M 6.114 Erstellung eines Notfallkonzepts

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Verantwortlich für Umsetzung: Notfallbeauftragter

Ein Notfallkonzept dient der Umsetzung der Notfallstrategie und beschreibt die geplante Vorgehensweise, um die für das Notfallmanagement gesetzten Ziele zu erreichen. Das Notfallkonzept umfasst die Gesamtheit der im Notfallmanagement-Prozess erstellten Dokumente. Es besteht aus den zwei wesentlichen Komponenten Notfallvorsorgekonzept und Notfallhandbuch. Damit werden die beiden wesentlichen Aufgaben des Notfallmanagements widergespiegelt, die Robustheit der Geschäftsprozesse zu stärken, um die Wahrscheinlichkeit eines Schadensereignisses zu verringern, und die Behörde bzw. das Unternehmen optimal auf die Bewältigung eines Notfalls oder einer Krise vorzubereiten, um die Schadensauswirkungen zu minimieren. Das Notfallvorsorgekonzept beschreibt die vorliegenden Rahmenbedingungen und beinhaltet alle bei der Konzeption anfallenden Informationen, die nicht zur direkten Bewältigung eines Notfalls beitragen. Die direkt für die Bewältigung eines Notfalls benötigten Informationen wie beispielsweise Kontaktinformationen oder Handlungsanweisungen sind im Notfallhandbuch beschrieben.

Jede konkrete Vorsorgemaßnahme muss sich letztlich auf das Notfallkonzept zurückführen lassen. Aus diesem Grund muss dieses sorgfältig geplant und umgesetzt werden. Die einzelnen, im Folgenden kurz angerissenen Aspekte werden ausführlich im BSI-Standard 100-4 Notfallmanagement behandelt.

Voraussetzung für die Erstellung eines Notfallkonzeptes sind grundlegende Kenntnisse über die Institution bzw. den festgelegten Geltungsbereich des Notfallmanagements und ein tiefgreifendes Verständnis der Geschäftstätigkeit. Die benötigten Informationen, zu denen die Stammdaten und eine Übersicht über die Geschäftsprozesse zählen, sind dem Notfallmanagement bereitzustellen. Die Geschäftsprozessübersicht sollte auch die Informationen über Abhängigkeiten zwischen Prozessen enthalten sowie die Informationen, welche Geschäftsprozesse zur Herstellung der Hauptprodukte oder der Erbringung von Hauptdienstleistungen der Institution benötigt werden. Ausgelagerte Prozesse sind ebenfalls in der Geschäftsprozessübersicht zu berücksichtigen, wie auch Zulieferer, Kooperationspartner und Outsourcing-Dienstleister bei den Abhängigkeiten.

Einer der ersten Schritte bei der Konzeption ist es, die Auswirkungen von Geschäftsunterbrechungen zu untersuchen, die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen zu ermitteln sowie die benötigten Wiederanlaufzeiten festzulegen.

Hierzu sollte eine Business Impact Analyse (BIA) durchgeführt werden. Es gibt verschiedene Methoden, um die benötigten Ergebnisse zu ermitteln. Dafür ist eine für die Institution angemessene Methode zur Durchführung der BIA auszuwählen, Parameter für die gewählte Methode zu setzen und die Entscheidungen zu dokumentieren.

Die Erfahrung hat gezeigt, dass Methoden, die auf aufwendigen numerischen Betrachtungen beruhen, häufig einen unverhältnismäßig hohen Aufwand erzeugen. Ein pragmatischer Ansatz, der sich gerade für kleine Institutionen eignet, ist beispielsweise, in einem Workshop in Zusammenarbeit mit den Verantwortlichen die relevanten Prozesse zu ermitteln, zu klassifizieren bzw. zu priorisieren.

Die gewählte Methode zur Durchführung einer BIA sollte mindestens folgende Arbeitsschritte enthalten:

Zusätzlich empfiehlt es sich, die maximal zulässige Wiederherstellungszeit bzw. den maximal zulässigen Notbetrieb festzulegen.

