Digitalisierung und Virtualisierung der Krisenstabsarbeit

Die klassische präsenzbasierte Krisenstabsarbeit in Krisenstabsräumen ist für viele Unternehmen spätestnes seit der Covid-Pandemie und der verstärkten Remote-Arbeit Geschichte. Die Krisenstabsarbeit wird von vielen Unternehmen mittlerweile in Form von Web-Konferenzen vollständig digital oder in hybrider Arbeitsweise durchgeführt.

Doch Telefon- und Web-Konferenzsysteme alleine können die Krisenstabsarbeit mit der Lagevisualisierung, den Führungs- und Entscheidungsprozessen sowie der Auftrags- und Maßnahmenverfolgung nur unzureichend abbilden.

Ziel müssen daher abgestimmte Lösungen sein, die eine vollständige Digitalisierung und Virtualisierung der Krisenstabsarbeit ermöglichen. Denn auch in Zukunft wird die physische Präsenz der Mitglieder eines Krisenstabs, gerade auch über lange Zeiträume, immer weniger sicherzustellen sein.

Nachfolgend werden beispielhaft Tools zur Unterstützung der Krisenstabsarbeit aufgeführt. Dies stellt keine Bewertung der Tools dar, sondern soll dem Leser nur einen Einstieg in die Toolauswahl ermöglichen. In der Marktübersicht BCM-Tools der BCM-News finden Sie weitere Anbieter von Alarmierungs-, BCM- und Krisenmanagementlösungen.

Lösungsansätze für eine Digitalisierung und Virtualisierung der Krisenstabsarbeit

Virtuelle Krisenstabsarbeit bedeutet, dass Krisenstabsmitglieder räumlich getrennt voneinander mittels IT-Lösungen auf ein gemeinsames Lagebild zugreifen können und die Führungs- und Entscheidungsprozesse softwaregestützt, also digital, durchgeführt werden.

Dies erfordert einen Paradigmenwechsel gegenüber der klassischen Krisenstabsarbeit “face-to-face” und  eine gut überlegte Konzeption der IT-Unterstützung. Eine umfangreiche Einarbeitung und Übungen aller beteiligten Personen mit den eingesetzten Werkzeugen ist eine zwingende Voraussetzung für die schnelle Einsatzbereitschaft im Notfall. Die Bewältigung der “Lage” muss im Mittelpunkt stehen, nicht der Umgang mit einem Tool!

Es geht hierbei nicht um ein “entweder … oder” zwischen der klassischen Präsenz und der räumlich getrennten Kollaboration, sondern um das Schaffen von mehreren Rückfallebenen, denn zum Beispiel durch eine Cyber-Attacke kann der Zugriff auf die IT unterbrochen werden. E-Mail, Videokonferenzlösungen, Telefonie und Datenverzeichnisse stehen für die Krisenstabsarbeit dann nicht mehr zur Verfügung. Daher haben auch “professionelle” Krisenstäbe immer noch Whiteboards an den Wänden und Durchschreibformulare zur Hand, falls die Technik versagt. Zur Not muss Krisenmanagement auch aus einem Hotelzimmer heraus funktionieren können.

Am Anfang einer Lösungssuche muss hierbei immer ein Anforderungskatalog stehen: Welche Funktionen sollen in welcher Form digital abgebildet werden?

Für das Business Continuity – und Krisenmanagement bietet sich eine Orientierung an den einzelnen Phasen der Bewältigung einer Lage an:

  • Alarmierung von Call-Trees sowie qualifizierte Rückmeldungen der alarmierten Personen
  • Kommunikation (Sprache und Video)
  • Speicherung und Austausch von Daten
  • Lagefeststellung, Dokumentation von Lagebild und Lagefilm
  • Stabsarbeit zur Lagebewältigung mit dem Führungs- und Entscheidungsprozess sowie Maßnahmenverfolgung
  • Protokollierung, Dokumentation und Lagenachbereitung.

Alarmierung

Die Alarmierung stellt den ersten entscheidenden Schritt zur Lageerkennung und Alarmierung der relevanten Personen dar. Viele Unternehmen haben diesen Schritt bereits mit Hilfe von Alarmierungssystemen digitalisiert und automatisiert. Die manuelle Abarbeitung von Call-Trees abhängig vom eingetretenen Szenario sowie die Nachverfolgung der Quittierungen der Anrufe benötigt viel Zeit, die gerade zu Beginn der Störung besonders wertvoll ist. Für die Alarmierung stehen am Markt zahlreiche bewährte und leistungsfähige Softwarelösungen zur Verfügung.

