Am gestrigen Dienstag hat sich das BCI Regionalforum Mitte in den Krisenstabsräumen der Fraport AG getroffen, um sich direkt von Nina Reitz (Notfall- und Krisenmanagerin) und ihrem Team über das Notfallkonzept der Fraport AG und die Einführung eines Krisenmanagement-Tools zu informieren. Spätestens im Oktober wird in diesen Räumlichkeiten wieder viel Action sein, wenn die größte Katastrophenschutzübung in Deutschland am 9. Oktober am Frankfurter Flughafen stattfindet. Das Szenario sieht einen Zusammenstoß zweier Maschinen auf der neuen Landebahn vor. Rund 2.500 Menschen werden an dieser Großübung teilnehmen, davon 500 als Verletzte. Getestet werden soll im Rahmen dieser Übung auch ein neues Verfahren zur Kennzeichnung von Opfern und deren Verletzungen. Bislang wurde für die Triagierung der Verletzten Anhängekarten genutzt. Im Rahmen dieser Übung werden Armbänder mit Chips getestet, auf denen Informationen über die Schwere der Verletzungen gespeichert sind. Die Informationen über die Anzahl der Verletzten und die Schwere der Verletzungen lassen sich so unmittelbar an alle Beteiligten (Leitstelle, Rettungsdienste, Krankenhäusser) weitergeben. Zudem können die Verletzten mit Hilfe von Satelliten und Flugdrohnen lokalisiert werden. Das innovative Meldesystem ist Inhalt des Projekts SOGRO (Sofortrettung bei Großunfall), das vom Bundesministerium für Bildung und Forschung finanziert wird.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat gemeinsam mit dem Land Baden-Württemberg, der EnBW AG und dem Karlsruher Institut für Technologie / CEDIM das „Krisenhandbuch Stromausfall“ herausgegeben.
In Deutschland sind wir bei der Zuverläsigkeit der Stromversorgung im internationalen Vergleich verwöhnt. Die Herausforderungen an die Sicherstellung diser Versorgungssicherheit steigen jedoch enorm. Durch den steigenden Anteil an Einspeisungen alternativer Energien wie Wind- und Solarstrom wird der Strom immer weniger an dem Ort und zu der Zeit erzeugt, wie er benötigt wird. Der Strom muß von den Offshore-Windparks zu den Stromverbrauchern im Süden geleitet werden. Der Bau neuer Hochspannungsnetze ist sehr teuer und mit langen Genehmigungszeiten verbunden. Unabhängig davon kommt es regelmäßig zu lokalen Stromausfällen, wie vor einiger Zeit im Finanzzentrum Frankfurt. Ein Brand in einem Umspannwerk, der falsche LKW am richtigen Verteilerkasten oder der Baggerbiß in der Leitung kann auch bei uns ganz schnell eine Stadt in der Dunkelheit versinken lassen. Während kurzfristige Stromausfälle im Stundenbereich noch mit Hilfe von Netzersatzanlagen überbrückt werden können, wird es bei Stromausfällen von einem Tag oder länger schon sehr kritisch.
Für derartige Szenarien hat das BBK jetzt das “Krisenhandbuch Stromausfall” veröffentlicht. Neben eineer eingehenden Analyse der Auswirkungen eines großflächigen Stromausfalls gibt das Handbuch auch Handlungsempfehlungen zur Krisenkommunikation – auch ohne Strom.
“Um die Herausforderung eines großflächigen, lang anhaltenden Stromausfalls in Baden-Württemberg künftig auch in der Realität erfolgreich meistern zu können, wurden im Rahmen eines Projektes das Krisenmanagement von Stromausfällen detailliert untersucht und Handlungsempfehlungen zur Vorbreitung auf und Bewältigung von Stromausfällen erarbeitet. Aufgrund der bisher einmaligen Zusammensetzung des Projektkonsortiums war es möglich, sowohl behördlichen und privatwirtschaftlichen als auch wissenschaftlichen Sachverstand in das Projekt einzubringen und zentrale Aspekte der Zusammenarbeit mir Betreibern Kritischer Infrastrukturen im Krisenmanagement besonders zu berücksichtigen” (BBK).
Sungard,weltweit einer der führenden Service-Provider für BCM- und Availability Services, hat seine Analyse der Ursachen für Geschäftsprozessunterbrechungen in UK veröffentlicht. Grundlage der Analyse ist die Inanspruchnahme der BCM-Services durch die Kunden in UK.
Erstmalig waren häufiger “workplace disruptions” mit 56 Prozent häufiger die Ursache für Geschäftsunterbrechungen als hardwarebedingte Ursachen. Insgesamt ist die Zahl der Aktivierung der BCM-Lösungen bei Sungard UK gegenüber dem Vorjahr um 56 Prozent gestiegen.
Einen starken Anstieg bei den Ursachen für Geschäftsunterbrechungen sieht Sungard bei der Unterbrechung der Stromversorgung, deren Anzahl sich geegnüber dem Vorjahr verdoppelt hat,sowie dem Ausfall von Kommunikationssystemen mit einem rapiden Anstieg von 1.300 Prozent gegenüber dem Vorjahr.
