Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Notfall-Strategien : Richtige Richtung, notfalls auch ad hoc

Auch dort, wo noch kein vollumfängliches Notfallmanagement eingerichtet ist, braucht man im Fall der Fälle planvolles Handeln. Notfallstrategien ermöglichen hier elementare Reaktionen und können als initiale Richtungsgeber oder „Leitplanken“ der Notfallbewältigung dienen. Der vorliegende Artikel zeigt, wie man hier präventiv oder notfalls sogar ad hoc vorgehen kann.

Notfallstrategien werden im Rahmen des Notfallmanagements entwickelt, um – je Unternehmensbereich – konkrete Handlungspläne für den Notfall ableiten und erstellen zu können. Sofern eine konkrete Notfallplanung (noch) nicht vorhanden ist, können Notfallstrategien dabei helfen, im Fall der Fälle Handlungsoptionen aufzuzeigen und daraus konkrete Maßnahmen abzuleiten. Darüber hinaus liefern sie noch weiteren Nutzen:

  • Notfallstrategien schaffen Transparenz über die Entscheidungen des Unternehmens im Notfall.
  • Eine übergeordnete Notfallstrategie entspricht dem „Führen mit Auftrag“: Die Beteiligten verstehen das gemeinsame Ziel und können operative Maßnahmen selbst planen und umsetzen, die der Erreichung des Ziels dienlich sind.
  • Dokumentierte Notfallstrategien unterstützen die (spätere) Nachvollziehbarkeit von Entscheidungen.
  • Allen am Notfall Beteiligten wird die Möglichkeit gegeben, eine gemeinsame Notfallstrategie zu verfolgen und lösungs-, nicht problemorientiert zu denken (alle ziehen an einem Strang).

Die Entwicklung von Notfallstrategien kann auf zwei unterschiedlichen Wegen erfolgen: entweder „präventiv erarbeitet“ oder „ad hoc“. Präventive Notfallstrategien werden bereits vor dem Eintritt eines Notfalls erarbeitet – sie lassen sich beim Eintritt eines Notfalls mit wenig Aufwand kommunizieren und durch die Fachbereiche in konkrete Notfallmaßnahmen umsetzen. Der Start des Notbetriebs, der die wichtigsten Geschäftsprozesse fortführt, kann somit deutlich beschleunigt werden.

Dennoch gibt es auch die Möglichkeit, Notfallstrategien ad hoc aus der jeweiligen Situation heraus planvoll zu erarbeiten: Die Basis der Strategiefindung sind dann die zu diesem Zeitpunkt bekannten Fakten und Möglichkeiten.

Abgrenzung von Notfall-Strategie und -Management
Abgrenzung von Notfall-Strategie und -Management

Präventive Notfallstrategien

War es (noch) nicht möglich, alle Instrumente eines umfänglichen Notfallmanagements zu etablieren, kann bereits die präventive Planung von Notfallstrategien entscheidend die Vorbereitung auf einen Notfall unterstützen. Solche Strategien sind zwar nicht in dem Maße zielgerichtet, wie sie es mit umfangreichen Analysen im Vorfeld wären, dafür jedoch kurzfristiger zu erarbeiten.

Um Notfallstrategien zu entwickeln, sind in einem ersten Schritt die wahrscheinlichsten Szenarien für ein Unternehmen und seine Standorte zu identifizieren: Gesucht wird nach wahrscheinlichen Ereignissen, die den Betrieb stören können – eventuell sind aufgetretene Notfälle aus der Vergangenheit bekannt und können mit einbezogen werden. Es ist zu empfehlen, identifizierte Ereignisse zu kategorisieren. Eine bewährte Methode ist die Zusammenfassung in vier Basisszenarien (vgl. Abb. 2):

  • Ausfall von Personal
  • Ausfall von IT-Anwendungen und -Services
  • Ausfall von Gebäuden und Gebäudeinfrastrukturen
  • Ausfall von Dienstleistungen
Abbildung 2 Typische Ausfallszenarien im Rahmen der Notfallstrategiefindung
Abbildung 2 Typische Ausfallszenarien im Rahmen der Notfallstrategiefindung

Im Anschluss ist zu prüfen, welche übergeordneten Möglichkeiten bestehen, um auf die identifizierten Ereignisse reagieren zu können. Inspiration finden Themenverantwortliche beispielsweise im BSI-Standard 100-4 (Anhang A, www.bsi.bund.de/standards) oder in den „Good Practice Guidelines“ (GPG) des Business Continuity Institutes (BCI, vgl. www.thebci.org/trainingqualifications/good-practice-guide

Da nicht jede Handlungsoption gut zu jedem Unternehmen passt, kommt man um eine Einschätzung hinsichtlich ihrer Eignung nicht herum. Hierzu werden im Folgenden sechs wichtige Auswahlkriterien für die Bewertung präventiver Notfallstrategien vorgestellt

Verfügbarkeitsrisiko

Das Verfügbarkeitsrisiko beschreibt, mit welcher Wahrscheinlichkeit eine Notfallmaßnahme im Notfall tatsächlich verfügbar ist.

Beispiel: In jedem Winter kann mit einer Grippewelle und somit einem nicht unerheblichen Ausfall von Mitarbeitern gerechnet werden. Fehlt Personal in einer Abteilung, können eventuell Mitarbeiter anderer Abteilungen mit ähnlichen Aufgaben unterstützen. Das Verfügbarkeitsrisiko ist jedoch hoch: Ist der Grippeerreger erst im Haus, könnte er sich schnell auf weitere Bereiche ausdehnen. Eine Alternative wäre die Beauftragung eines externen Dienstleisters.