Viele Alarmierungssysteme gehen mittlerweile weit über die reine Alarmierung hinaus und integrieren zum Beispiel ad-hoc-Telefonkonferenzen sowie ein Aufgaben- und Dokumentenmanagement.

Sprach- und Video-Kommunikation

Telefon- und Videokonferenzen sind wesentliche Plattformen für die Interaktion zwischen den Mitgliedern des Krisen- und des Unterstützungsstabs. Waren Videokonferenzen früher auf Räume begrenzt, in denen die aufwändige und teure Video- und Übertragungstechnik installiert war, ist es heute nahezu mit jedem Endgerät möglich, an Telefon- und Videokonferenzen teilzunehmen, soweit eine ausreichende Netz-Verbindung vorhanden ist. Die Web-basierten Lösungen wie MS-Teams, Zoom oder Webex haben zudem den Vorteil, im Notfall unabhängig von der Verfügbarkeit der IT- und Telekommunikation des Unternehmens zu sein. Ein positiver Effekt der Covid-19-Pandemie ist die mittlerweile weite Verbreitung und Akzeptanz dieser Lösungen. Die Hardware und Software ist in der breiten Fläche bei den Mitarbeitern installiert und der Umgang geübt. Jedoch kommt es auch bei diesen Lösungen immer wieder zu temporären Ausfällen, so dass eine Verfügbarkeit im Notfall nicht vollständig sichergestellt werden kann. Der Zugriff auf eine zweite alternative Web- oder Telefonkonferenzlösung ist daher sinnvoll.

Speicherung und Austausch von Daten

In Krisen entstehen zahlreiche Informationen, die gespeichert und geteilt werden müssen.

Auch für die Speicherung und den Austausch von Daten sollten Lösungen gewählt werden, die unabhängig von der Unternehmens-IT funktionieren. Informationssicherheit und Datenschutz sind auch im Notfall K.O.-Kriterien für eine solche Lösung. In Frage kommen daher zum Beispiel sichere Datenräume. Da deren Berechtigungskonzepte mitunter komplex sind und der Umgang geübt sein muss, ist auch hier der Einsatz der gewählten Lösung bereits in “Friedenszeiten” zu empfehlen. Templates und Dokumentationsvorlagen sowie Notfall-Handbücher sollten dort bereits abgelegt – und regelmäßig gepflegt – sein, damit sie im Notfall schnell verfügbar sind. Beispielhaft kann hierfür der sichere Datenraum von dracoon genannt werden. Eine kostenfreie Version dieses Datenraums bietet bereits ausreichend Kapazitäten für das Krisenmanagement.

Lagefeststellung und Lagebild

Bei der Lagefeststellung- und beobachtung geht es darum, eingehende Informationen zu erhalten, zu sichten und zu bewerten sowie Informationen zur Lage, Aufträgen und Maßnahmen einzuholen. Dies ist die klassische Funktion einer Stabsunterstützungsfunktion für den Krisenstab. Einige Alarmierungssysteme übernehmen auch diese Aufgaben bereits mit. Auf der anderen Seite spielt spezielle Stabssoftware genau an diesem Punkt seine Stärken aus und integriert diese Informationen in den nachfolgenden Führungs- und Entscheidungsprozess. Diese auf die Stabsarbeit spezialiserten IT-Lösungen zur räumlichen und zeitlichen Lagedarstellung richten sich jedoch in erster Linie an professionelle Staäbe, die regelmäßig mit dieser Software arbeiten. Wird diese Software nur sehr selt für einzelne Übungen und Echtfälle eingesetzt, fehlt dann die Routine im Umgang mit den vielen und oftmals komplexen Funktionen. Dies behindert dann eher die Stabsarbeit und lenkt von den eigentlichen Aufgaben ab.

Hier gilt es die Entscheidung zu treffen, welche Funktionalitäten des Alarmierungssystems genutzt werden, und wofür wiederum andere Softwarewerkzeuge eingesetzt werden.

Stabsarbeit

Die gemeinsame Arbeit an Flipcharts, Metaplan- und Whiteboardwänden elektronisch abzubilden ist sicherlich nicht nur eine Herausforderung an die Softwarelösung, sondern bedingt auch eine grundsätzliche Änderung der Arbeitsweise.

