Business Continuity Management wappnet Firmen

Notfallplan

von - 08.02.2019
Die Risikobewertung bildet die Basis für den Notfallplan. Idealtypisch gibt es fünf Phasen für die Rückkehr aus der Krise in den regulären Betrieb: 1. Sofortmaßnahmen, 2. Wiederanlauf Notbetrieb, 3. Notbetrieb, 4. Wiederherstellung Normalbetrieb, 5. Nachbearbeitung. 
Der IT-Notfallplan beispielsweise legt Verantwortlich­keiten fest und beschreibt meist in Wenn-dann-Szenarien detailliert die Schritte und Verfahren bei Ausfall der kritischen Systeme.
„Am besten ist es, für Notfälle Checklisten zu erstellen, damit die Mitarbeiter genau wissen, was im Fall der Fälle zu tun ist. Diese Pläne funktionieren aber nur, wenn das beschriebene Szenario auch exakt so eintritt, wie es der Plan vorsieht“, betont Matthias Hämmerle. Die Realität sieht oft anders aus. Es ist schlicht unmöglich, jeden Notfall detailliert zu planen. Dann benötigen Firmen eine Organisation, die die Maßnahmen koordiniert und die Pläne an die aktuelle Lage anpasst.
„Das ist der Krisenstab. Er steuert die Notfallmaßnahmen vor allem bei einer externen Wirkung, sprich wenn Kunden betroffen sind, die Presse vor der Tür steht oder die IT-Abteilung die Störung nicht mehr im Linienbetrieb beheben kann, etwa wenn Ransomware das Backup verschlüsselt hat. Der Krisenstab ist eher reaktiv, baut auf Notfallplänen auf, während das BCM mit seiner Notfallplanung eher präventiv agiert“, so Hämmerle weiter.
Jürgen Kolb von iQSol sieht beim Thema BCM einen theo­retischen und einen praktischen Teil. „Ein Notfallhandbuch sorgt für Klarheit, wer zuständig ist, welche Geräte und Abhängigkeiten es gibt und wo sich etwa Backups der Daten befinden, damit diese nach einem Crash schnell eingespielt werden können.“ In der Praxis geht es Kolb zufolge auch darum, schnell Maßnahmen zu ergreifen, „damit aus einem Notfall keine Katastrophe wird. Hier sind drei Schritte wichtig: Unregelmäßigkeiten im Netzwerk erkennen zu können, die unverzügliche, verlässliche Alarmierung der zuständigen Mitarbeiter in der IT und drittens das Ergreifen wirksamer Maßnahmen zum Schutz der Systeme.“
Jürgen Kolb
Jürgen Kolb
Managing-Partner bei iQSol
www.iqsol.biz
Foto: iQSol
„Schon jetzt werden Business-Continuity-Manager aufgewertet und erhalten eigene Budgets. Dieser Trend wird sich fortsetzen, damit sie im Krisenfall auch operativ tätig sein können.“

Ständige Tests

BCM sollte natürlich kein Papiertiger sein, sondern auch in der Praxis funktionieren. Firmen müssen daher ihr Notfallkonzept und ihr Krisenmanagement regelmäßig durch Tests und Übungen überprüfen. In den Disaster-Tests üben sie das Vor­gehen, das im Notfallhandbuch festgelegt wird. Doch nicht alle Systeme verhalten sich entsprechend der Theorie. „Das Durchhaltevermögen von USVs ist mitunter kürzer als angenommen, Leitungen können defekt sein, es kommt zu wiederholten Starts der Systeme oder es fehlen schlichtweg Bediener“, betont Jürgen Kolb.
BCM ist ein permanenter Prozess und fordert die kontinuierliche Verbesserung nach der PDCA-Methodik:
  • Plan: Definition des Soll-Zustands
  • Do: Umsetzung des Soll-Zustands in den Ist-Zustand
  • Check: Vergleich des umgesetzten Ist-Zustands mit dem zuvor definierten Soll-Zustand
  • Act: Anpassung des Ist-Zustands aufgrund festgestellter Probleme
Im letzten Schritt werden die Ursachen der festgestellten Abweichungen abgestellt, der PDCA-Zyklus beginnt wieder von vorn.
Krisenstabsübungen
Eine der wichtigsten Maßnahmen in der Notfall- und Krisenprävention sind Krisenstabsübungen. Hier lernen die Teilnehmer des Krisenstabs den Umgang mit unerwarteten Ereignissen, um wieder Herr der Lage zu werden.
„Beim Erstellen von Drehbüchern für diese Übungen kann man seiner Fantasie freien Lauf lassen. Unwetter, Stromausfälle, Hackerangriffe, Terroranschläge, Epidemien, alles ist möglich. Es ist nicht schwer, relativ realistische Stress-Situationen hervorzurufen und Zeitdruck aufzubauen. Wir nutzen dazu Medientechnik, um eingehende Meldungen zu simulieren, Berichte aus dem Radio oder TV darzustellen und vieles mehr“, sagt Manfred Harwardt, Business-Continuity- Manager und Krisenmanagement-Trainer für Banken bei
Fiducia & GAD. Der Krisenstab ist das wichtigste Gremium beim Management derartiger Extrem­situationen. Der engere Krisenstab besteht meist aus dem Leiter des Krisenstabs, seinem Assistenten, einem Protokollanten, einem Mitarbeiter, der alle entstandenen Probleme und deren Status visualisiert, sowie einem Mitarbeiter für die Krisenkommunikation, der alle Berichte zur Katastrophe in Presse, Radio, TV und Social Media überwacht und der Öffentlichkeit Rede und Antwort steht. Der erweiterte Krisenstab kann aus Teilnehmern wie IT- oder Prozess-Spezialisten, Personalabteilung oder Juristen bestehen.
Ziel des Krisenstabs ist es, die Lage wieder unter Kontrolle zu bringen. Er entscheidet, welche Teams und Notfallpläne in welcher Reihenfolgen aktiviert werden, leitet zusätzliche Maßnahmen ein, die nicht in Plänen stehen und sich nicht vorbereiten lassen, und überwacht, welche Quellen in welcher Weise über die Katastrophe berichten (Monitoring).
Verwandte Themen