Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

Virtueller Impulstag des IBCRM

Virtueller Impulstag des IBCRM am 13.10.2021

Das Institut für Business Continuity und Resilience Management e.V., kurz IBCRM, veranstaltet am 13. Oktober den virtuellen Impulstag zu den Themengebieten Operational Resilience, Wandel und Zukunft des Krisenmanagements sowie aktuelle regulatorischen Anforderungen.

Die Agenda der virtuellen Veranstaltung besteht aus zahlreichen kurzen und knackigen Beiträgen von Experten zu den verschiedenen Themengebieten:

  • Neue Wege in BCM und Resilience
  • Wie sieht das Krisenmanagement von morgen aus?
  • Digitalisierung der Krisenstabsarbeit
  • Die Verzahnung von Operationaler Resilienz mit anderen Disziplinen
  • BCM in der Industrie 4.0

Dies sind nur einige der Themen aus dem umfangreichen und abwechslungsreichen Programm.

Holen Sie sich aktuelle Informationen und Impulse für Ihre Arbeit und melden Sie sich für die Veranstaltung an. Die Anmeldung zu der Veranstaltung ist auf der Webseite des IBCRM möglich.

DIN EN ISO 22300:2021 in deutsch erschienen

Der ISO-Standard ISO 22300:2021-06 “Sicherheit und Resilienz – Begriffe” ist in deutscher Sprache erschienen. Der Standard enthält das Glossar der Begrifflichkeiten für Sicherheit und Resilienz für diese Normenreihe.

Der ISO-Standard kann beim Beuth-Verlag bezogen werden.

Erfahrungsgemäß sind die Übersetzungen in die deutsche Sprache nicht immer sehr gut gelungen und die englischen Begriffe prägnanter und aussagekräftiger. Ob dies auch für diesen Standard zutrifft, kann ich allerdings noch nicht beurteilen.

Testen und Üben –Sisyphusarbeit im Business Continuity Management

Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen

Am 26. August 2021 hat das BaFin die Novellierungen der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) nach der Konsultationsphase final veröffentlicht.

Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.

Für so manchen BCM- und ITSCM-Verantwortlichen wird die Umsetzung der Anforderungen wie eine nie enden wollende Sisyphusarbeit erscheinen.

Es gibt jedoch Stellschrauben, um die Aufwände für die nachzuweisenden Tests und Übungen zumindest zu verringern, ohne an Qualität zu verlieren.

In meinem aktuellen Beitrag auf 3GRC stelle ich mehrere dieser Stellschrauben vor.

Notfallvorsorge für physische Dokumente

Bereits durch die Velagerung vieler Tätigkeiten in den Remote-Betrieb ist vielen Unternehmen aufgefallen, wieviele physische Dokumente für die Aufrechterhaltung der Geschäftsprozesse trotz Digitalisierungstrend nach wie vor zwingend erforderlich sind. Neben der eingehenden Kundenkorrespondenz, Prozessdokumentationen und Freigaben per Unterschrift handelt es sich auch um Urkunden wie zum Beispiel Grundschuld- oder Fahrzeugbriefe.

In Archiven schlummern zudem Akten, die für die Buchführung und Steuernachweise erforderlich sind und gesetzlichen Aufbewahrungspflichten unterliegen. Idealerweise werden diese Dokumente bereits in der Business Impact Analyse erhoben. Bei Übungen und Tests von Ausweicharbeitsplätzen und gerade jetzt im Pandemiebetrieb werden ebenfalls solche kritischen physischen Dokumente identifiziert. Es ist trotzdem erstaunlich, wieviele für einen Geschäftsprozess erforderliche physische Dokumente bei Übungen noch identifiziert werden, an die vorher nicht gedacht wurde. Oftmals sind dies auch Aufschriebe und Hilfsdokumentationen, die für die tägliche Arbeit in den Schreibtischen liegen.

Rechtzeitig erkannt, können für den Fall, dass kein Zugriff mehr auf die Dokumente besteht, Ersatzlösungen geschaffen werden. Eine Lösung kann zum Beispiel die Digitalisierung der Dokumente vor und während der Bearbeitung sein. Wo dies nicht möglich ist, wie zum Beispiel bei notariell beglaubigten Urkunden, muss das Archiv angemessen geschützt und Ersatzbeschaffungslösungen evaluiert werden.

Diese Bilder aus den Überschwemmungsgebieten zeigen, welche Folgen ein Wasserschaden für diese wichtigen Dokumente haben kann.

Quelle: Bundeswehr auf twitter

Auf einen Schlag sind Archive vollständig zerstört oder nur mit erheblichem Aufwand wiederherstellbar. Dies betrifft nicht nur Unternehmen sondern auch jeden von uns. Gerade in diesen Notfall-Situationen werden die Versicherungsunterlagen dringend benötigt.

Die Techniken der Digitalisierung sind weit fortgeschritten und für Unternehmen wie auch für Privatpersonen relativ einfach umzusetzen. Für Privatpersonen, Praxen und kleine Unternehmen reicht bereits ein Multifunktionsgerät mit Scanner aus. Werden die gescannten Dokumente zusätzlich in einer sicheren Cloud-Umgebung abgelegt statt auf der Festplatte des PC kommt eine weitere wichtige Sicherheitsebene hinzu. Die Dokumente sind auch nach einer Evakuierung, einem Brand oder Feuer verfügbar – im Gegensatz zur lokalen Festplatte auf dem heimischen PC. Eine Internetverbindung zum Cloud-Speicher ermöglicht den schnellen Zugriff auf alle wichtigen Dokumente. Noch komfortabler geht es mit Archivierungssystemen, die das Indizieren der Dokumente und eine Volltextrecherche ermöglichen. Der tägliche Aufwand hierfür ist gering, der Nutzen in einem Notfall aber enorm.

Persönliche Eindrücke aus Sinzig an der Ahr

Wenn das Unvorstellbare über die Menschen hereinbricht

Ich war am vergangenen Samstag mit meinem Kollegen in Sinzig an der Ahr, um den Menschen vor Ort zu helfen. Wir wurden von der lokalen Feuerwehr nach der Registrierung als Helfer in einen Ortsteil gesandt, der von den Wassermassen verwüstet wurde. Das Wasser stand während der Flut bis zur Deckenhöhe im Erdgeschoss. Als wir ankommen ist das gesamte Mobiliar völlig verschlammt, nass und verwüstet. Unvorstellbare Mengen an Schlamm und Gegenständen bis hin zu Containern und aufgeschwemmten Heizöltanks haben sich auf den Strassen, den Dächern und Gärten aufgetürmt. Die Keller standen noch voll Wasser. Kein Strom, kein Frischwasser, aber zumindest das Mobilfunknetz funktionierte. Sie alle haben diese Bilder gesehen. Nur der unangenehme Gestank von ausgelaufenem Heizöl, der über allem liegt, kann durch die BIlder nicht vermittelt werden.

Es war eine bunte Mischung aus Angehörigen und freiwilligen Helfern, die den Kampf gegen Schlamm und Müll führten. Ein Feuerwehrfahrzeug der örtlichen Wehr pumpte Haus für Haus die Keller leer. Es ging jedoch bald der Platz für den beseitigten Schlamm und Sperrmüll aus, der aus den Häusern, Gärten und Einfahrten geschleppt wurde. Hier fehlte schweres Gerät für den Abtransport.

Am Nachmittag kam es dann zu einer Massenpanik, verursacht durch eine Fake-Meldung, dass das Wasser der Ahr wieder kommen würde. Auch dies gehört leider zur Realität. Die Bergungsarbeiten wurden hierdurch unterbrochen und endetem in einem Verkehrschaos in dem kleinen Ort als jeder versuchte mit dem Auto wegzukommen.

Heute wird bereits viel Kritik am Warnsystem geübt. Wurden die betroffenen Menschen rechtzeitig, mit den richtigen Mitteln und den richtigen Informationen gewarnt? Viele Fragen müssen im Nachgang zu dieser Katastrophe gestellt und beantwortet werden.

Mein persönlicher Eindruck hierzu ist, dass selbst eine gut funktionierende Alarmierung die Folgen nur bedingt verhindert hätte. Die Wassermassen einer über fünf Meter hohen Wasserwand, die in Minuten hereinbricht, sind einfach nicht vorstellbar, wenn man nicht die aktuellen Bilder im Kopf hat. Der Ortsteil, in dem wir geholfen haben, wurde zuvor nie überschwemmt, bei anderen Orten stand vielleicht einmal der Keller im Wasser. Diese aktuelle Katastrophe hätten die betroffenen Menschen, einschließlich mich selbst, niemals für möglich gehalten. Warnmeldungen über NINA oder Katwarn über eine Niederschlagsmenge von bis zu 200 Litern pro Quadratmeter sind für den Laien zunächst einmal abstrakt und kaum in reale Folgewirkungen umzusetzen. Der Mensch handelt aus Erfahrung und Wissen. Für diese Situation fehlte den Menschen die Erfahrung und das nötige Wissen, um die Situation richtig einschätzen zu können.

Wichtig ist aus meiner Sicht daher, Menschen über das richtige Verhalten bei Starkregen und Überschwemmungen zu informieren, um in erster Linie Menschenleben zu schützen. Zum Beispiel nicht in einen gerade mit Wasser volllaufenden Keller zu gehen, um noch etwas zu retten, auf offene Kanalabflüsse und Stromleitungen achten und vor allem zunächst einmal sich selbst in Sicherheit zu bringen.

Klare Anweisungen zu Evakuierungen müssen von den Behörden erfolgen, die Warnmeldungen richtig einschätzen können, die Lage vor Ort kennen und diese Maßnahmen dann auch durchsetzen und organisieren.

Es wird leider nicht die letzte Katastrophe sein. Ich wünsche mir, dass die Veränderungen nachhaltig sind, auch wenn die Häuser wieder bewohnt werden und die Spuren der Verwüstung beseitigt sind.

Überflutungen nach Starkregen sind das größte Risiko für Deutschland durch den Klimawandel

Im Juli 2021 hat die Europäische Zentralbank die Studie “Climate-related risk and financial stability” veröffentlicht. In dieser Studie heißt es zu den erwarteten Schäden aus dem Klimawandel für Europa:

“Exposures to physical climate hazards are concentrated at the regional level, with potential stranding risks. A matching of physical risk drivers to 1.5 million euro area firms at the address level shows that riverine floods are the
most economically relevant widespread climate risk driver in the EU over the next two decades.
Wildfires, heat stress and water stress could have a strong impact on some regions, possibly compounded by further stresses such as rising sea levels in the second half of this century. Ultimately, a coalescing of such natural hazards could impact up to 30% of euro area bank corporate exposures.”

Anzahl der Starkregen wie auch die hieraus entstandenen Schäden haben über die die vergangenen Jahre stark zugenommen. Die stärksten zehn Prozent der Hochwasserereignisse in Deutschland könnten demnach nicht mehr „nur“ 100.000 Menschen treffen, sondern 700.000, so das Potsdam-Institut für Klimafolgenforschung.

Die aktuelle Hochwasser-Katastrophe dürfte daher leider kein Jahrhundertereignis werden, sondern sich in eine Serie von Starkwetterereignissen einordnen.

Umso wichtiger ist es, entsprechende private und unternehmerische Vorsorgemaßnahmen zu treffen. Hierzu gehört auch der Abschluß entsprechender Versicherungen zur Schadensregulierung.

Der Gesamtverband der Deutschen Versicherungswirtschaft GDV hat in einer “Starkregen-Initiative der Versicherer” Informationen zu Naturgefahren zusammengestellt. Hierzu gehört auch ein Naturgefahren-Check, in dem das Risiko für das jeweilige Postleitzahlengebiet ermittelt werden kann.

Die Herausforderungen des Wiederanlauf aus dem Notbetrieb

Der Schwerpunkt in der Notfallplanung liegt häufig in den Verfahren für den Notbetrieb, dabei wird die Komplexität des Wiederanlaufs unterschätzt

In Schweden musste die große Supermarktkette hunderte von Läden nach einem erfolgreichen Ransomware-Angriff schließen. In einer Supply-Chain-Attacke wurde die Fernwartungssoftware VSA von Kaseya mit eine Ransomware kompromittiert. Über die Lücke in der Fernwartungssoftware konnten die Angreifer auf die Kassensysteme zugreifen und mit Hilfe des Verschlüsselungstrojaners REvil die Daten in den Kassensystemen verschlüsseln. Die Angreifer fordern 70 Millionen Dollar Lösegeld für die Herausgabe des Softwareschlüssels zum Entsperren der Daten. Über 1.000 Unternehmen sind von der Ransomware betroffen, darunter auch einige Unternehmen in Deutschland.

Weiterlesen…

Die neuen ISO Guidelines ISO / TS 22332 für Business Continuity Pläne

Für Sie gelesen: die neuen ISO-Guidelines für Business Continuity Pläne

Das Technical Committee ISO/TC 292 Security and resilience hat uns mit einer neuen Guideline für das BCM beglückt. Die ISO / TS 22332 trägt den Titel “Guidelines for developing business continuity plans and procedures” und beschreibt auf übersichtlichen 19 Seiten Empfehlungen für die Erstellung von Business Continuity Planungen (BC-Pläne). Der ISO-Standard verwendet daher auch durchgehend den Begriff “should” – und nicht “shall” wie die Norm ISO 22301 – was den Charakter einer Guideline der Norm deutlich macht.

Die Lektüre eines neuen ISO-Standards ist immer spannend, oftmals anstrengend und enttäuschend, manchmal leichtgängig und erfreulich. Diese Guideline gehört glücklicherwiese zur positiven Gattung der ISO-Neuerscheinungen. Nicht nur die Länge ist angemessen, auch sind die Inhalte pragmatisch und ergebnisorientiert dargestellt. Dies kann man leider nicht von jedem Standard behaupten. Die Entwicklung scheint mir aber in letzter Zeit in die richtige Richtung zu gehen – pragmatisch und ergebnisorientiert statt theoretisch, abstrakt und abkürzungsfanatisch.

Nun aber zu den Inhalten unseres Neuankömmlings. Die Guideline ist gegliedert in die Abschnitte Begriffsdefinitionen, Voraussetzungen, Notfallbewältigung (“Response”), Arten von BC-Plänen, Inhalte von BC-Plänen, szenariobasierte BC-Pläne, Hinweise zum Schreiben von BC-Plänen, Qualitätssicherung, Aufbewahrung und Verfügbarkeit von BC-Plänen, Folgeschritte nach der Erstellung von BC-Plänen, sowie Überwachung und Aktualisierung der BC-Pläne.

Im BCM-Lifecycle folgt die Planungs-Phase auf die Phase zur Festlegung der Business Continuity Strategien und – Lösungen. Die BC-Strategien bilden daher die Voraussetzungen, um auf diesen aufbauend konkrete BC-Pläne entwickeln zu können. An die Planungs-Phase schließt die Phase zur Durchführung der Übungen und Tests an, die den Kreis des BCM-Lebenszyklus zur Business Impact Analyse schließt..

Neben den BC Strategien bilden die Identifikation der “interested parties”, die Festlegung von Rollen und Verantwortlichkeiten für die BC-Planung sowie die Bereitstellung der Ressourcen zentrale Voraussetzungen um in die BC-Planungsphase starten zu können. Die Guidance sieht hierbei ein Team zur Erstellung der BC-Pläne vor, das von einer kompetenten und mit entsprechenden Autorität ausgestatteten Person geführt wird. Der BCM Beauftragte ist also explizit nicht der Autor der BC-Pläne, sondern koordiniert und steuert die Erstellung der BC-Pläne, macht Vorgaben und sichert die Qualität und Vollständigkeit.

BC-Pläne und Notfallprozeduren sollen eine schnelle Reaktion ermöglichen und ausreichend flexibel sein, um auf unerwartete Situationen reagieren zu können. Diese Empfehlung könnte zur Schlußfolgerung führen, dass die Guideline dem All-Hazard-Ansatz folgt. Die BC-Pläne sollen hierbei für möglichst viele BCM-Szenarien einsetzbar sein und orientieren sich daher an den Schadenswirkungen und nicht an den Ursachen. Doch wird dies relativiert, indem in einem eigenen Abschnitt “Plans for response to specific disruptions” szenariobasierte BC-Pläne für die beiden Szenarien Pandemie / Epidemie und Cyber-Attacken empfohlen werden. Die Guideline verbindet daher wirkungsbasierte mit szenariobasierten BC-Plänen. Dies ist ein praxisorientierter Ansatz, den ich aus meiner eigenen Erfahrung nur bestätigen kann. Siehe hierzu auch meinen Beitrag in den BCM-News.

Bei der Notfallorganisation folgt die Struktur dem dreigliedrigen Prinzip “strategische Team-Ebene”, “taktische Team-Ebene”, “operative Team-Ebene”, im amerikanischen auch oftmals als “Gold”, Silver”, “Bronze” bezeichnet. Die strategische Ebene besteht aus dem Top Management, das die Strategie vorgibt. Das taktische Team steuert und koordiniert die Notfallbewältigung und das operative Team setzt die Maßnahmen um. In kleineren Organisationen dürfen Ebenen auch zusammengefasst werden. Die Struktur der BC-Pläne folgt dieser dreistufigen Logik indem es strategische, taktische und operative Team-Pläne gibt. Die Inhalte korrespondieren mit der Notfall-Organisation. Strategische Pläne konzentrieren sich auf die Ziele der Wiederherstellung und Monitoring der Schadensfolgen sowie Schutz der Reputation der Organisation. Taktische Team-Pläne sollen übergreifende koordinative Pläne zum Beispiel für den Transport der Mitarbeiter und Bereitstellung von Ressourcen beinhalten währen die operativen Team-Pläne die Geschäftsfortführungs- und Wiederherstellungsprozeduren beinhalten.

Für die Planinhalte sieht die Guideline allgemeine Inhalte und planspezifische Inhalte vor. Zu den allgemeinen Inhalten zählen die Ziele, Voraussetzungen, Notfallteams, Aufgaben, Kommunikation, Kontaktdaten, Ressourcen sowie Kriterien für die Auflösung der Teams. Spezifische Planinhalte beinhalten die Notfallprozeduren für Kommunikation und Geschäftsfortführung sowie Wiederanlauf für die klassischen BCM-Ausfallszenarien.

Organisationen sollen darüber hinaus BC-Pläne für spezifische Szenarien erstellen. Explizit sind die beiden Szenarien “Pandemie / Epidemie” und “Cyber-Attacken” im ISO 22332 beschrieben.

BC-Pläne sollen für Situationen mit hohem Stress-Level und Zeitdruck erstellt werden. Pläne sind keine Handbücher oder Berichte und sollten keine unnötigen Informationen enthalten. Dies ist aus meiner Sicht ein wichtiger Hinweis auf völlig ungeeignete Notfall-Handbücher, die sich in Textwüsten über mehrere hundert Seiten erstrecken und sich im Notfall eigentlich nur zum Unterlegen verwenden lassen.

Die Guidelines schließen mit den Anforderungen an die Qualitätssicherung und laufende Aktualisierung.

Ein BC-Plan ist solange geduldiges gedrucktes Papier bis er im Rahmen von Übungen und Tests auf seine Praxistauglichkeit überprüft ist. Folgerichtig schließen die Guiodelines mit den Anforderungen an Übungen und Tests.

In der Anlage sind ergänzende Hinweise für die BC-Planung enthalten. Hier werden zum Beispiel die Themen Outsourcing, manuelle Workarounds, ICT Change Management, Ausweicharbeitsplätze und Supplier Management mit konkreten Hinweisen und Empfehlungen adressiert.

Aus meiner Sicht ist dies eine gelungene Empfehlung für die Erstellung von BC-Plänen. Die angelsächsische Gliederung in strategische, taktische und operative Ebene mag ungewohnt sein, doch lässt sich diese Struktur sehr gut in gewohntere Begrifflichkeiten und Strukturen transformieren.

Ressourcenbasierte versus szenariobasierte Notfallplanung

Nutzung von Szenarioanalysen zur Erhöhung der Resilienz

Die Geschäftsfortführungs- und Wiederherstellungsplanung hat zum Ziel, die zeitkritischen Geschäftsprozesse nach einer Unterbechung durch ein Schadensereignis zunächst in einen geordneten Notbetrieb und anschließend in den Normalbetrieb zu überführen. Bei der Erstellung dieser Notfallplanung stellt sich immer die Frage, wie die Notfallplanung inhaltlich strukturiert und aufgebaut werden soll.