In der speziellen Unterstützung dieser Stabsarbeit liegen die Stärken von webbasierten Softwarelösungen für das Krisenmanagement wie beispielsweise CENARIO ilias, PREVISEC oder DEMiOS.

Sie bilden den Führungs- und Entscheidungsprozess elektronisch ab und dokumentieren die Informationen zugleich revisionssicher.

Die Einführung stellt nicht nur einen finanziellen Invest dar, sondern erfordert auch Trainings im Umgang mit der Softwarelösung und der damit verbundenen Methodik.

Offenere Lösungen, die eine gemeinsame Moderation, Dokumentation und Lagebilddarstellung erlauben, finden sich bei cloudbasierten Moderationslösungen wie zum Beispiel dem in Deutschland entwickelten und gehosteten Conceptboard. Ist eine solche Lösung zum Beispiel für die Softwareentwicklung mittels SCRUM bereits im Einsatz, kann diese auch für die Krisenstabsarbeit eingesetzt werden. Allerdings fehlt den offenen Lösungen die methodische Unterstützung einer speziellen Krisenstabssoftware.

Protokollierung, Dokumentation und Lagenachbereitung

Protokollierung und Dokumentation kann in der Krisenstabsarbeit leicht vergessen werden und auf der anderen Seite wichtige Kapazitäten binden. Softwaregestützte Lösungen haben den Vorteil, dass die revisionssichere Protokollierung der Aktivitäten bereits durch das Tool erfolgt und hierdurch viel manuelle und fehlerbehaftete Dokumentation ersparen kann. Eine solche Lösung für die Vor- und Nachbereitung von Meetings bietet zum Beispiel die Software Decisions, die sich nahtlos in MS Office 365 und MS-Teams integriert. 

Der Dokumentationsaufwand verringert sich, die Nachvollziehbarkeit der Ereignisse im elektronischen Logbuch wird erleichtert und damit auch die Auswertungen für das Lesson learned nach der bewältigten Krise

Zusammenfassung

Lösungen, die nur für den Not- und Krisenfall vorgehalten werden, sind im Einsatzfall oftmals keine Unterstützung, sondern gar ein Hindernis. Die Mitarbeiter sind im Handling der Softwarelösung nicht ausreichend geübt, die Software und / oder Daten sind nicht mehr aktuell.

Es ist daher ideal, wenn die ausgewählten Lösungen auch ständig im Normalbetrieb eingesetzt werden. Damit entfällt die Einarbeitungszeit und alle Mitarbeiter sind im Umgang mit den Werkzeugen geübt. Dies kann fehlende Funktionalitäten spezieller IT-Lösungen im Einsatz schnell wett machen.

So können Alarmierungssysteme im IT- oder Facility-Störungsmanagement eingesetzt werden. Telefon- und Videokonferenzlösungen haben sich seit der Covid-19-Pandemie im „new-normal“ etabliert und die hierdurch veränderte Kommunikation und Technik ist eingeübt. Spezielle Krisenmanagementlösungen spielen ihre Stärken in der methodischen Unterstützung aus, erfordern aber Einarbeitung und ständiges Training.

 

 

Übungen – Königsdiziplin des Business Continuity Management

Warum Tests und Übungen?

Wenn die Urlaubssaison anbricht steigen viele von uns mit großem Vertrauen in ein Flugzeug, das uns in weit entfernte exotische Urlaubsziele bringt. Ein großer Teil des Vertrauens, das wir der überaus komplexen Technik entgegenbringen, ist im Wissen darüber begründet, dass

  • alle wichtigen Komponenten mehrfach redundant ausgelegt sind,
  • die komplizierte Technik laufend gewartet und repariert wird,
  • den Piloten für auftretende Störungen bewährte und getestete Notfallverfahren zur Verfügung stehen,
  • die Piloten regelmäßig diese “Procedures” üben und „im Schlaf beherrschen“.

Dieses gleiche Vertrauen möchten wir natürlich auch gerne der Notfallplanung in unserer Organisation entgegenbringen können.

In einer zeitaufwändigen Business Impact Analyse sind daher die kritischen Prozesse des Unternehmens mit den erforderlichen Ressourcen identifiziert worden. Für Gebäude, Mitarbeiter, IT-Anwendungen, technische Anlagen, Dokumente und Dienstleister wurden Notfallkonzepte für deren Ausfall erstellt. Verfahren für die Einleitung eines Notbetriebs und den Wiederanlauf in den Normalbetrieb sind in Notfallplänen dokumentiert. Viele Seiten an Notfallplänen dokumentieren eine gut geplante Notfallvorsorge. Jetzt kann der Notfall kommen, denn wir sind ja gut gerüstet!

