Corona, Ukraine, Hackerangriffe: Was sagt ihr Notfallmanagement?

​veröffentlicht am 31. Mai 2022

Spätestens nach zwei Jahren Corona Pandemie und dem Beginn des Krieges am frühen Morgen des 24. Februar 2022 in der Ukraine wird immer deutlicher, dass Unternehmen und Organisationen sich intensiv und in immer kürzeren Abständen mit neuen (Risiko-)Ausgangslagen und verschiedensten Bedrohungsszenarien auseinandersetzen und Wege finden müssen, um angemessen vorbereitet zu sein, sodass der Geschäftsbetrieb im Ernstfall möglichst wenig eingeschränkt werden muss.

Noch bis vor wenigen Wochen nie oder nur selten in Frage gestellte Sicherheiten wie die der Versorgungssicherheit oder Stabilität der Lieferketten brechen weg oder sind zumindest erheblich beeinträchtigt. Selbst Risiken für Leib und Leben müssen in diesen Zeiten wieder in den Fokus von Notfall- und Krisenmanagementkonzepten rücken. Darüber hinaus warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Cyber-Angriffen gegen kritische Infrastrukturen in Deutschland. Bzgl. konkreten und aktuellen Empfehlungen des BSI für Maßnahmen gegen Cyber-Angriffe empfehlen wir den Artikel „Das BSI warnt vor möglichen Angriffen auf die Gesundheitswirtschaft”.

• Aber wie schützt man sich und seine Organisation vor solch globalen Auswirkungen effektiv und wie kann die eigene Organisation auf den Eintritt solcher Krisenszenarien präventiv vorbereitet werden?
• Für welche Organisationsformen müssen welche Begebenheiten oder Besonderheiten berücksichtigt werden?

Jede Organisation und auch Branche bringt unterschiedliche Voraussetzungen mit, was als Konsequenz zu einer sehr heterogenen Risikobetrachtung führt.

• Ist die Organisation besonders von ihrem Personal abhängig? Würde ein massiver Personalausfall das Weiterführen des Betriebs stören oder gar verhindern?
• Sind IT-Systeme im Einsatz, ohne die ein Weiterbetrieb schlicht nicht möglich wäre?
• Existieren Auslandsniederlassungen bzw. Auslandsbüros in (potenziellen) Krisenregionen?
• Ist die Organisation in besonders exponierter Lage (z.B. als kritische Infrastruktur) oder handelt es sich um besonders sensible Informationen?
• Ist die Wahrscheinlichkeit möglicher Krisenszenarien innerhalb der Organisation sehr heterogen?
• Lassen sich Konzepte für den einen Bereich nur schlecht auf einen anderen Bereich oder gar auf den Konzern übertragen?

Um diese Fragen zu beantworten, empfiehlt sich die Durchführung einer Business Impact Analyse.

Oft verhindert die sehr differenzierte Ausgangslage der jeweiligen Organisation eine Pauschallösung im Sinne eines Notfall- und Krisenmanagements, welches auf die unterschiedlichsten Organisationsformen anzuwenden ist.

Nichtsdestotrotz gibt es sehr gelungene Lösungsansätze, welche individuell auf die eigene Organisation angepasst werden können.

Der BSI-Standard 200-4 „Business Continuity Management”, welcher aktuell als Community Draft vorliegt, liefert eine gute Grundlage für die Etablierung eines effizienten Notfall- und Krisenmanagements. Auch wenn sich der Standard ursprünglich auf das Notfall- und Krisenmanagement im Bereich Informationstechnik fokussiert hat, lassen sich die Inhalte gut auf die gesamte Organisation anwenden.

Wichtig ist dabei immer der Blick über den eigentlichen Notfall hinaus. Folgende Punkte sollten geklärt werden:

• Mit welchen präventiven Maßnahmen kann man einen Notfall verhindern?
• Welche Maßnahmen sind während eines Notfalls notwendig?
• Wie kann man im Nachgang zu einem Notfall daraus lernen und das BCM anpassen?

Eine der Grundlagen für ein effektives Notfall- und Krisenmanagement gemäß Standard 200-4 des BSI ist die Definition der Begriffe Störung, Notfall, Krise und Katastrophe, da von diesen Sachverhalten in der Regel abhängig gemacht wird, welche Maßnahmen zu treffen sind. Eine exakte Abgrenzung zwischen den Begrifflichkeiten stellt die Organisationen in der Realität teilweise vor Herausforderungen, da die Ursachen und ihre Auswirkungen nur zum Teil bewertbar bzw. bezifferbar sind. Beispielsweise ist in einem Produktionsunternehmen die Abgrenzung verhältnismäßig einfach vorzunehmen, da die Ausfallzeiten der Maschinen als Kriterium herangezogen werden können. Bei Organisationen, welche allerdings ein sehr differenziertes Leistungsangebot aufweisen oder Niederlassungen in (potenziellen) Krisenregionen führen, gestaltet sich die Abgrenzung der Begrifflichkeiten deutlich diffiziler.

Sobald eine individuelle, auf die Organisation zugeschnittene Definition erfolgt ist, können anhand des Standards zentrale Empfehlungen bzgl. der Implementierung eines effizienten Notfall- und Krisenmanagements umgesetzt werden. Dies umfasst insbesondere eine Umsetzung der besonderen Aufbauorganisation mit ihren besonderen Rechten (z.B. Entscheidungskompetenzen) und Pflichten (z.B. fristgerechte Kommunikation über festgelegte Kommunikationswege). Wichtig dabei ist auch die Definition eines Notbetriebsniveaus, d.h. welche Tätigkeiten sollen im Notfall noch in welchem Umfang durchgeführt werden können und der damit verbunden Geschäftsfortführungspläne.

Wir unterstützen Sie gerne bei der Prüfung ihres aktuellen oder beim Aufbau eines individuellen Business Continuity Managements. Hierzu zählt insbesondere die Aufnahme Ihrer Prozesse und Risikoeinstufungen, welche wir beispielsweisen anhand einer maßgeschneiderten Business Impact Analyse (BIA) mit Ihnen erheben. Im Ergebnis soll sich ihre Organisation mithilfe von konkreten und aktuellen Empfehlungen vor Schadensereignissen schützen können, die sich in nicht tolerierbarer Weise auf das Unternehmen auswirken. Ziel des Notfall- und Krisenmanagements ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird (Prävention) oder nach einem Ausfall in angemessener Zeit fortgeführt werden kann (Reaktion).¹

 ¹ Vgl. BSI-Standard 200-4 Business Continuity Management