, Konvergenz und beschleunigte Steuerlogik.

Lineare Prognosemodelle versagen bei der Erfassung nicht-linearer Dynamiken wie Kaskaden, korrelierten Ausfällen und Regimewechseln. Ein modernes Resilienz-Framework muss daher von der statischen „Fortress Defense“ (Schutz einzelner Objekte/Standorte) zu einer dynamischen Coupled System Governance (Schutz der Funktion durch steuerbare Zustandswechsel) übergehen. Dazu ist eine neue ontologische Schichtung der Infrastruktur erforderlich.

2. The Structure-Space Model (6-Layer Architecture)

Um die Komplexität gekoppelter Systeme handhabbar zu machen, erweitert dieses Paper klassische KRITIS-Ansätze um ein 6-Schichten-Modell. Die entscheidende Neuerung ist die explizite Trennung von Hardware, ausführbarer Logik und Daten – inklusive der Möglichkeit, Zeitskalen und Kaskaden pro Layer zu modellieren.

Layer 1: Geo Layer (The Context). Definition: physischer Raum, territoriale Jurisdiktion, Klima, Topografie, See- und Lufträume. Relevanz: Rahmenbedingungen für Energieautarkie, Beweglichkeit, Zugang und Wiederherstellbarkeit.

Layer 2: Infrastructure Layer (The Hardware). Definition: physische Assets (Glasfasertrassen, Kabelbrücken, Umspannwerke, Rechenzentren, Pumpstationen, Rohrleitungen, Klinikinfrastruktur). Funktion: Bereitstellung von Kapazität und physischer Leistungsfähigkeit. Prinzip: Assets sind nicht beliebig austauschbar; aber die Systemintelligenz darf nicht an einzelne Objekte gebunden sein. Austauschbarkeit ist ein Designziel, kein Ausgangszustand.

Layer 3: Control & Logic Layer (The Orchestrator). Definition: ausführbare Steuerung (SCADA/ICS-Logik, Automationen, Orchestrierung über Hypervisoren/Container, Entscheidungslogik, KI-Modelle). Funktion: Übersetzt Daten in Aktionen/Prozesse und koppelt IT/OT praktisch über Code. Risiko: Hauptquelle von Beschleunigung und Fehlreaktion (zeitkritisch, kaskadenfähig). Konsequenz: Muss im Krisenfall isolierbar, in einen Safe Mode überführbar und ersetzbar sein.

Layer 4: Data Layer (The Persistent Asset). Definition: passive Informationsbestände (Logs, Transaktionsdaten, Sensorhistorien, Patientenakten). Ziel: persistent, rekonstruierbar, minimal exponiert, nachweisbar integer.

Layer 5: Process Layer (The Value Chain). Definition: organisatorische und sozio-ökonomische Abläufe (Versorgung, Wartung, Reparatur, medizinische Behandlung, Logistikflüsse). Bedeutung: Hier manifestiert sich Funktionsfähigkeit oder Kollaps.

Layer 6: Governance Layer (The Strategy). Definition: strategische Entscheidungen, Recht/Normen, Priorisierung, Aufsicht, Human-in-the-Loop-Entscheide. Herausforderung: langsame Zeitskala im Vergleich zur Ausführungsschicht; benötigt Vorab-Legitimierung für Stunde 0–6.

2.1 Querschnitt: Trust Plane (Identity, Keys, Update Governance)

Identitäten, Schlüssel, Attestierung und Update-Pfade sind keine Option, sondern eine durchgehende Trust Plane über alle Layer. Ohne souveräne Trust Plane werden Sharding, Mobilität und Disposability angreifbar, da starke Gegner nicht Fragmente jagen, sondern Control Plane und Schlüssel kompromittieren.

Minimalprinzipien: Schlüsseltrennung/Threshold (M-of-N) organisatorisch und geographisch separiert; signierte Updates, reproduzierbare Builds und Supply-Chain-Governance; Break-glass-Recovery (offline) für Krisenbetrieb.