Würden wir in ein Flugzeug steigen, wo neben dem Kopiloten ein mehrhundertseitiger verstaubter Ordner mit Notfallchecklisten liegt, der nie auf Funktionsfähigkeit getestet wurde und den die Piloten nur von außen kennen? Wohl kaum. Leider ist diese Situation in vielen Unternehmen häufig die Normalität. Dabei ist das Testen und Üben die Königsdisziplin im Business Continuity Management. Hier zeigt sich die wahre Qualität der Notfallvorsorge – und nicht im Umfang der Notfallpläne. Nicht umsonst werfen Prüfer, Aufsichtsorgane und Kunden mittlerweile einen strengen Blick auf die durchgeführten Tests und Übungen, um sich einen Einblick in den Reifegrad des BCM zu verschaffen.

Inhalte von Tests und Übungen

Die Notfallvorsorge besteht aus

  • Technischen und organisatorischen Maßnahmen,
  • Prozeduren und Verfahren für den Notbetrieb und Wiederanlauf in den Normalbetrieb,
  • Erkennungs-, Alarmierungs- und Eskalationsverfahren,
  • Krisenmanagementorganisation und -prozesse.

Tests haben ein Testergebnis wie „ja/nein“, „erfolgreich/nicht erfolgreich“ oder eine Schulnote zum Ergebnis. Sie sind daher das geeignete Überprüfungsinstrument, um messbare Verfahren und Prozeduren zu bewerten.

Beispiele hierfür sind:

  • Erreichbarkeitszeit für Mitglieder des Krisenstabs im Rahmen der Alarmierung,
  • Zeitdauer für die vollständige Evakuierung eines Gebäudes nach einem Alarm,
  • Bereitstellungszeit für redundante technische Lösungen (Bsp. Stromversorgung),
  • Zeitdauer bis zur Inbetriebnahme der Prozesse an einem Ausweichstandort.

Bei Übungen geht es in Abgrenzung zu Tests darum, Verfahren und Prozeduren auf Funktionsfähigkeit zu testen und die Beteiligten in den Verfahren zu trainieren, so dass sie diese im Notfall beherrschen.

Übungen haben zum Ziel, Schwachstellen und Verbesserungspotential zu identifizieren. Eine Übung ist daher erfolgreich, wenn möglichst viele noch nicht bekannte Schwachstellen und Optimierungsmöglichkeiten identifiziert werden konnten und die Beteiligten sicherer im Umgang mit den Notfallplänen wurden. Die Identifikation von Schwachstellen und Optimierungspotentialen ist ein Qualitätskriterium für eine gute Übung. Ich kenne keine Übung, in der die Übungsbeteiligten im Ablauf der Übung nicht auf Schwachstellen gestoßen sind, die bei der Erstellung der Notfallpläne am Schreibtisch übersehen oder bei der Aktualisierung vergessen wurden. Das Ergebnis von Übungen ist daher im Unterschied zu Tests daran zu bemessen, wie viele der versteckten Fehler in der Notfallplanung durch die Übung identifiziert und eliminiert werden konnten und wie sich die Kenntnis der Übenden in den Verfahren durch die Übung verbessert hat. „Fehlerlos“ ist daher kein Erfolgskriterium für eine Übung, sondern eher ein Verdachtsmoment, dass die Übung nicht intensiv genug durchgeführt wurde oder jahrelang das gleiche Szenario beübt wird. Übungen so künstlich zu gestalten und vorbereitet werden, dass in der Übung kein Fehler mehr passieren kann macht sie hierdurch wirkungslos und führt sie ad absurdum.

