Notfallplanung fĂĽr die Katz

Immer wieder erlebe ich in Tests und Übungen, aber auch bei Störungen und Notfällen, dass vorhandene Notfallplanungen nicht genutzt werden, sondern mal gut und leider auch weniger erfolgreich durch die Beteiligten improvisiert wird.

Wenn man die Ursachen hierfür analysiert, kommt man immer wieder auf die gleichen Punkte:

  1. Es ist den Beteiligten / Betroffenen nicht bekannt, dass es eine BCM-Notfallplanung gibt
  2. Die BCM-Notfallplanung ist nicht griffbereit, nicht auffindbar oder nicht zugänglich
  3. Die BCM-Notfallplanung ist nicht aktuell, Kontaktdaten nicht gepflegt
  4. Die BCM-Notfallplanung deckt das aktuelle Szenario gar nicht oder nur sehr unzutreffend ab
  5. Die BCM-Notfallplanung ist in einer kritischen unübersichtlichen Notfallsituation nicht nutzbar, da sie aus mehreren hunderten Seiten Textwüste besteht.

Während die Punkte eins bis drei noch relativ einfach durch Information, Kommunikation, Disziplin sowie Kontrollen zu beheben sind, geht es bei den Ursachen vier und fünf “an das Eingemachte” der BCM-Notfallplanung. Oftmals gilt offensichtlich der Grundsatz “Masse ist gleich Klasse”. Umfangreiche Einleitungen, Darstellungen von Business Impact Analysen und sich wiederholende Standardtexte “schmücken” die eigentliche Notfallplanung. Die Kerninhalte bestehend aus den Notfallprozeduren für Kommunikation, Einleitung und Durchführung des Notbetriebs, Wiederanlauf in den Normalbetrieb sowie Kontaktdaten sind in den Textwüsten nicht auffindbar. Statt mühsam zu suchen, wird dann improvisiert.

Sehr schade für die ganze Mühe, die in die Dokumente gesteckt wurde und es ist dann auch nicht verwunderlich, dass die laufende und anlassbezogene Aktualisierung der Dokumente der Priorisierung anderer Aufgaben zum Opfer fällt.

Sollte Ihnen diese Situation bekannt vorkommen, ist es an der Zeit über Struktur und Aufbau der BCM-Notfallplanung grundsätzlich nachzudenken.

Sie würden sich auch nicht einem Piloten im Cockpit anvertrauen, der das 1.000-seitige Manual des Herstellers für das Triebwerk unter seinem Pilotensitz für Notfälle bereithält. Und der Co-Pilot die weiteren Handbücher im Cockpit versteckt hat.

Be prepared

Warum klassische Pandemiepläne zu kurz greifen

Die aktuelle Coronavirus-Epidemie rückt die Pandemieplanungen vieler Unternehmen wieder ins Blickfeld, nachdem es mehrere Jahre ruhig um das Pandemie-Szenario geworden ist.

Bereits bei den vergangenen Epidemien und Pandemien, wie zum Beispiel der Vogelgrippe und SARS, wurden Pandemiepläne als Vorsorgemaßnahmen erstellt. Im Fokus dieser Pandemiepläne steht meist der Schutz der eigenen Mitarbeiter sowie der Umgang mit Personalausfällen in kritischen Geschäftsprozessen. Auch die Bereitstellung von Desinfektionsmitteln für die Handhygiene und gegebenfalls die Bevorratung von Schutzmasken gehört zum Vorsorgeprogramm gegen Ansteckungen der Mitarbeiter.

Dass diese Sichtweise auf eine Epidemie- /Pandemievorsorge deutlich zu kurz greift zeigt die aktuelle Coronavirus-Epidemie. Weiterlesen…

Ja mach nur einen (Notfall-)Plan … Nutzen und Grenzen von Notfallplänen

Im Rahmen des Business Continuity Management werden Notfallkonzepte und -pläne erstellt, um auf das Unwahrscheinliche vorbereitet zu sein. Der Notfall ist jedoch leider ein tückischer Zeitgenosse. Sind wir gut vorbereitet, lässt er sich nicht blicken und wir stehen als Zeit- und Ressourcenverschwender für unnütze Notfallpläne im schlechten Licht. Tritt der Notfall ein, ist es purer Zufall, dass der vorbereitete Notfallplan genau die passende Lösung für genau dieses Ereignis abbildet.

Lesen Sie hierzu meinen aktuellen Beitrag auf der Plattform 3GRC.