Die Notfallpläne sollen beim Eintritt eines Schadensereignisses eine strukturierte Anleitung mit Prozeduren und Verfahren (“Standard Operating Procedures”) zur Bewältigung des Notfalls geben. Die Herausforderung bei der Notfallplanung besteht allerdings darin, dass es eine nicht überschaubare Menge an Schadensereignissen (Ursachen) geben kann, die zu einem Notfall führen können. Es gibt zum Beispiel viele Ursachen, die zum Ausfall eines Gebäudes führen können, die zusätzlich voneinander abhängig sind. So kann zum Beispiel erst der Löscheinsatz der Feuerwehr nach einem Brand zum Ausfall des Gebäudes auf Grund des Wasserschadens führen. Für jedes mögliche Schadensereignis einen Notfallplan zu erstellen, würde bedeuten, eine sehr große Anzahl an Notfallplänen erstellen und pflegen zu müssen, mit dem Risiko, dass genau für das eingetretene Ereignis dann leider kein Notfallplan vorliegt, da niemals alle Szenarien abgedeckt werden können.

Eine Lösung für diese Herausforderung stellen generische Notfallpläne dar, die auf die Bewältigung der Schadenswirkungen abzielen und nicht auf die vielfältigen Ursachen. Die Notfallplanung beinhaltet zum Beispiel die Verfahren bei Ausfall eines Gebäudes, ungeachtet der Ursache für den Gebäudeausfall. Diese Denkweise folgt dem All-Hazard-Ansatz, der zum Ziel hat, durch generische Notfallplanungen viele Schadensszenarien abzudecken.

Im Rahmen der Notfallplanung werden daher konsequenterweise Notfallplanungen für den Ausfall kritischer Prozessressourcen entwickelt: Notfallpläne für “Ausfall Personal”, “Ausfall Gebäude”, “Ausfall IT”, “Ausfall Dienstleister”. Die Ursachen für die Ausfälle werden in der notfallplanung ausgeblendet. Dieses Vorgehen reduziert die Anzahl der Notfallpläne auf ein überschaubares Maß und erleichtert damit die Erstellung, Pflege und Validierung der Notfallpläne.

Dieser ressourcenorientierte Planungsansatz hat neben den eindeutigen Vorteilen in der Erstellung und Pflege der Plandokumente jedoch auch seine Grenzen. Nicht jedes Szenario lässt sich eindeutig einem Notfallplan zuordnen. Ein gutes Beispiel ist die Covid-19-Pandemie. Die Pandemie hat bei den meisten Unternehmen nicht zu kritischen Personalausfällen geführt, sondern ganz andere und komplexere Schadenswirkungen erzielt. Diese beginnen bei der eingeschränkten Nutzbarkeit von Arbeitsplätzen und Gebäuden durch die Hygienekonzepte, über tiefgreifende und anhaltende Unterbrechungen von Lieferketten, Wegfall von Absatzmärkten bis hin zu Liquiditätsnotfällen.

Die Konsequenz hieraus sollte jetzt allerdings nicht sein, die ressourcenbasierte Notfallplanung zu Gunsten einer szanariobasierten Vorgehensweise aufzugeben, sondern vielmehr die Stärken beider Vorgehensweisen zu kombinieren.

Dies bedeutet, die Top-Risikoszenarien mit einem sehr hohen Schadenspotial für die Organisation zu identifizieren und für die Szenarien jeweils eine Risikoanalyse und eine Notfallplanung zu erstellen. Die szenariobasierte Risikoanalyse deckt hierbei Lücken in der bestehenden Notfallplanung auf, die durch eine assetbezogene Sichtweise entstehen können. In meinem aktuellen Beitrag “Bow-Tie: Risikomanagement mit Hilfe der Fliege” auf 3GRC beschreibe ich eine Methode, mit der mit einfachen Mitteln eine anschauliche Szenarioanalyse durchgeführt werden kann. Die auf Basis der Szenarioanalyse erstellte Notfallplanung kann ein eigener Notfallplan (Bsp. Notfallplan “Stromausfall”) oder eine Kombination bestehender Notfallpläne sein.

Die Top-Risikoszenarien, die in dieser Betrachtung analysiert werden sollten, hängen von der spezifischen Risikosituation der Organisation ab und sollten (nur) die bestandsgefährdenden Risiken beinhalten. Zu diesen zählen zum Beispiel Cyber-Attacken, Unterbrechungen der Lieferketten, Ausfall kritischer Dienstleister, Extremwettereignisse, Produktrückrufe, Liquiditätsengpässe, Tod von Geschäftsführern etc..

Wie stehen Sie zu den unterschoiedlichen Ansätzen in der Notfallplanung? Ich freue mich auf Ihre Kommentare!

Be prepared

Matthias Hämmerle