Die Übungs-Rahmenplanung gibt den Takt vor

Würden Sie in ein Flugzeug einsteigen, bei dem mit schöner Regelmäßigkeit ausschließlich das Szenario „Ausfall rechtes Triebwerk“ getestet wird? Natürlich verlaufen nach mehreren Wiederholungen diese Tests alle reibungslos und es gibt einen ganzen Stapel positiver Testprotokolle. Das Triebwerk beginnt schon beinahe selbständig mit den Tests … . Leider ist das Schicksal von Natur aus gemein und hält sich nicht an unsere Vorgaben aus den Tests. Tests und Übungen müssen daher alle Aspekte der Notfallplanung abdecken. Diese beinhalten die kritischen Prozesse mit deren Ressourcen sowie die Abdeckung der unterschiedlichen Szenarien. Gebäudeevakuierungen, Alarmierungsübungen sowie Krisenstabsübungen gehören ebenso zum Übungsportfolio wie gemeinsame Übungen mit Kunden und Lieferanten sowie Blaulichtorganisationen und Behörden. Dies ist ein umfangreiches Spektrum, das natürlich nicht innerhalb einer Übung abgedeckt werden kann. Die Übungs-Rahmenplanung hat daher zum Ziel, für einen Zeitrahmen von zwei oder besser drei Jahren die Übungsformen, -inhalte und -beteiligte aufeinander abgestimmt zu planen. Mit Hilfe der Übungs-Rahmenplanung muss die Abdeckung über die gesamte Notfallvorsorge sichergestellt werden. Durch die mittel- und langfristige Planung erhalten die Übungsbeteiligten Planungssicherheit für die erforderlichen Ressourcen und Kapazitäten. Umfangreiche Simulationsübungen mit externen Beteiligten haben zudem eine Vorbereitungszeit für Planung und Organisation von bis zu 12 Monaten.

Die Konzeption und Planung einer Übung sichert den Übungserfolg

Auf Basis des Übungs-Rahmenplans erfolgt die Konzeption und Planung der einzelnen Übungen.

In der Übungs-Konzeption werden die „W-Fragen“ für die Übung geklärt und festgelegt:

Übungs-KonzeptionInhalte
WasZiele und Inhalte der Übung: Notfallpläne, Prozesse, IT-Anwendungen, Standorte, Gebäude, Gebäudeteile, Lieferketten mit Dienstleister und Lieferanten, Prozessschnittstellen mit Kunden, Krisenmanagement, Alarmierung und Eskalation, Erreichbarkeit…
WieAuswahl der Übungsform:
– („walkthrough“)Schreibtischtest der Notfallplanung auf Basis eines Szenarios („desktop scenario“)
– Funktionstests der Ersatzverfahren,
– Simulationsübung auf Basis eines Szenarios mit Einspielungen („live exercise“)
WerTeilnehmer an der Übung:
– Übungs-Leitung
– Übungs-Teilnehmer intern / extern
– Beobachter intern / extern
Mit wemWeitere Übungsbeteiligte:
– Dienstleister, Lieferanten
– Kunden
– Blaulicht-Organisationen (Feuerwehr, Polizei)
– Behörden
W-Fragen der Übungskonzeption

Übungs-Szenarien sollten abwechslungsreich, herausfordernd und realitätsnah sein. Klassische Übungs-Szenarien beinhalten den Ausfall von Gebäuden und/oder IT-Anwendungen. Seltener werden Personalausfallszenarien sowie Non-physical Damage-Risiken in Übungen abgebildet. Zu diesen Risikoszenarien ohne physische Beschädigungen zählen Störungen in den Lieferketten mit Dienstleistern und Kunden sowie Cyber-Risiken. Hacker-Attacken, Datenverlust oder -verschlüsselung durch Ransomware sowie Denial-of-Service-Angriffe sind hochaktuell und sollten demzuzfolge in Übungs-Szenarien mit abgebildet werden.

Jede Übung stellt auch ein Projekt dar, das eine Projektplanung mit einer Zeit-, Kapazitäts- und Aufwandsplanung erfordert. Die Dauer einer Übung kann von einer Stunde bis zu mehreren Tagen reichen. Längere Übungen über zwei oder mehr Tage spiegeln die realistischen Herausforderungen eines Notfalls besonders gut wieder. So erfordern diese Übungen Schichtwechsel im Krisenmanagement und Übergaben in den Prozessen.

Die beteiligten Rollen stellen die Durchführung sicher

Bei den beteiligten Rollen ist zwischen der Übungsvorbereitung und der Übungsdurchführung zu unterscheiden. Der Übungsleiter oder Übungs-Verantwortliche ist verantwortlich für die Konzeption und Planung der Übung. Er bindet die Beteiligten in den Planungsprozess ein, stellt die Verfügbarkeit der personellen und technischen Ressourcen sicher.