2.2. Bewegungen zwischen den Layern und mögilche Bruchstellen

Beispielhafte Flüsse die zwischen den Layern laufen:

Energy Flow (Geo/Infra → Process; beeinflusst Data/Logic über Verfügbarkeit)
Material Flow (Infra/Process ↔ Process; Logistik/Repair)
People Flow (Process ↔ Governance; Evakuierung, Versorgung, Workforce)
Control Flow (Governance → Control&Logic → Infrastructure/Process)
Data Flow (Sensors/Logs → Data → Control&Logic/Governance)
Trust Flow (Identity/Keys/Attestation/Updates → alle Flüsse)

Bruchlinien und Beschleuniger (operativ):

Die größten Ausfallrisiken entstehen nicht in einzelnen Sektoren, sondern an Bruchlinien zwischen Layern und Akteursdomänen: IT/OT-Übergänge, Control Plane vs Data Plane, Zuständigkeitsgrenzen (Bund/Land/Privat), Supply-Chain/Update-Pfade, Energy–Comms-Kopplungen und Engpässe bei Betrieb/Wartung/Repair. Kaskaden werden durch Beschleuniger verstärkt: Automationsgeschwindigkeit (ms) versus Governance (h–w), geringe Puffer (low slack), Monokulturen, Zentralisierung von Steuerung/Identität sowie intransparente Interdependenzen. Resilienz ist daher die Fähigkeit, trotz dieser Bruchlinien kontrollierte Zustandswechsel (Normal → Degraded → Islanded → Recovery) auszuführen.

3. Coupling and Acceleration Dynamics

Systeminstabilität entsteht primär im Control & Logic Layer (Layer 3). Während Governance (Layer 6) in Tagen oder Wochen reagiert, operiert Steuerlogik in Millisekunden. Diese zeitliche Dissonanz ist ein Haupttreiber für Kaskadeneffekte.

Black Swan (präzise verwendet): In diesem Kontext bezeichnet „Black Swan“ keinen romantischen Zufall, sondern eine seltene, hochwirksame Regimeverschiebung außerhalb des validierten Betriebsbereichs. Wenn volatile Steuerlogik auf unvorhergesehene physische Zustände trifft und schneller handelt, als Governance intervenieren kann, entsteht ein Kipp-Punkt – ein Ereignis mit massiver Wirkung, das im Nachhinein rationalisiert wird.

Konsequenz: Der Control & Logic Layer ist im Krisenfall als volatil zu behandeln: Er muss schnell isoliert, in Safe Mode gesetzt oder ersetzt werden können, ohne die Datenbasis (Layer 4) zu gefährden.

4. Resilience Strategy: The Energy–Data Nexus

4.1 Fragmented Persistence (Erasure Coding + Verschlüsselung + Schlüsseltrennung)

Anstatt monolithische Datenbanken an einem Ort zu speichern (Single Point of Failure), nutzt das System fragmentierte Persistenz. Daten werden client-seitig verschlüsselt (key-separiert) und über Erasure Coding in Fragmente zerlegt (k-of-n Rekonstruktion). Die Fragmente werden über verschiedene Geo- und Jurisdiktionszonen verteilt. Schlüssel sind nicht am gleichen Ort wie Fragmente konzentriert, sondern als Quorum (M-of-N) organisatorisch und räumlich getrennt.

Resilienz: Ausfall einzelner Knoten wird tolerierbar; Rekonstruktion bleibt möglich. Sicherheit: Zugriff auf Einzelknoten liefert ohne Schlüssel/Quorum keinen verwertbaren Datensatz und reduziert die Wirksamkeit physischer Eroberung oder gezielter Sabotage.

