Ja, mach nur einen Plan …

Abgelegt in: 1 Antwort

“Ja, mach nur einen Plan, sei ein großes Licht. Und mach’ dann noch ‘nen zweiten Plan, gehen tun sie beide nicht.”, so Bertolt Brecht in der Dreigroschenoper.

An dieses Zitat musste ich unweigerlich nach meinem Besuch des BCI Regionalforum West denken, zu dem ich in der vergangenen Woche für einen kleinen Vortrag über “Test und Üben” eingeladen war. Eine tolle und gut organisierte Veranstaltung übrigens, Respekt!

In meinem Vortrag habe ich – natürlich etwas überzeichnet – die Bedeutung von Tests und Übungen für die Notfallvorsorge in den Mittelpunkt gestellt. In mehreren größeren zu bewältigenden “Ausnahmesituationen wie Blockupy in Frankfurt, Hurrican Sandy in New York, Norovirus Epidemie und Stromausfällen habe ich immer die gleiche Erfahrung gemacht: die Realität hält sich an keinen Plan!

Doch hieraus die Lehre zu ziehen, auf die Notfallplanung verzichten zu können  ist genauso falsch, wie die Hoffnung, eine umfangreiche und ausgetüftelte Notfallplanung könnte bei Eintritt eines Notfalls automatisiert abgearbeitet werden wie der Wiederanlaufplan eines IT-Systems.

Der größte Nutzen der Notfallplanung liegt aus meiner Sicht in der geistigen Auseinandersetzung mit möglichen Notfall-Szenarien und Handlungsstrategien zur Beherrschung dieser Situationen sowie zur Minderung der potentiellen Folgeschäden. Notfallplanungen bilden die Grundlage für Tests und Übungen, in denen die Funktionsfähigkeit der Notfallpläne überprüft werden und vor allem die Mitarbeiter in ihren Rollen für außergewöhnliche Situationen trainiert werden. Hierdurch wird die Grundlage geschaffen, um in Notfallsituationen handlungsfähig zu bleiben. Tritt der Notfall ein, kommt ein weiteres wichtiges Element zur Bewältigung hinzu: das Krisenmanagement. Im Rahmen des Krisenmanagements wird die Lage analysiert und die angemessenen Entscheidungen zur Bewältigung der Lage getroffen bzw. herbeigeführt. Pläne sollten die klassischen BCM-Szenarien Gebäude-, Personal-, IT- und Dienstleisterausfall abdecken. Sie können jedoch besondere Umstände in der Notfallsituation, die aus der aktuellen Markt- und / oder Auftragslage, Projekten, besonderen Produkt- und Kundensituationen resultieren nicht  berücksichtigen. Zudem kann das reine Abarbeiten von Plänen die Lage verschlimmern, wenn zum Beispiel die Umsetzung nur eines Teils der Planung ausreichend wäre. Nur die betroffenen Mitarbeiter müssen bei einem Teilausfall eines Gebäudes die Notfallarbeitsplätze beziehen, das Aussetzen eines kritischen Prozesses kann eine adäquate Lösung sein, wenn die Auslastung aktuell gering ist. Die Steuerung dieser Plan-Ausführung kommt dem Krisenmanagement zu.Die Brücke zwischen dem Business Continuity Management und dem Krisenmanagement bilden die Notfallpläne. Sie sind wichtig für das Krisenmanagement, aber nicht ausreichend und absolut. Neben den Tests und Übungen im BCM kommt daher den Krisenmanagementübungen eine zentrale Bedeutung zu. In diesen Übungen wird neben den Entscheidungsverfahren die Funktionsfähigkeit der Notfallstrategien und -pläne verprobt.

Um mit Brecht zu antworten: die Pläne gehen nicht, sie bilden die Handlungsbasis in Notfällen und müssen durch das Krisenmanagement in adäquater Weise, den konkreten Umständen angepasst, in Kraft gesetzt und umgesetzt werden:

“Sorgfältig prüf ich Meinen Plan;

er ist Groß genug;

er ist Unverwirklichbar.”

Bertolt Brecht

 

“Waking Shark II”: weltweit größte Simulationsübung findet am kommenden Dienstag in London statt

Abgelegt in: 1 Antwort

Unter dem Titel “Waking Shark II” findet am kommenden Dienstag, den 12. November in London eine der weltweit größten Krisenmanagementsimulationen dieser Art statt. Tausende Mitarbeiter von Finanzdienstleistern in London werden mit eine simulierten Cyber-Attacke auf kritische Börsen- und Banking-Systeme konfrontiert. Die Simulationsübung wird zentral durch ein Team aus Behörden- und Bankmitarbeitern sowie weiteren Spezialisten und Beratern koordiniert und gesteuert. Im Fokus der Simulationsübung steht der Zahlungsverkehr mit den Geldautomaten sowie Prozesse und Systeme für das Investment Banking. Vor zwei Jahren wurde bereits eine vergleichbare Übung in London durchgeführt. Dies ist bereits die siebte Übung der Finanzdienstleister in London in dieser Form.