Quelle: Sungard Availability Services 02-06-2010
Die Analyse von sungard bezieht sich zwar ausschließlich auf Großbritannien, die Ergebnisse lassen sich aus meiner Sicht aber auch auf Deutschland übertragen. Die Risiken des Ausfalls von Arbeitsplätzen werden gegenüber den technologischen / IT-Risiken häufig unterschätzt. So ist die Absicherung der Stromversorgung für die IT durch Netzersatzanlagen Standard. Dies ermöglicht das geordnete Herunterfahren der IT-Systeme oder auch den von der regulären Stromversorgung unabhängigen Betrieb der IT-Systeme.
Für die Fortführung der Geschäftsprozesse ist jedoch, neben der Verfügbarkeit der IT, die Stromversorgung der Arbeitsplätze und der Gebäude von entscheidender Bedeutung. Die Clients und Bildschirme benötigen eine Stromversorgung (auch Laptops nach einer gewissen Zeit). Drucker, Telefonie, Faxgeräte und weitere Peripherie fällt ohne Stromversorgung unmittelbar aus. In vielen Unternehmen gibt es farblich gekennzeichnete Stromanschlüsse, die kenntlich machen sollen, dass diese Dose notstromversorgt ist. Doch ist sie das tatsächlich, auch nach zahlreichen Umbauten und Umzügen? Hängt statt dem PC der Kaffevollautomat der Abteilung an der Dose? Sind tatsächlich die kritischen Arbeitsplätze sowie die zugewiesenen Ausweicharbeitsplätze mit Notstrom versorgt?
Die gleichen Fragestellung gelten für Router, Switches und Server, die über das gesamte Gebäude verteilt sind, sowie viele zentrale Gebäudefunktionen (Licht, Klima, Aufzüge, Steuerungselektronik).
Auch der Ausfall der Wasserversorgung, der Toiletten oder der Klimatisierung zieht den Ausfall von Arbeitsplätzen nach sich. Evakuierung von Gebäuden auf Grund von Sprengstofffunden bei Bauarbeiten, Gaslecks oder Bombendrohungen sind weitere Ursachen für Ausfälle von Arbeitsplätzen, die nicht IT-bedingt sind.
Die reine Fokussierung auf technologische und hardwaretechnische Ursachen greift daher zu kurz. Nach dem Motto “die IT ist abgesichert, bei einem Stromausfall kann das Geschäft weitergehen”. Auch hier hilft eine Business Impact Analyse, indem die für das Geschäft kritischen Arbeitsplätze identifiziert und entsprechende Ersatzlösungen konzipiert und getestet werden.
Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.
Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.
Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.
Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse
zur Identifikation der relevanten Risiken (Risikoanalyse)
zur Festlegung der verfügbaren Notfallstrategien
zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.
Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.
Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.
Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.
Am Donnerstag wurden auf dem Flughafen Berlin-Tegel zwei Männer mit russischen Pässen festgenommen. Sie standen im Verdacht eine Maschine der Fluggesellschaft Air Berlin nach Moskau entführen zu wollen. Die Bundespolizei hat die beiden 26 und 49-jährigen daraufhin festgenommen. Die Maschine ist ohne sie verspätet nach Moskau abgeflogen. Eine russisch sprechende Frau hatte vor dem Abflug der Maschine eine Unterhaltung in Russisch der beiden Fluggäste verfolgt und aus dem Gespräch entnommen, dass die Beiden eine Entführung der Maschine planen.
Wie sich jetzt bei der Vernehmung der beiden Verdächtigen herausstellte, handelt es sich um russische Piloten, die gerade von einem Sicherheitstraining in Schönefeld kamen und sich über die Inhalte dieses Trainings unterhielten. Dies brachte die Zeugin auf falsche Gedanken und die Piloten vorübergehend ins Gefängnis. Sie sind mittlerweile wieder auf freiem Fuß und können in Moskau neben ihren Erfahrungen aus dem Sicherheitstraining noch eine weitere tolle Geschichte erzählen.
Was lehrt uns diese Geschichte? Eine höhere Sensibilisierung für Gefährdungen führt im Umkehrschluß auch zu einer Zunahme der Fehlalarme. In New York wurden nach dem mißglückten Terroranschlag auf dem Times Square in kurzer Zeit zwei Fehlalarme ausgelöst. Ein Alarm durch leere Wasserflaschen auf dem Times Square und eine Brückensperrung. Dies ist der Preis einer höheren Sensibilisierung. Trotzdem muß jeder Alarm ernstgenommen werden. Nicht jeder Feueralarm ist einer dieser lästigen Übungen! Zum anderen ist bei Übungen mit besonderer Vorsicht darauf zu achten, dass nicht aus der Übung ungewollt plötzlich Ernst wird. Schnell wird im Rahmen einer Übung ein Telefonat oder eine Bemerkung durch nicht and der Übung beteiligte Personen falsch verstanden und der Ernstfall oder zumindest Unruhe oder gar Panik ausgelöst. Die beiden Piloten waren nicht mehr in der Übung, haben aber genau diesen Effekt unbewusst ausgelöst.