Der Notfallbeauftragte koordiniert und führt mit Unterstützung der Notfallkoordinatoren die BIA durch. Wesentliche Ansprech- und Interviewpartner bei der Durchführung der BIA sind die Geschäftsprozess- und Ressourcenverantwortliche. Die Ergebnisse der BIA sind schriftlich zu dokumentieren und durch die Institutionsleitung zu bestätigen.

Detaillierte Informationen für eine mögliche Methode zur Durchführung einer Business Impact Analyse ist im BSI-Standard 100-4 Notfallmanagement enthalten.

Um die Ursachen von möglichen Geschäftsprozessunterbrechungen zu finden, ist eine Risikoanalyse durchzuführen. Es sind die Ziele und eine geeignete Methode zur Durchführung der Risikoanalyse festzulegen und zu dokumentieren. Bei der Durchführung der Risikoanalyse kann es hilfreich sein, die bei der BIA identifizierten Auswirkungen von Ausfällen miteinzubeziehen und umgekehrt. Ergebnis der Risikoanalyse ist die Aufstellung der wesentlichen Risiken für die Kontinuität der Geschäftsprozesse und die kritischen Ressourcen der Institution (siehe BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz). Für jedes identifizierte Risiko ist zu entscheiden, welche Risikostrategien zur Reduzierung der Auswirkung, Verringerung der Eintrittswahrscheinlichkeit und Minimierung der Ausfallzeit eingesetzt werden sollen.

Um aus den allgemeinen Zielen, dem identifizierten Schutzbedarf und der Risikobewertung den Bedarf ableiten, konkrete Schutzmaßnahmen und Wiederanlaufstrategien festlegen zu können, ist die Erhebung des Ist-Zustandes der kritischen Geschäftsprozesse und deren unterstützenden Ressourcen sinnvoll. Durch den Vergleich der in der BIA festgelegten Soll-Werte für Wiederanlauf und Wiederherstellung sowie dem initial festgelegtem Risikoappetit (Risikoakzeptanzniveau) der Institution mit den aktuell realisierten Wiederanlaufmaßnahmen und Schutzmaßnahmen, werden die vorhandenen Lücken für den Wiederanlauf und die Risikobehandlung identifiziert.

Um diese zu schließen, sind in der weiteren Konzeption sinnvolle Maßnahmen zu identifizieren, die die Ausfallsicherheit der kritischen Geschäftsprozesse und deren benötigten Ressourcen erhöhen, einen zeitgerechten Wiederanlauf bzw. Wiederherstellung ermöglichen und somit die Ausfallzeit und den Schaden bei Eintritt eines Notfalls begrenzen. Es empfiehlt sich, verschiedene Strategieoptionen für die Notfallbewältigung, die Geschäftsfortführung und die Wiederherstellung und Wiederanlauf der Ressourcen zu entwickeln, die

Es sind geeignete Strategien auszuwählen und die Entscheidung zu dokumentieren. Dabei sollte auch festgehalten werden, wie die Zusammenarbeit mit Zulieferern, Kooperationspartnern oder Outsourcing-Dienstleistern im Notfall erfolgen soll. IT-Maßnahmen sind gegebenenfalls mit dem Sicherheitsmanagement abzustimmen.

Es ist ein Notfallkonzept bestehend aus Notfallvorsorgekonzept und Notfallhandbuch zu erstellen. Das Notfallvorsorgekonzept enthält alle Informationen, die bei der Konzeption anfallen inklusive der ausgewählten Maßnahmen zur Risikobehandlung und um einen schnellen Wiederanlauf und Wiederherstellung zu ermöglichen. Das Notfallhandbuch enthält die Informationen, die direkt für und bei der Notfallbewältigung benötigt werden. Dazu zählen unter anderem die Geschäftsfortführungspläne, die Wiederanlauf- und Wiederherstellungspläne inklusive Ersatzbeschaffungs- und Ausweichpläne sowie Notfallpläne für Sofortmaßnahmen. Die die Geschäftsfortführungspläne, Wiederanlauf- und Wiederherstellungspläne enthalten sämtliche Informationen, die ein schnelles Aufnehmen eines Notbetriebs ermöglichen und die Wiederherstellung des Normalbetriebs für Prozesse und Ressourcen ermöglichen. Die Pläne sollten die Informationen über die Wiederanlaufzeiten und Prioritäten für die Prozesse und Ressourcen enthalten, sowie verschiedene Wiederanlaufoptionen für verschiedene Schadensereignisse. Notfallpläne für Sofortmaßnahmen sollten unter anderem sicherstellen, dass das Wohlergehen der betroffenen Personen sichergestellt ist.