Waking Shark II Inject

 

 

BIA – die Suche nach dem “wunden Punkt”

Abgelegt in: Antworten

Methodische Diskussionen verstellen manchmal den Blick, wozu eine Business Impact Analyse (BIA) dient. Im Kern geht es um die Identifikation der “wunden Punkte” eines Unternehmens. Wie bei einem Organismus gibt es in Unternehmen einige Stellen, an denen die Verwundbarkeit extrem groß ist. Boxer versuchen den Gegner ganz bewusst an bestimmten Stellen zu treffen, die zum sofortigen k.o. des Gegners führt. Eine dieser Stellen liegt im Bereich des Kinns. Bei einem Kinnhaken wird das Gehirn mit maximaler Wucht gegen die Schädeldecke gedrückt, der Gegner geht unmittelbar zu Boden, der Kampf ist zu Ende.

Die internen und externen Leistungsprozesse eines Unternehmens sind hochgradig vernetzt. Auch kleine und scheinbare unbedeutende Unternehmensressourcen können zu einem dieser “Kinnhaken” für ein Unternehmen werden. Diese “wunden Punkte” können innerhalb eines Unternehmens in Gestalt von Prozessen / Prozessschritten, Mitarbeitern, IT-Services, Gebäuden, Anlagen und Betriebsmittel vorliegen. An der Schnittstelle zur Umwelt des Unternehmens liegen die “wunden Punkte” häufig bei Dienstleistern, Zulieferprodukten und in den Vertriebs- und Absatzkanälen.

In Produktionsabläufen sind diese kritischen und sensiblen Stellen leichter zu identifizieren. Ein Auto kann noch so perfekt produziert sein, ohne ein Schließsystem ist es einfach nicht verkäuflich. Der Ausfall des Herstellers für Autoschlösser Kiekert im Jahr 1998 liegt zwar bereits lange Zeit zurück, ist aber ein sehr eindrückliches Beispiel, wie ein derartiger “Kinnhaken” zum k.o. und damit dem Produktionsausfall führen kann.

Die immer stärkere internationale Vernetzung der Produktions- und Dienstleistungsprozesse, wie auch die deutliche Zunahme der Prozessgeschwindigkeiten führt zu mehr Effizienz und einem höheren Abwicklungsvolumen. Die Arbeitsteilung führt allerdings auf der anderen Seite zu einer deutlichen Erhöhung der Anzahl an “wunden Punkten”. Und diese “wunden Punkte” sind viel besser versteckt. Ein Drittel der Ausfälle in der Lieferkette sind auf Ursachen in der nachgelagerten Lieferkette zum direkten  Lieferanten (>= Tier 2-Lieferanten) zurückzuführen, so das Ergebnis der Supply Chain Resilience Study 2012 des Business Continuity Institute BCI. Diese kritischen Stellen auszumachen um entsprechende Vorsorgemaßnahmen treffen zu können erfordert viel detektivisches Gespür und einen ganz langen Atem. Die Identifikation der kritischen Prozesse innerhalb eines Unternehmens ist dagegen ein Kinderspiel. Auf diese Herausforderungen wird sich das Business Continuity Management in Zukunft immer stärker ausrichten müssen. Die methodischen Werkzeuge müssen für diese Aufgabenstellungen weiterentwickelt werden. Insbesondere funktioniert dies jedoch nur, wenn das BCM nicht isoliert betrieben wird, sondern eng mit den anderen Unternehmensprozessen verzahnt wird. Im Supply Chain Continuity Management sind dies beispielsweise die Einkaufsprozesse. Erst das Verständnis BCM als integralen Bestandteil der Leistungsprozesse zu begreifen führt zu einer erhöhten Widerstandskraft “Resilience” und dem Schutz “wunder Punkte” im Unternehmen. BCM ist sozusagen die “Deckung des Boxers” für das Unternehmen.

Todesfalle Aufzug?

Abgelegt in: Antworten

Diese Filmszenen kennt jeder: ein Aufzug rast ungebremst in die Tiefe und reißt die Mitfahrer in den Tod.

Ist dieses Szenario realistisch und welche Risiken bestehen tatsächlich  bei einer Fahrt mit dem Aufzug?

Die Zeitschrift “Sicherheitsberater” hat diese Fragestellung in seiner aktuellen Ausgabe im Interview mit einem Experten vom TÜV Rheinland auf den Grund gegangen.

Soviel sei vorab verraten: ich werde Aufzüge weiter meiden, obwohl überhaupt kein sachlicher Grund hierfür besteht und ich achte darauf ein Handy im Aufzug dabei zu haben.