Bei den aktuellen Flugausfällen durch die großräumigen Luftraumsperrungen stehen in den Medien derzeit die auf den Flughäfen oder in den Urlaubsgebieten gestrandeten Touristen sowie die ebenfalls betroffene Bundeskanzlerin und der Verteidigungsminister im Vordergrund. Weiterlesen…
2008 wurde in Großbritannien das National Risk Register (NRR) von der Regierung veröffentlicht. Das NRR gibt eine Einschätzung von relativer Schadenshöhe und relativer Eintrittswahrscheinlichkeiten von Risiken für Großbritannien.
Das NRR wurde jetzt aktualisiert. Die Änderungen sind in diesem Dokument beschrieben.
Die bedeutendsten Risiken bleiben das Risiko einer Pandemie, Überschwemmungen und Terrorangriffe auf Menschenansammlungen. Die Risikoeinschätzung für Naturkatastrophen “severe weather” wurde erhöht. Das Risiko Cyber Attack wurde in zwei Risiken aufgeteilt: “Cyber Attacks: National Infrastructure” und “Cyber Attacks: Data Confidentiality”.
Munich Re und Swiss Re haben ihre Katastrophenschadensbilanz für 2009 vorgelegt. Die beiden Studien (Munich Re: “Topics Geo 2009” und Swiss Re “sigma No 1/2010” kommen zu leicht unterschiedlichen finanziellen Schadenshöhen, die Entwicklungen werden aber gleich eingeschätzt. Weiterlesen…
Das Bundesamt für Sicherheit in der Informationstechnik BSI hat die 11. Ergänzungslieferung der IT-Grundschutzkataloge online gestellt. Der Baustein “Notfallmanagement” wurde auf Grundlage des BSI Standard 100-4 überarbeitet:
Hierzu das BSI in der Einleitung zur 11. Ergänzungslieferung:
“Im Dezember 2008 wurde der BSI-Standard 100-4 Notfallmanagement veröffentlicht. Bereits während dessen Erstellung wurde begonnen, den Baustein B 1.3 Notfallmanagement zu überarbeiten. Der Baustein baut daher auf dem BSI-Standard 100-4 auf und fasst die wichtigsten Aspekte zum Notfallmanagement hieraus zusammen.
Im Baustein wird aufgezeigt, wie ein funktionierendes Notfallmanagement in einer Behörde oder einem Unternehmen eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu die wesentlichen Schritte in einem systematischen Notfallmanagement-Prozess und gibt Anleitungen zur Erstellung eines umfassenden Notfallkonzeptes.”
Explosion im französischen Hochgeschwindigkeitszug TGV 1234 Paris- Dijon. 102 Tote und 380 Verletzte. Diese Meldung war auf der Webseite des französischen Bahnunternehmens SNCF zu lesen. Die schockierende Nachricht verunsicherte Bevölkerung und Presse am vergangenen Dienstag in Frankreich. Besorgte Pressevertreter erkundigten sich bei der Bahngesellschaft. Gott sei Dank falscher Alarm. Die Meldung war Gegenstand einer internen Übung und versehentlich auf der Webseite gelandet. Dies berichtet das Feuerwehr-Magazin in ihrer Online-Ausgabe. Weiterlesen…
in Kooperation mit DQS und Schmitz & Teichmann Betriebsberatung GmbH führt bcm-news derzeit eine Online-Umfrage zum Stand des Notfallmanagements durch. Ziel der Umfrage ist es, ein Bild der Verbreitung von BCM im deutschsprachigen Raum zu erhalten. Die Ergebnisse werden im April ausgewertet und durch die Kooperationspartner der Umfrage veröffentlicht.
Die Beantwortung der Fragen nimmt etwa 10 Minuten in Anspruch. Die Ergebnisse der Befragung werden lediglich anonymisiert verwendet, personenbezogene Daten werden nicht erhoben. Interessierte finden die Online-Umfrage unter http://www.dqs-survey.de.
Das Erdbeben in der Türkei hat bislang mehr als 50 Todesopfer gefordert. Hauptursache für die hohe Zahl an Opfern ist offensichtlich die nicht erdbebensichere Bauweise mit Lehm in einer stark erdbebengefährdeten Region. Die bestätigte auch Ministerpräsident Recep Tayyip Erdogan. Er hat die Wohnungsbehörde angewiesen, dort nun erdbebensichere Gebäude zu errichten. Um 4:32 Uhr erschütterte das Erdbeben die Provinz Elazig. In der Zwischenzeit sind über 80 Nachbeben mit Stärken um 5.5 aufgetreten. Weiterlesen…
Cookies erleichtern die Bereitstellung unserer Dienste. Wenn du diese Website weiterhin besuchst, erklärst du dich damit einverstanden.OkDatenschutz