Körperliche Dokumente im Notfallkonzept

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Risiken beim Outsourcing erkennen, steuern und minimieren

Das Risikomanagement beim Fremdbezug von Leistungen ist eines der Themen, die uns in Zukunft weiter intensiv beschäftigen werden. Kein Unternehmen kann und will heute mehr alle Leistungen rund um die Produkt- und Serviceerstellung selbst erbringen. Das Outsourcing ermöglicht die Konzentration auf die Kernkompetenzen und schafft Kostenvorteile durch Skaleneffekte bei Dienstleistern und Zulieferern. Auf der anderen Seite der Medaille stehen die Risiken durch das Outsourcing. Schon der Ausfall eines Lieferanten von Bauteilen im Wert weniger Euros bringt komplette Lieferketten zum Stillstand. Im Finanzdienstleistungsbereich ist das Outsourcing daher ein zunehmend wichtiges Thema bei Prüfungen durch die Aufsichtsorgane BaFin und Bundesbank. Die aktuelle Konsultation zu den Bankaufsichtlichen Anforderungen an die IT “BAIT” zur Konkretisierung der MaRisk machen dies deutlich. Die Auslagerungssteuerung ist eines von acht Themen dieses Rundschreibens.

In einem zweiteiligen Beitrag auf  der Plattform 3GRC habe ich einige Grundlagen zum Supply Chain Continuity Management zusammengefasst:

Supply Chain Resilience – Absicherung der kritischen Lieferketten

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Ich freue mich auf Ihr Feedback.

Das neue Zivilschutzkonzept und meine persönliche Vorsorge

Das “neue” Zivilschutzkonzept hat die Medien in den vergangenen Wochen sehr bewegt. Leider ist die Kommunikation des Konzepts völlig verunglückt, weil Auszüge über die Presse vorab veröffentlicht wurden. Gerade diese vorab veröffentlichten Auszüge über die private Vorsorge, die unseren Hamster ins Rampenlicht rückten, sind der mit Abstand harmlose Teil des Konzepts. Die Empfehlungen für die persönliche Vorsorge liegen seit vielen Jahren vom BBK vor. Vielleicht ist es ein positiver Aspekt des Medien-Hype, dass diese Notfallvorsorge wieder in das Bewusstsein rückt. Einige Anbieter von Prepper-Artikeln freuen sich gerade über einen temporären Nachfrageboom. Ich gehe davon aus, dass die Konzeption Zivile Verteidigung von den Medienvertretern überwiegend gar nicht gelesen oder in der Tragweite nicht verstanden wurde. Der Wehrdienst ist rechtlich nur ausgesetzt, im Verteidigungsfall kann der Staat sehr weitreichend in die Abläufe der kritischen Infrastrukturen eingreifen und Transport- sowie Produktionsmittel beschlagnahmen genau so wie Lebensmittel und deren Herstellung sowie Distribution (Notstandsverfassung 115a bis 115l GG). Interessant ist eher der Schwenk von rein militärischen Angriffsszenarien, die die zivile Verteidigung bislang beherrschten zu “hybriden Bedrohungen” für die kritischen Infrastrukturen. Damit gemeint sind unter anderem auch Cyber-Attacken und der Ausfall oder die Störung von kritischen Infrastrukturen. Beim Studium des Konzepts wird man feststellen, dass sich die Bundesregierung vielen Aufgaben stellt, die in der Zukunft noch konzipiert und umsetzt werden müssen. Viele Sätze beginnen mit “Der Bund entwickelt ein Konzept …”. Der Handlungsbedarf des Bundes ist in diesem Konzept zumindest erkannt und benannt, auch wenn noch vieles zu  konkretisieren und umzusetzen ist. Auch die Betreiber kritischer Infrastrukturen werden deutlich adressiert:

“Jeder Betreiber soll in seinem Zuständigkeitsbereich freiwillig und eigeninitiativ Verantwortung für ein angemessenes Sicherheitsniveau übernehmen. Der Staat erteilt den Betreibern nach Einschätzung der Erforderlichkeit konkrete Auflagen zur Verbesserung der Resilienz und Sicherheit der Kritischen Infrastrukturen. Eine „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ fasst die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes auf diesem Politikfeld zusammen. In einem „Rahmenkonzept Risiko- und Krisenmanagement Betreiber Kritischer Infrastrukturen“ werden Anforderungen an das Erstellen betrieblicher Risikoanalysen und die Ableitung von Sicherheitsmaßnahmen sowie zum Auf- bzw. Ausbau betrieblicher Krisenmanagementstrukturen formuliert”. Neben dem IT-Sicherheitsgesetz können auf die Betreiber also weitere Anforderungen im Risiko- und Krisenmanagement zukommen.

Neben dieser Initiative des Bundes ist die Überwindung der “Friedensdividende” auch bei Ländern und Gemeinden spürbar. Wurden vor Jahren flächendeckend die Sirenen zur Warnung der Bevölkerung demontiert, da auf elektronische Wege gesetzt wurde, verkünden Gemeinden jetzt stolz den Bau von Hochleistungssirenen. Daneben finden die elektronischen Warnsysteme “Katwarn” und “Nina“, gerade nach dem Attentat in München, zunehmend Verbreitung bei Gemeinden und in der Bevölkerung.

Die persönliche Vorsorge, in anderen Ländern eine Selbstverständlichkeit, wird hier noch mit Unverständnis und Belustigung (“Hamster”) aufgenommen. Zu sehr fehlt hier noch das Risikobewusstein bei den Bürgern und zu ausgeprägt ist das Verlassen auf Bund und Betreiber kritischer Infrastrukturen. Dabei ist die Anschaffung von Kerzen / Teelichte, einem batteriebetriebenen Radio, Batterien und Konserven keine große Sache. Alle Kollegen, die sich mit diesen Themen intensiver beschäftigen, betreiben die Vorsorge nach meiner Erfahrung berufsbedingt etwas intensiver – ohne gleich zur Gruppe der Prepper zu gehören. So findet sich in meiner Garage ein Notstromaggregat und in einem Karton schnell griffbereit Taschenlampe, Batterien, Kerzen, Zündhölzer, ein Kurbelradio, Battery-Packs mit Solarpanel zum Laden sowie Micropur-Tabletten für die Wasserentkeimung. Alles Dinge, die auch mal in den Camping-Urlaub oder die Motorradtour mitgehen. Vorsorge ist kein großer Aufwand und bei einem Stromausfall ist romantisches Kerzenlicht ganz angenehm und nützlich.

Bei Kerzenlicht empfehle ich dann die folgende Lektüre:

http://amzn.to/2cj2iqU

Wenn der Notfall nicht in Urlaub geht

Die Urlaubszeit steht an und für viele Mitarbeiter beginnt die schönste Zeit des Jahres zu Hause im Garten, in nahen oder in fernen Ländern. Nur einer macht leider keinen Urlaub und wartet nur darauf zuschlagen zu können: der Notfall.

Deswegen: denken Sie an die Zweit- und Drittbesetzung Ihres Notfall- und Krisenmanagements.

  • Kennen die Mitarbeiter ihre Rolle?
  • Sind die Mitarbeiter geschult?
  • Ist die Erreichbarkeit der Schlüsselpersonen für das Notfall- und Krisenmanagement sichergestellt?
  • Die ruhigere Zeit ist auch eine gute Gelegenheit, Krisenstabsräume (“war room”), Krisenmanagementausrüstung (“battle case”) und Kommunikationstechnik zu überprüfen und bei Bedarf aufzufrischen.

Wenn ja, dann genießen Sie die Sommer- und Urlaubszeit!

Ich wünsche Ihnen, dass auch für Sie Störungen, Ausfälle, Notfälle und Krisen durch Abwesenheit glänzen, wie so mancher Kollege und manche Kollegin.

Auch in der Ferienzeit für Sie da

Matthias Hämmerle

 

Keiner da?

Ja, wo sind sie denn die Mitarbeiter alle?
Zu Hause, den Keller auspumpen.
Auch Szenarien wie die jüngsten monsunartigen Regenfälle mit Tornados führen zu Personalausfällen, auch wenn das Unternehmen nicht direkt betroffen ist. Im Zweifel ist dem Mitarbeiter die Rettung des eigenen Mobiliars näher als die Aufrechterhaltung der Geschäftsprozesse. Wer will es ihnen verdenken.

Ein Notfallplan für den Personalausfall stellt daher auf die Wirkungen ab und nicht auf die Ursachen.Und neben Plan “A” immer Plan “B” und Plan “C” in der Hinterhand haben. Denn das Wetter ist schon schwer genug vorherzusagen, beeinflussen lässt es sich schon gar nicht.

Supply Chain Resilience Survey des Business Continuity Institute

Das Business Continuity Institute BCI führt gemeinsam mit Zurich Insurance bereits die achte Umfrage zur Sicherheit von Lieferketten durch. Die vergangenen Studien haben interessante Ergebnisse erbracht:

Some of the findings from the 2015 Supply Chain Resilience Report published by the BCI were that three quarters of respondents (74%) had experienced at least one supply chain disruption and that half of those disruptions occurred below the tier 1 supplier.”

Die Teilnahme an der Umfrage ist anonym und es gibt einen Amazon Gutschein in Höhe von 100 GBP zu gewinnen. Hier der Link zur Teilnahme an der Umfrage.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.