In der Übung führen die Übungsteilnehmer unter der Übungsleitung die zu übenden Verfahren durch und protokollieren Ablauf und Ergebnisse.

Neben den Teilnehmern können Übungs-Beobachter zusätzliche Aspekte protokollieren und Einsicht in die Übungsdurchführung gewinnen.

Bei Stabsrahmenübungen kommt die Übungsregie und der Gegenstab als weitere Rollen hinzu.

Wichtige Punkte bei der Durchführung einer Übung

Die Übungsleitung weist die Beteiligten in die Übung ein, startet die Übung, steuert und koordiniert den Ablauf und beendet die Übung. Bei besonderen Erfordernissen kann die Übungsleitung die Übung abbrechen.

Unabhängig von den variierenden Übungsinhalten ist bei jeder Übungsdurchführung auf folgende Punkte besonders zu achten

  • Risikomanagement zur Vermeidung, dass aus der Übung ein echter Notfall resultiert,
  • Übungssteuerung mittels Einspielungen und Reaktionen auf Aktionen und Entscheidungen der Übungsteilnehmer,
  • Beobachtung, Protokollierung und Dokumentation für die Dokumentation des Ablaufs sowie der identifizierten Schwachstellen für die spätere Auswertung. Bereitstellung von Templates für die Protokollierung und Dokumentation.
  • Umgang mit unerwarteten Reaktionen und korrigierende Eingriffe in den Übungsablauf, um die Sicherheit und Erreichung der Übungsziele sicherzustellen.

Auswertung einer Übung und Lessons Learned

Übungen dienen der Weiterentwicklung der Notfallvorsorge durch die Identifikation von Schwachstellen und Optimierungspotentialen. Grundlage für die Übungsauswertung sind die während der Übung angefertigte Übungsprotokolle sowie Beobachter- und Teilnehmerfeedback.

  • Was ist in der Übung gut gelaufen?
  • Wo sind in der Übung Fehler oder Schwachstellen aufgetaucht?
  • Hat die technische Ausstattung funktioniert? Oftmals sind es Kleinigkeiten wie fehlende oder abhanden gekommene technische Kleinteile und Ausrüstungen (Steckdosen, Verlängerungskabel, Ladekabel, Adapter etc.), die erst bei Übungen auffallen.
  • Was muss im Aufbau und Inhalt der Notfallpläne geändert oder ergänzt werden?
  • Was muss für die nächsten Übungen bedacht werden.

Im Anschluss an die Übung sollte eine Feedback-Runde mit den Übungs-Beteiligten durchgeführt werden, in der erste Erkenntnisse und Erfahrungen gesammelt werden.

Die Auswertung des Erfolgs einer Übung basiert auf dem Abgleich der Übunsgziele mit den erreichten Ergebnissen. Ohne eindeutig formulierte Übunsgziele ist eine Auswertung des Übungserfolgs daher schwierig bis unmöglich.

Häufig wird als Übungsziel deklariert, dass die Übung fehlerfrei durchläuft. Diesem Übunsgziel liegt jedoch eine falsche Annahme zu Grunde, die Übungen in die falsche Richtung leiten. Es ist gerade das Ziel von Tests und Übungen, Fehler aufzudecken, um diese beheben zu können. Das Aufdecken möglichst vieler vorhandender Fehler macht gerade die Qualität einer Übung aus.

Es ist daher sinnvoll, zwischen der Erreichung der Übungsziele und den Übungsergebnissen zu unterscheiden. Das Erreichen der Übungsziele beschreibt, inwieweit der Umfang und die Inhalte der Übung durchgeführt werden konnte. Die Übungsergebnisse beschreiben Abweichungen zwischen der tatsächlichen und geplanten Test- und Übungsdurchführung. Das Übunsgziel ist erreicht, wenn der Workaround für einen IT-Service überprüft wurde. Das Übunsgergebnis ist negativ, wenn sich bei dieser Prüfung herausstellt, dass für die Nutzung der Ersatzlösung erforderliche Berechtigungen bei den Mitarbeitern fehlen.

Die Dokumentation von Tests und Übungen

Es gibt eine wichtige Grundregel: nur eine dokumentierte Übung ist eine durchgeführte Übung. Dies gilt natürlich auch für Tests. Tests und Übungen dienen neben der Validierung auch dem Nachweis der Funktionsfähigkeit. Und dieser Nachweis, zum Beispiel gegenüber Revision oder Prüfern kann nur mittels der Dokumentationen geführt werden.

Welche Dokumentationen sind hierfür erforderlich?

Übungsrahmenplanung:Die Übungsrahmenplanung beinhaltet eine Mehrjahresplanung (i.d.R. rollierende 3-Jahresplanung) der druchzuführenden Tests und Übungen. Diese Planung dient der Sicherstellung der Abdeckung aller kritischen Prozesse und Ressourcen, der Ressourcenplanung der beteiligten Fachbereiche sowie der Überprüfung der Zielerreichung zum Beispiel im Rahmen des BCM-Berichtswesens.
Übungskonzept, -plan:Das Übungskonzept wird für jede einzelne Übung erstellt und beinhaltet die Übungsziele, – objekte, -form, -zeiten, -beteiligte sowie -risiken. Das Übungskonzept beschreibt somit die Details eines Tests / einer Übung im Detail und dient neben der Detailplanung auch der Erfolgsmessung. Wurden die definierten Übungsinhalte überprüft, wurden die definierten Test- und Übungsziele erreicht? Welche Abweichungen gab es zum Übungskonzept im Ablauf und Ergebnis der Übung? Ein Übungskonzept kann auch zur Dokumentation eines realen Notfalls eingesetzt werden und der bewältigte Notfall als Übung aufgenommen werden.
Übungsprotokolle:Protokolle zur Erfassung der durchgeführten Testfälle und den Ergebnissen sowie Auffälligkeiten und Ideen für Verbesserungsmaßnahmen
Übungsbericht:Im Übungsbericht wird der Ablauf und die Ergebnisse der Übung dokumentiert.
Inhalte sind zum Beispiel:
– Management Summary
– Übungsziele
– Übungsorganisation
– Ablauf der Übung und Abweichungen gegenüber dem Übungskonzept
– Testfälle und Testergebnisse
– Lessons learned
– Maßnahmen
Dokumente für Tests und Übungen

Fazit

Tests und Übungen sind mit hohem Aufwand für die Vorbereitung, Durchführung und Auswertung verbunden. Dieser Aufwand für die „Königs-Disziplin“ des Business Continuity Management ist jedoch gut investiert, erfüllen Übungen doch gleichzeitig mehrere wichtige Ziele:

  • Validierung der Notfallkonzepte und -pläne,
  • Training der Beteiligten in den Notfallprozeduren,
  • Schaffung von Awareness für das BCM,
  • Erfüllung von Anforderungen an das BCM durch Kunden, Dienstleister und Regulatorik.

Ohne diese Tests und Übungen bleibt die Notfallvorsorge ein Hoffnungswert, der im Realfall schnell zur Seite gelegt wird und durch Improvisation in Verbindung mit Hoffen und Wünschen ersetzt wird. Dies hat jedoch meist keinen positiven Ausgang.

Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

DIN EN ISO 22300:2021 in deutsch erschienen

Der ISO-Standard ISO 22300:2021-06 “Sicherheit und Resilienz – Begriffe” ist in deutscher Sprache erschienen. Der Standard enthält das Glossar der Begrifflichkeiten für Sicherheit und Resilienz für diese Normenreihe.

Der ISO-Standard kann beim Beuth-Verlag bezogen werden.

Erfahrungsgemäß sind die Übersetzungen in die deutsche Sprache nicht immer sehr gut gelungen und die englischen Begriffe prägnanter und aussagekräftiger. Ob dies auch für diesen Standard zutrifft, kann ich allerdings noch nicht beurteilen.

Testen und Üben –Sisyphusarbeit im Business Continuity Management

Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen

Am 26. August 2021 hat das BaFin die Novellierungen der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) nach der Konsultationsphase final veröffentlicht.

Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.

Für so manchen BCM- und ITSCM-Verantwortlichen wird die Umsetzung der Anforderungen wie eine nie enden wollende Sisyphusarbeit erscheinen.

Es gibt jedoch Stellschrauben, um die Aufwände für die nachzuweisenden Tests und Übungen zumindest zu verringern, ohne an Qualität zu verlieren.

In meinem aktuellen Beitrag auf 3GRC stelle ich mehrere dieser Stellschrauben vor.

Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

Emergency Communications Report 2021

Das Business Continuity Institute BCI hat in Zusammenarbeit mit F24 die 6. Ausgabe des Emergency Communications Report 2021 veröffentlicht. Die Umfrage beleuchtet die Entwicklungen bei der Alarmierung und Kommunikation in einer Krise.