4.2 Policy-Driven Placement (energy-aware, security-aware)

Datenfragmente und Workloads sind nicht zwingend stationär, aber Mobilität ist kein Selbstzweck. Die Platzierung folgt einer Policy-Hierarchie:

Safety/Legal/Latency (harte Constraints): Kritische Prozesse und Daten dürfen nur dort betrieben werden, wo Sicherheitsanforderungen, Jurisdiktion/Compliance und Latenzgrenzen erfüllt sind.
Security Posture (harte Constraints): Vertrauensniveau der Standorte, Angriffslage, Integritätsanforderungen, Schlüssel- und Identitätsbedingungen sowie kontrollierte Betriebsmodi.
Energy Availability (Optimierungsziel): Innerhalb dieser Constraints kann Workload/Storage energieadaptiv platziert werden (energy-aware placement), etwa zur Nutzung lokaler Autarkie oder zur Entkopplung von instabilen Netzen.

Moving Target Defense ist dabei eine optionale Sicherheitsstrategie innerhalb von (2): Mobilität kann gezielt eingesetzt werden, um statische Angriffsplanung zu erschweren – jedoch nur dort, wo sie Determinismus, Betriebssicherheit oder Compliance nicht verletzt.

5. Methodological Implications

Aus dem Modell ergeben sich konkrete Anforderungen für Planung, Simulation und Betrieb:

Logic–Data Separation: Simulationen müssen zwischen Corruption of Logic (Vertrauensverlust in die Ausführungsschicht) und Loss/Corruption of Data (Informationsverlust bzw. Integritätsbruch) unterscheiden.
Disposability: Der Control & Logic Layer muss „cattle, not pets“ sein – Recovery by Replacement als Standarddesign, inklusive Safe Mode.
Node-centric Mapping: Risikoanalyse wird knotenbasiert: Kopplungsgrad, Time-to-Failure, Substituierbarkeit/Umleitung, MTTR (Repairability), Jurisdiktions- und Akteurskomplexität.
Cross-layer Simulation: Modelle müssen fat tails, korrelierte Ausfälle und Regimewechsel abbilden – nicht nur lineare Einzelausfälle.
Pre-authorized Playbooks: Governance muss für Stunde 0–6 vorentschieden haben (Prioritäten, Zuständigkeiten, Umschaltungen), sonst ist sie systemisch zu langsam.

6. Conclusion

KRITIS muss den Übergang vom Sektorschutz zur Coupled System Governance vollziehen. Das Structure-Space Model liefert dafür ein analytisches Fundament. Resilienz bedeutet im 21. Jahrhundert: physische Infrastruktur ist verletzlich und muss funktional entkoppelt werden; Logik ist souverän, aber im Krisenfall disposable und safe-mode-fähig; Daten sind persistent, rekonstruierbar, integritätsgesichert – und placement-policy-gesteuert. Nur durch diese Entkopplung bei gleichzeitiger operativer Kopplungssteuerung kann Autarkie und Systemstabilität in einer hypervernetzten Welt gewährleistet werden.

Authors: Miriam Schnürer & AI Gemini & OpenAI ChatGPT (GPT-5.2 Thinking) (AI Co-Author)

💡

Contribution Statement (Human–AI Co-Creation)

Dieser Text ist das Ergebnis einer Human–AI Co-Creation. Miriam Schnürer verantwortet konzeptionellen Rahmen, strategische Setzungen, Priorisierung und finale inhaltliche Validierung sowie Freigabe. ChatGPT (GPT-5.2 Thinking) wirkt als Co-Autor an Strukturierung, Ausformulierung, Konsistenzprüfung der Modelllogik, Präzisierung von Definitionen und iterativer Schärfung im Dialog mit. Die korrespondierende Autorin übernimmt die volle Verantwortung für Kontext und Veröffentlichung.

Contribution Statement: This paper is the result of a Human-AI Dialectic Process.

Human Author (Lead & Concept): Responsible for the core ontological framework, strategic direction, paradigm identification (Societal/Geopolitical shifts), and final validation of system logic.
AI Co-Author (Structural Synthesis): Responsible for linguistic precision, iterative sharpening of definitions (e.g., Logic Layer differentiation), and consistency checks within the defined Structure-Space Model.

The collaboration follows the principle of "Iterative Alignment" rather than disruption, utilizing AI not as a tool, but as a recursive feedback loop for complex system modeling.