Je nach Ausprägung der Institution und Integration des Notfallmanagements in das Risikomanagement der Institution, kann das Erstellen eines Krisenstabsleitfadens und eines Krisenkommunikationsplans sinnvoll sein. Der Krisenstabsleitfaden sollte Hilfestellung für die strategische Entscheidungsfindung des Krisenstabs enthalten. Der Krisenkommunikation enthält die Informationen über die Art und Wege der Kommunikation mit den Medien aber auch mit anderen Interessengruppen, Kriterien wann und unter welchen Bedingungen kommuniziert wird und die Kommunikationsstrategie.

Die verschiedenen Notfallpläne müssen aufeinander abgestimmt sein. Jeder Plan sollte die Informationen enthalten

In der Gesamtheit der Pläne sollten folgende Informationen enthalten sein:

Alle Dokumente müssen jeweils durch die Personen zugreifbar, die diese für ihre Aufgaben in der Notfallbewältigung benötigen. Sie müssen für diese verständlich aufbereitet sein. Detailliertere Informationen zum Notfallkonzept sind im BSI-Standard 100-4 Notfallmanagement zu finden.

Gleichzeitig mit der Auswahl der einzelnen Maßnahmen und der Erstellung des Notfallkonzepts sollte die Umsetzungsplanung erfolgen. Dafür ist festzuhalten, in welchem Zeitraum die einzelnen Maßnahmen umzusetzen sind und welche passend kombiniert gemeinsam umgesetzt werden können. Außerdem müssen die Maßnahmen nach der Dringlichkeit der Umsetzung priorisiert werden. Im Umsetzungsplan sollte enthalten sein:

Bei der Auswahl von Notfallmaßnahmen ist deren Angemessenheit und Wirtschaftlichkeit zu beachten. Die Dokumentation sollte konkrete Angaben über Verantwortlichkeiten und Zuständigkeiten sowie geplante Aktivitäten zur Kontrolle, Revision und Überwachung enthalten. Die Reihenfolge für die Umsetzung offener Aktivitäten ist festzuhalten. Außerdem sind die geplanten bzw. eingesetzten Ressourcen für die Umsetzung der einzelnen Notfallmaßnahmen zu dokumentieren.

Bei der Notfallkonzeption ist die Informationssicherheit zu berücksichtigen. Es ist sicherzustellen, dass im Falle eines Notfalls, bei der Inbetriebnahme und dem Betrieb von Ausweichlösungen und der Wiederaufnahme des Normalbetriebs die Informationssicherheit gewährleistet ist. Dazu gehört unter anderem die Gewährleistung der Vertraulichkeit von Daten (z. B. Zugriffsrechte, Verschlüsselung), Einhaltung der Minimalanforderungen an die Datensicherung und die Einhaltung gesetzlicher Vorgaben (z. B. Archivierung von geschäftsrelevanten Daten). Für alle Notfalllösungen sind Sicherheitskonzepte zu erstellen und Sicherheitsmaßnahmen zu implementieren. Daher ist eine enge Zusammenarbeit mit dem IT-Sicherheitsbeauftragten sicherzustellen.

Ein Notfallkonzept kann vertrauliche Informationen beinhalten, wie z. B. Angaben über Schwachstellen oder Informationen über Schutzmaßnahmen. Solche Informationen können als vertraulicher eingestuft werden und dürfen dann ausschließlich an die zuständigen Personen weitergegeben werden. Das Notfallkonzept sollte daher so gegliedert werden, dass einzelne Teile an den speziellen Adressatenkreis weitergegeben werden können.

Prüffragen: