Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

Nur ein einziger ganz simpler Test hätte genügt …

“Jedem war bewusst, dass man zur Kühlung eines Atomreaktors Strom benötigt und dass es ohne Kühlung zur Kernschmelze kommt.” (…). “Meine Mitarbeiter brachten ein Whiteboard ins Arbeitszimmer und zeichneten die aktuellen Positionen der Stromversorgungsfahrzeuge ein, die sich aus verschiedenen Richtungen möglichst schnell auf Fukushima Daiichi zubewegten.” (…) “Irgendwann kam dann die Idee auf, ein Hubschrauber der Selbstverteidigungskräfte könnte doch ein Stromversorgungsfahrzeug durch die Luft transportieren”.

“Die verzweifelt zur Verfügung gestellten Stromversorgungsfahrzeuge waren aus vielerlei Gründen, die wir später erfuhren, nutzlos: Die Stecker der Fahrzeuge hatten nicht die richtige Spezifikation und konnten nicht angeschlossen werden, die Kabel waren nicht lang genug, der Stromverteiler war nicht zu verwenden usw. usf.”.

Naoto Kan, Premierminister von Japan vom 4. Juni 2010 bis 2. September 2011.

Teile von ein paar Euro hätten beinahe zu einer nationalen Tragödie geführt, als nach dem Tsunami in Japan das Atomkraftwerk Fukushima havarierte. Ein einfacher Test hätte die Probleme verhindern können. Doch alle wähnten sich sicher, denn ein solche Katastrophe konnte ja nicht passieren …

Naoto Kan zeichnet in seinem Buch “Als Premierminister während der Fukushima-Krise” ein schonungloses Bild des Krisenmanagments während der Bewältigung der Katastrophe. Glück und Zufälle retteten Japan vor einer nationalen Tragödie: “Es kann nur Glück gewesen sein”, so Kan.

Ein sehr lesenswertes Buch über das Krisenmanagement aus Sicht des verantwortlichen Premierministers.

 

Krisenmanagement lernen von den Profis

Wie man Krisen managed lernt man durch eigenes Erleben in der Realität und in Simulationen oder aber auch durch Zuhören bei Menschen, die Extremsituationen erlebt und gemeistert haben. Solche Extremsituationen gibt es in allen Lebensbereichen. Es gibt gerade im Sport auch Menschen, die sich bewusst in Extremsituationen begeben. Von diesem Menschen will ich lernen am 3. Extremsporttag am 31. Oktober in Frankfurt. Querschnittsgelähmt zurück als B.A.S.E. Jumperin, 6.500 Kilometer im Ruderboot über den Atlantik, Yucon Arctic Ultra Lauf, mit dem Mountainbike über den Baikalsee. Neben der körperlichen Fitness entscheidet vor allem die mentale Fitness über das Gelingen, Misslingen und gar Überleben. Ich freue mich schon sehr auf die Veranstaltung und bin gespannt, welche Erkenntnisse sich auf das Krisenmanagement übertragen lassen.

Der Erpresserbrief ist geschrieben

keine Sorge, nur für die anstehende Krisenstabsübung. Mit dem Szenario einer Erpressung sollte sich jedes Unternehmen einmal auseinandersetzen. Suchen Sie im Internet doch einfach einmal nach dem Stichwort “DD4BC” oder schauen Sie sich diese Risikoanalyse an. Betroffen sind bei weitem nicht nur bekannte Großunternehmen. Insbesondere sind auch kleine und mittelständische Unternehmen betroffen. Die Beträge sind relativ klein und viele Unternehmen werden die Publicity und den Gang zur Polizei scheuen und den geforderten Betrag zähneknirschend bezahlen, in der Hoffnung dann Ruhe zu haben. In dieser Situation ist die Zeit knapp und schnelles zielgerichtetes Handeln gefragt. Ohne Vorbereitung und Übung passieren schwerwiegende Fehler. In einer Checkliste sollten die wichtigsten Schritte festgehalten werden und ein Beratungsgespräch bei der Polizei hilft den richtigen Kontakt im entscheidenden Moment zu finden.

Checklisten für den Notfall

Dieser Artikel über Checklisten beinhaltet ein beeindruckendes Beispiel über die Wirksamkeit von Checklisten. In neun Krankenhäusern in Michigan wurden einfache Checklisten mit eingeführt, um die Anzahl von Infektionen in Intensivstationen zu verringern. Die Checklisten waren nicht umfangreich und enthielten eigentlich selbstverständliche Punkte, wie das Desinfizieren der Hände. Durch die Einführung der Checklisten in Verbindung mit Trainingsmaßnahmen konnte die Anzahl der Infektionen um 66 Prozent verringert werden. Obwohl die Inhalte der Checklisten den Ärzten eigentlich geläufig waren, wurde im Arbeitsalltag dann doch immer wieder der eine oder andere Punkt übersehen – mit zum Teil tödlichen Folgen durch Infektionen.

Welche Schlüsse lassen sich hieraus für das Business Continuity Management ziehen?

Bei dem Eintritte eines Notfalls können wir nicht erwarten, dass eigentlich selbstverständliche Aktivitäten unternommen werden. Die Aufregung, vielleicht sogar Panik, ist groß. Es herrscht eine große Verunsicherung über die Situation und viele Menschen sind betroffen und beteiligt. Im ersten Moment gibt es noch keine klare Hierarchie, der Krisenstab ist noch nicht besetzt und es gibt keine oder widersprüchliche Anweisungen von unterschiedlichen Kompetenzträgern. Gerade die ersten Momente in einem Notfall sind jedoch häufig der kritische Erfolgsfaktor dafür, wie erfolgreich ein Notfall bewältigt und Schaden minimiert werden kann. Gerade in dieser Situation sind Checklisten ein besonders wirksames Hilfsmittel. Sie stellen sicher, dass die Beteiligten einen Handlungsleitfaden haben und wichtige Aktivitäten in der Hektik nicht vergessen werden. In vielen Situationen mit hohem Risiko oder auch hohen Qualitätsanforderungen werden Checklisten eingesetzt. Piloten nutzen Checklisten, auch wenn sie diese im Schlaf herunterbeten könnten. Doch Vergessen ist menschlich.

Zu einem guten Notfallhandbuch gehören daher auch kompakte abarbeitbare Checklisten für die zentralen BCM-Szenarien. Es gibt zahlreiche Varianten, wie solche Checklisten gestaltet und technisch umgesetzt werden können. In dem oben zitierten Artikel sind einige Tools benannt. Aber auch mit den Standard Office-Produkten Word und Excel lassen sich hervorragend Checklisten erstellen. Daneben können visuelle grafische Ablaufpläne in Form von Flowcharts hilfreich sein.

Die eigentliche Übung liegt jedoch in der Erstellung der Checklisten selbst. Im ersten Wurf wird die hundertprozentige Lösung selten gelingen. Durch Tests und Übungen, in denen die Checklisten als Grundlage verwendet werden, erhalten die Checklisten den letzten Schliff und die Beteiligten üben den Umgang mit den Formularen.

Ein Beispiel Template Notfallplan Checkliste (word) habe ich diesem Artikel beigefügt. Es ist nur ein Beispiel und ich freue mich auf Rückmeldungen von Ihnen. Welche Erfahrungen haben Sie mit Checklisten gesammelt? Haben Sie ein bewährtes Template? Was ist bei den Checklisten zu beachten?

be prepared

Matthias Hämmerle

Eine echte Tragödie und mediale Katastrophe

Der Absturz der Germanwings-Maschine macht uns alle tief betroffen. Gerade als ehemaliger Pilot, der Verantwortung für das Wohlergehen für seine Passagiere getragen hat, bin ich selbst zutiefst von diesem Ereignis betroffen – das ich bis dato nicht für denkbar gehalten habe. Wir wissen aber auch, dass Ermittlungen nach Flugzeugunglücken Wochen, Monate oder gar Jahre dauern. Flugzeuge sind hoch komplexe Gebilde und was wirklich geschehen ist , kann erst final gesagt werden, wenn alle Puzzleteilchen zusammengetragen und ausgewertet sind.  Umso erschütterter bin ich über die Vorgehensweise von Staatsanwälten, Ermittlern und Medien. Offensichtlich berichten Ermittler direkt während der laufenden Untersuchungen an die Presse. Häuser und Wohnungen sind kaum untersucht, stehen die vermeintlichen Ergebnisse schon in bislang seriös aufgetretenen Nachrichtenportalen. So schnell, dass mittlerweile sogar schon spezielle Seiten für Korrekturen eingerichtet werden müssen. Zum Beispiel für die massenhafte Verbreitung eines falschen Bildes des Co-Piloten. Der flight recorder ist noch nicht geborgen und dennoch scheint der Hergang festzustehen, auch wenn viele Fragen noch offen sind. Auf dieser bislang sehr dünnen Faktenlage laufen ununterbrochen Sondersendungen, die keine richtigen Nachrichten vermitteln können und stattdessen Experten und Möchtegern-Experten vor die laufende Kamera zerren. Und was, wenn der Ablauf anders war?

Ich würde mir wünschen, dass die Untersuchungsbehörden ihre offensichtlich großen Informationslecks jetzt konsequent schließen, um sich auf ihre eigentliche Ermittlungsarbeit zu konzentrieren. Den seriösen Medien würde es gut anstehen, den Hype auf ein vernünftiges und angemessenes Maß der Berichterstattung zurückzufahren und nicht noch die Nichte oder den Onkel eines entfernten Verwandten vor die Kamera zu zerren. Bis wirklich Fakten auf dem Tisch liegen werden die BCM-News hierzu nicht berichten. Im Newsticker wird es weiterhin nur sehr ausgewählte Meldungen zu dem Ereignis geben. Mein Mitgefühl gilt den Angehörigen der Opfer.

Richard Branson gibt nach Absturz des “SpaceShipTwo” nicht auf

Business Continuity Management ist auch der Willen, die Kraft und Ausdauer “einmal mehr aufzustehen als hinzufallen” (Winston Churchill).

Auch bei der Bewältigung eines Notfalls oder einer Krise gelingt nicht jede Entscheidung oder Maßnahme. Die Bilanz der erfolgreichen Entscheidungen gegenüber den Fehlentscheidungen macht am Ende Erfolg oder Misserfolg einer Notfall- und Krisenbewältigung aus. Nach einem Misserfolg aufzugeben, nimmt die Chance die Bilanz wieder ins Positive zu drehen. Dann ist der Misserfolg nur noch eine wichtige Erfahrung auf dem Weg.

7:1 im Krisenmanagement

Die deutsche Mannschaft hat bei der Weltmeisterschaft Brasilien mit 7:1 in einem herausragenden Spiel besiegt. Wie kann ein solcher Erfolg auch im Krisenmanagement gelingen?

  • Tor 1: Mitspieler mit herausragenden Fähigkeiten und einer hohen Motivation im Krisenstab
  • Tor 2: unbedingtes Teamplay im Krisenstab
  • Tor 3: ein Trainer, der die Führung und den Überblick behält
  • Tor 4: eine gut vorbereitete Taktik und vorbereitete Pläne
  • Tor 5: die Fähigkeit, Taktik und Pläne an die jeweiligen Erfordernisse anzupassen
  • Tor 6: ein Publikum (interested parties 😉 ), das das Team anfeuert und motiviert
  • Tor 7: Spaß an der Arbeit und das gemeinsame Feiern von Erfolgen
  • Gegentore: die Fähigkeit, Gegentore einzustecken, wieder aufzustehen und weiterzumachen, engagierter als zuvor.

Gelingt es, dieses Erfolgsrezept auf die Krisenstabsarbeit zu übertragen, lassen sich auch schwere Krisen meistern.

Dabei gilt: ein Tor wird nach dem anderen gemacht – nie gleichzeitig.

Das Spiel dauert im realen Leben selten nur 90 Minuten. Verlängerungen um ein Vielfaches sind die Regel. Daher Auswechslungen berücksichtigen!

Medien und Öffentlichkeit schießen immer die Elfmeter und Vorsicht vor “Schwalben”!

Und immer fair bleiben, sonst gibt es eine Karte (im wirklichen Leben etwas häufiger als bei der WM 2014)!

So werden Krisen bewältigt und Weltmeistertitel gewonnen!

Neue BBK-Publikation: Stromausfall – Grundlagen und Methoden zur Reduzierung des Ausfallrisikos der Stromversorgung

Die Ergebnisse eines Forschungsprojektes zum Thema Stromausfall sind nun in Band 12 der Reihe Wissenschaftsforum veröffentlicht worden (BBK:
Stromausfall – Grundlagen und Methoden zur Reduzierung des Ausfallrisikos der Stromversorgung).

Wie diese Folgen aussehen können, wurde im 2010 erschienenen Bericht „Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines
großräumigen und langandauernden Ausfalls der Stromversorgung“ des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag für verschiedene Lebensbereiche systematisch beschrieben. Das Fazit macht deutlich: „[B] ereitsnach wenigen Tagen [ist] im betroffenen Gebiet die flächendeckende und bedarfsgerechte Versorgung der Bevölkerung mit (lebens)notwendigen Gütern und Dienstleistungen nicht mehr sicherzustellen“.

Marc Elsberg hat in seinem Roman “Blackout” das Szenario eines großräumigen Stromausfalls gut recherchiert und anschaulich beschrieben.

In der Veröffentlichung werden die Rahmenbedingungen des deutschen Stromversorgungssystems erläutert. Es werden Vorschläge für die einzelnen Schritte des Risikomanagements in Bezug auf Stromversorgungsinfrastrukturen gemacht, also zur Szenarienbildung, Kritikalitätsanalyse, Verwundbarkeitsanalyse, Risikobewertung sowie zur Risiko- und Krisenkommunikation.

(Quelle: BBK)

80 Krisen- und Notfallmanager begaben sich beim 6. Netzwerktreffen der SIMEDIA auf eine “Weltreise”!

Am 24. / 25. März trafen sich 80 Krisen- und Notfallmanager namhafter Unternehmen zum jährlichen Netzwerktreffen der SIMEDIA GmbH.
Das
Phantasialand in Brühl präsentierte sich bei strahlendem Sonnenschein als perfekter Gastgeber.
Die Teilnehmer begaben sich auf eine
besondere Weltreise: zunächst wartete das Themenhotel Ling-Bao mit einem Mittagsbuffet in authentischer fernöstlicher Atmosphäre auf.
Ein Rückblick auf Krisenereignisse des letzten Jahres eröffnete den inhaltlichen Teil:
Erlebnisberichte, Internationales Krisenmanagement, Blackout, Social Media zur Lagebeurteilung, Georisiken, Übungsplanung standen u.a. im Mittelpunkt der Vorträge.
Der Abend diente dem Netzwerken: Bei einer exklusiven Fahrt mit der „Black Mamba“ erfuhren die Teilnehmer, wie sich eine Wirkkraft von 4,5 G anfühlt. Der neue Themenpark „Mexiko“ lud mit Tapas und anderen Köstlichkeiten zum gemeinsamen Erfahrungsaustausch ein.
Am Ende stand bei allen Teilnehmern ein
eindeutiges Feedback: Das Netzwerktreffen war wieder einmal ein voller Erfolg.
Themen, Veranstaltungsort und Organisation waren erstklassig – ein Wiedersehen im nächsten Jahr ist schon fest eingeplant.


Weitere Informationen, Fotos, Videos und Teilnehmerstimmen finden Sie unter
www.netzwerktreffen-krisenmanager.de.
(Quelle: Simedia)

A-N-C: Aviate – Navigate – Communicate

Bei der Suche nach der vermissten Maschinen MH370 wird auch immer wieder die Pilotenregel für Notfälle “A-N-C” zitiert. In fliegerischen Notfällen legt diese Regel die absolute Priorität für die Handlungen fest. Zuerst kümmert sich der Pilot darum, dass der Vogel weiter fliegt, dann kümmert er sich um die Navigation und erst dann um die Kommunikation mit dem Boden und der Besatzung sowie den Passagieren.

Diese Regel lässt sich sehr schön für das Krisenmanagement verallgemeinern:

  • Aviate: die Geschäftsprozesse am Laufen halten
  • Navigate: mit Hilfe von Krisenmanagement vor die Lage kommen.
    Hierbei hilft die andere Fliegerregel für Notfälle “FOR-DEC”:
    F – acts
    O- ptions
    R- isks
    D – ecision
    E- execution
    C -ontrol
    Der Führungszyklus für das Krisenmanagement.
  • Communicate: interne und externe Kommunikation durchführen.