Die Ergebnisse der Umfrage sind durch die Erfahrungen der Organisationen im Umgang mit der Covid19-Pandemie in 2020 geprägt, zeigen aber auch darüber hinaus längerfristige Tendenzen für die Digitalisierung im Krisenmanagement auf.

64 Prozent der befragten Unternehmen setzen Software oder Tools für die Alarmierung und / oder Krisenmanagement ein. Der Trend geht hierbei deutlich zur Nutzung von Lösungen aus der Cloud (SAAS) mit einem Anteil von 74 Prozent der eingesetzten Lösungen. 41 Prozent der Unternehmen erreichen mit Hilfe dieser Toolunterstützung eine Alarmierungszeit von unter 5 Minuten.

Die Covid19-Pandemie hat durch das räumlich verteilte Arbeiten auch zu einer stärkeren Digitalisierung in der Krisenstabsarbeit geführt. Neben dem klassischen Krisenstabsraum werden für die Kollaboration im Krisenstab vor allem Kollaborations- und Messenger Tools aus dem Business-Umfeld (Microsoft Teams, Slack, Skype) sowie Telefonkonferenzen eingesetzt. Auch dedizierte Krisenmanagementsoftware weist eine starke Nutzung in der Krisenstabsarbeit auf. Immerhin werden in fast 30 Prozent der Fälle jedoch auch Messenger Tools aus dem privaten Umfeld (Bsp. WhatsApp) eingesetzt.

Den vollständigen Emergency Communications Report 2021 mit den ausführlichen Ergebnissen erhalten Sie auf den Webseiten des BCI und F24.

Business Continuity Management gut versteckt

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…

Warum Notfall nicht gleich Notfall ist

Die Disziplinen Business Continuity und Krisenmanagement zeichnen sich leider dadurch aus, dass es eine Vielzahl von Begrifflichkeiten, Abkürzungen und Definitionen gibt. Aus diesem enormen Füllhorn bedienen sich dann Unternehmen und Organisationen nach Belieben. Dies führt dazu, dass schon innerhalb von Unternehmen Begriffe nicht eindeutig definiert sind. Zwischen Unternehmen, Lieferanten, Dienstleistern und Behörden ist ein gemeinsames Begriffsverständnis in weiter Ferne. Zu den beliebtesten Begriffen zählen Störungen, Notfälle, Katastrophen, K-Fälle, gerne auch ergänzt durch Incidents und Problems.

In der Hitliste ganz oben der meistverwendeten Begriffe ist der “Notfall”. Allseits beliebt und doch nicht eindeutig definiert. Erklären zwei Unternehmen den Notfall, kann dies völlig unterschiedliche Ereignisse beschreiben. Bei einem Unternehmen ist der Notfall eine Eskalationsstufe einer Störung und noch gut beherrschbar. In einem anderen Unternehmen kann ein Notfall bereits den größten anzunehmenden Unfall GAU darstellen (einen “Super-GAU” kann es sprachlich nicht geben).

Aber bereits innerhalb eines Unternehmens kann es schnell zu Missverständnissen kommen. Aus Sicht des Business Continuity Managements liegt ein Notfall beispielsweise vor, wenn zeitkritische Geschäftsprozesse unterbrochen sind. Aus Sicht der IT liegt ein Notfall beispielsweise vor, wenn kritische IT-Systeme ausfallen. Ein Notfall in der IT kann einen Notfall des BCM nach sich ziehen, muss es aber nicht. Ist ein IT-System redundant abgesichert, führt der Ausfall (hoffentlich) nicht zu einer Beeinträchtigung der Geschäftsprozesse. Aus der Praxis hat sich daher bewährt zwischen einem IT-Notfall und einem BCM-Notfall zu differenzieren. Schon bei der Feststellung des jeweiligen Notfalls wird so klar, welche Ressourcen des Unternehmens betroffen sind und welche nicht. Natürlich kann ein IT- und BCM-Notfall auch gleichzeitig auftreten. Ein BCM-Notfall verursacht durch einen Personalausfall in den IT-Prozessen kann einen IT-Notfall nach sich ziehen. Umgekehrt kann ein IT-Notfall zum Ausfall zeitkritischer Geschäftsprozesse und damit einem BCM-Notfall führen. Ein keiner Schritt auf einem langen Weg zu einem besseren Begriffsverständnis.