Mehr als 1.000 Banken in den USA üben eine Cyber-Attacke auf den Zahlungsverkehr

Abgelegt in: Antworten

Im Rahmen einer zweitägigen Übung werden am 16. und 17. Oktober sowie am 23. und 24. Oktober 2013 über 1.000 Banken den Cyber-Angriff auf Zahlungsverkehrssysteme üben. Bereits in 2012 war eine vergleichbare Übung durchgeführt worden. Die Übung in den USA ist offen für alle Banken, die am Zahlungsverkehr teilnehmen. Die teilnehmenden Banken erhalten an den beiden Übungstagen morgens jeweils ein Szenario, das bis Mitternacht des gleichen Tages online per Fragebogen beantwortet werden muß. Für die Teilnehmer steht nach Abschluß der Übung ein anonymer Vergleich mit Peer-Daten zur Verfügung (Industrie, Lokation, Größe etc.). Die Teilnahme ist kostenfrei.

Quelle: BankInfoSecurity

Der Notfallplan für das Kaninchen

Abgelegt in: 1 Antwort

Für einen Zauberer stellt das Kaninchen aus dem Hut eine unternehmenskritische Ressource dar. Ohne Kanninchen keine Magie! So sah dies zumindest die Landwirtschaftsbehörde in den USA. Und der Zauberer Marty Hahne musste sich Gedanken über einen Notfallplan für sein Kaninchen Casey machen. Was ist bei einem Tornado zu tun, was wenn das Kaninchen entkommen sollte?

Zu Glück fand sich mit Kim Morgan eine BCM-Expertin, die ihre fachkundige Hilfe anbot und kostenfrei einen umfangreichen 34-seitigen Notfallplan für Magier-Kaninchen entwickelte. Jetzt müssen wir uns keine Sorgen mehr um Casey machen! Das bestgeschützte Kaninchen der Welt.

Wall Street probt den Cyber Krieg

Abgelegt in: Antworten

Im Rahmen der Übung Quantum Dawn 2 proben am Freitag den 28. Juni 2013 Handelsunternehmen an der Wall Street einen Cyber-Angriff auf den Börsenhandel. An der Übung, die nach 2011 zum zweiten Mal stattfindet, nehmen rund 40 Unternehmen teil. Neben großen Finanzdienstleistern wie die Citigroup und Bank of America sind auch US-Behörden wie das Department of Homeland Security an der Übung beteiligt. Die Unternehmen bezahlen für die Teilnahme eine Fee zwischen 1.000 und 10.000 USD, abhängig von der Unternehmensgröße. Die Übung startet um 09:00 Uhr Ortszeit in New York. Die Übung wird vom SIFMA command center gesteuert, das die Einspielungen vornimmt. Geübt werden soll insbesondere auch die Kommunikation zwischen den beteiligten Unternehmen über das koordinierte Vorgehen am Markt nach einem Zwischenfall. Die Übung sieht Hacker-Angriffe auf das Handelssystem sowie zeitliche Verzögerungen im Handel durch die Cyber-Angriffe vor.

Die Wall Street war im Rahmen des Hurrican Sandy im Oktober 2012 in die Kritik geraten, da der Handel unterbrochen werden musste.

Reuters

Aktuelle Veröffentlichung zu Tests und Übungen in BCM und ITSCM

Abgelegt in: Notfalltest Antworten

Im Rahmen der aktuellen Aktualisierungslieferung des Handbuchs IT-Servicemanagement von TÜV Media (ISBN: 978-3-8249-1154-7) ist ein umfangreicher Beitrag zum Thema Tests und Übungen im BCM und ITSCM von mir erschienen. Der Beitrag zeigt normative Anforderungen an Test und Übungen auf, beschreibt die relevanten nationalen und internationalen Standards und Good Practices für die Umsetzung sowie ein Vorgehensmodell für die Durchführung von Tests und Übungen.

Das von Oliver Bartsch und Markus Lindinger herausgegebene Handbuch IT-Servicemanagement richtet sich an IT-Leiter, IT-Servicemanager, Betreiber von Rechenzentren sowie Berater, die IT-Serviceleistungen erbringen. Es liefert Wissen zur effizienten, kostenoptimalen und regelwerkskonformen Organisation der IT.

Bezug: TÜV Media

Neuer Rekord bei den ökonomischen Schadensfolgen von Katastrophen in 2012

Abgelegt in: 1 Antwort

Die ökonomischen Folgen weltweiter Katastrophen hat 2012 im dritten Jahr in Folge über 100 Miliarden Dollar betragen – ein neuer Höchststand. Dies berichtet aktuell das UN Office for Disaster Risk Reduction (UNISDR). Als Grund für die Zunahme der ökonomischen Schäden hat das UNISDR die starke Zunahme der Gefährdung von industriellen und privaten Werten durch Katastrophen identifiziert.

Die ökonomischen Schäden von Katastrophen betrugen 210 138 Mrd. USD, 2011 371 Mrd. USD und 2012 138 Mrd. USD.

Bei 310 Katastrophen verloren 2012 9.300 Menschen ihr Leben, 106 Millionen waren durch die Katastrophen betroffen. Die Schwerpunkte waren USA, Italien und China. Asien ist die durch Naturkatastrophen am meisten gefährdete Region. Alleine durch den Taifun Bopha starben auf den Philipinen m Dezember 2012 1.900 Menschen. Die meisten Menschen starben durch Fluten oder Trockenheit. Der Schwerpunkt der finanziellen Schäden war 2012 in den USA, vor allem durch Hurrican Sandy (50 Mrd. USD).

Quelle: UNISDR

 

 

Um 13:30 Uhr wird es heute laut in der Schweiz

Abgelegt in: 1 Antwort

Die 7.800 Sirenen der Schweiz werden ab 13:30 Uhr schweizweit auf ihre Funktionsfähigkeit geprüft. Ein besonderer Alarm, der neben dem allgemeinen Alarm gestetet wird, ist der “Wasseralarm”. Er alarmiert, wenn einer der zahlreichen Stauseen in der Schweiz bedroht ist und ertönt nur in den Überschwemmungsgebieten. Eingeführt wurde dieser Alarm vor 70 Jahren, als Stauseen in Deutschland im zweiten Weltkrieg anggegriffen wurden.

Eine bundesweites Alarmierungssystem mit Sirenen gibt es in Deutschland nicht mehr. Stattdessen soll mit Katwarn und über Rundfunk und Fernsehen zielgerichtet alarmiert werden. Dies steckt aber noch in den Kinderschuhen und ist nur regional ausgebaut.

Manager sollen für Pflichtverletzungen beim Risikomanagement ins Gefängnis

Abgelegt in: Risikomanagement 2 Antworten

Am kommenden Mittwoch ist ein Gesetzespaket im Kabinett, das unter anderem eine deutliche Verschärfung der Haftung von Managern bei Pflichtverletzungen im Risikomanagement vorsieht. Bis zu fünf Jahre Gefängnis oder Geldstrafen von bis zu 11 Millionen Euro drohen Managern, die vorsätzlich oder fahrlässig handeln und Unternehmen hierdurch Schaden zugefügt wird. Der Entwurf der Gesetze liegt dem Handelsblatt vor. Die D&O-Versicherungen werden dies wohl mit einer Beitragserhöhung honorieren.

Tod bei DRK-Übung

Abgelegt in: Notfalltest Antworten

Zum Tod eines Rettungsschwimmers bei einer Übung (von Bärbel Adamek):

http://www.morgenweb.de/nachrichten/vermischtes/tod-bei-drk-ubung-1.879387

Übungen zu organisieren oder mitzugestalten gehört oft zu den Aufgaben  der Notfallmanager / BCM-Beauftragten. Und immer ist es das Bestreben, das Szenario möglichst real und damit effektiv durchzuführen. Hierbei sollte aber nie der Blick für das damit verbundene Risiko verloren gehen. In dem tragischen Beispiel in Geraberg sind es Profis, die Standardsituationen üben – und trotzdem verlor ein Rettungsschwimmer dabei sein Leben – die Ursache ist nicht bekannt.

Oft ist es das Unerwartete und Unbekannte, das solche Situationen  nach sich zieht. Für uns sollte genau dies Teil der Vorbereitung sein – das „Sich reinversetzen in das Szenario“, Durchspielen der Situation nicht nur aus fachlicher sondern auch aus individueller menschlicher Sicht.

Ein beliebtestes Beispiel ist das Einsetzen von Verneblern, um den Eindruck der Realität anschaulich zu unterstützen. Wer stellt sich die Frage, ob zum Beispiel Asthmatiker unter den Mimen oder Übungsbeteiligten sind. Auch wenn medizinisch keine Indikation für einen Anfall gegeben ist können  psychische Aspekte wie Angst oder Wiederkehr von erlebten Bildern ungeplante Reaktionen nach sich ziehen.

Bei unangekündigten Übungen in Gebäuden, die über Treppen zu verlassen sind , kann es aufgrund der Eile und falschem Schuhwerk zu Stürzen und Verletzungen kommen.

Dies zu Bedenken gehört zu unserer Verantwortung und sollte Teil der Planung sein.

In diesem Sinne  wünsche ich mir einen aktiven Austausch zu diesen Erfahrungen und hoffe dadurch unseren Blick für das Ungeplante zu schärfen und dadurch Zwischenfälle zu minimieren.

Vielleicht regt dieser Beitrag dazu an, das Thema in den diversen Foren / Arbeitskreisen aufzunehmen.

Bärbel Adamek