Wiederanlaufzeit

Die Wiederanlaufzeit beschreibt diejenige Zeit, die eine Notfallstrategie benötigt, um im Notfall eingesetzt zu werden. Beispiel: Bei einem Personalausfall durch eine Grippe könnte die Beauftragung eines externen Dienstleisters eine risikoarme Notfallstrategie sein. Für einige Wochen kann ein Teil der Arbeit von externen Mitarbeitern übernommen werden, damit zumindest ein Basisbetrieb möglich bleibt. Dabei sollte man jedoch die Reaktionszeiten der Dienstleister in die strategischen Vorüberlegungen mit einbeziehen: Sind diese zu lang, werden Arbeitsrückstände auflaufen, die sich gegebenenfalls nur schwer abarbeiten lassen.

Aufwand im Notfall

Dieser Aufwand beschreibt die mit der Umsetzung einer Notfallstrategie im Notfall verbundenen Anstrengungen beziehungsweise Ressourcen.

Beispiel: Vertraut man auf die Reaktionsgeschwindigkeit eines Dienstleisters, kann dieser einige der Tätigkeiten übernehmen. Dabei sollte aber auch bedacht werden, ob dies in den bisherigen Räumen des Unternehmens möglich ist oder (Teil-) Prozesse eventuell mit erhöhtem Aufwand an einen anderen Standort verlagert werden müssen.

Initiale Kosten

Die initialen Kosten beschreiben den monetären Aufwand, der bereits mit der Wahl der Notfallstrategie einhergeht.

Laufende Kosten

Die laufenden Kosten beschreiben den monetären Aufwand, der dauerhaft – eventuell auch über das Bestehen des Notfalls hinaus – für das Unternehmen besteht.

Beispiel: Unterstützt ein Dienstleister das Unternehmen durch zusätzliches Personal, so entstehen dafür laufende Kosten. Hinzu kommen jedoch auch die Personalkosten für erkrankte Mitarbeiter.

Notbetriebsdauer

Die Notbetriebsdauer beschreibt diejenige Zeit, für die eine Notfallstrategie maximal sinnvoll einsetzbar ist.

Beispiel: Der Einsatz eines Dienstleisters wird, wie bereits beschrieben, zu erhöhten Kosten führen und ab einem bestimmten Zeitpunkt den Nutzen der Maßnahme übersteigen. Darüber hinaus werden irgendwann Tätigkeiten anfallen, die nicht länger verschiebbar sind und aufgrund von fehlendem Hintergrundwissen nicht durch externes Personal durchgeführt werden können.

Nach der Bewertung der Kriterien ist jede mögliche Notfallstrategie auf ihre Umsetzbarkeit hin zu überprüfen. Es wird empfohlen, die kategorisierten Szenarien (Ausfall von Personal, IT-Anwendungen und -Services usw.) jeweils den Notfallstrategien gegenüberzustellen. Tritt ein Notfall ein, wird untersucht, welche Kategorie vorliegt – eine Vorauswahl von Notfallstrategien erleichtert die Entscheidung unter Stress erheblich. Abbildung 3 zeigt mögliche Notfallstrategien für einen Personalausfall (nicht abschließend).

Abbildung 3 Bewertete Übersicht möglicher Notfallstrategien für einen Personalausfall
Abbildung 3 Bewertete Übersicht möglicher Notfallstrategien für einen Personalausfall

Die präventive Beschäftigung mit und die Dokumentation von Notfallstrategien schafft einen guten Überblick – tritt ein Notfall ein, lassen sich alle Optionen und der damit verbundene Aufwand schnell identifizieren. Wenngleich diese Maßnahme noch kein umfassendes Notfallmanagement darstellt, ist damit doch schon ein entscheidender Schritt für die Reaktionsfähigkeit in einem Notfall getan.

Ad-hoc-Notfallstrategien

Eine präventive Erarbeitung von Notfallstrategien sollte immer das oberste Ziel sein. Wo dies jedoch nicht möglich ist, kann man auch auf eine bewährte Methode zur Ad-hoc-Entwicklung von Notfallstrategien zurückgreifen. Dabei werden ebenfalls notwendige Rahmenparameter erhoben und bewertet – allerdings bleibt „ad hoc“ häufig wenig Zeit, um eine ausführliche Recherchephase zu durchlaufen. Um diesem Punkt Rechnung zu tragen, kann man sich am Merkwort „SBAR“ orientieren, um zügig zu guten Resultaten zu gelangen.

Das SBAR-Framework wurde ursprünglich als reines Kommunikationsmodell konzipiert – es soll dabei helfen, wesentliche Informationen strukturiert und effektiv von einer Person zur nächsten zu kommunizieren. „SBAR“ steht dabei für:

  • S: Situation
  • B: Background
  • A: Assessment
  • R: Recommendation

Diese Schritte spiegeln neben ihrem eigentlichen Zweck aber auch alle notwendigen Schritte zur Situationsanalyse und Notfallstrategiefindung wider, was SBAR als „Rezept“ für Ad-hoc-Strategien in vier Schritten qualifiziert:

Situation (Situationsanalyse)

Im Rahmen der Situationsanalyse stellt jeder Leiter eines betroffenen Bereichs das aktuell vorliegende Szenario dar (Ausfall von Personal, IT-Anwendungen und -Services, Gebäuden und Gebäudeinfrastrukturen, Dienstleistungen usw.). Entsprechend dem Szenario ist dann die genaue Lage so konkret wie möglich zu beschreiben (bspw. Ausfall von 50 % der vorhandenen Arbeitsplätze). Darüber hinaus sollte soweit möglich benannt werden, ob durch das Szenario zeitkritische Teilbereiche oder kurzfristig anstehende kritische Tätigkeiten betroffen sind.

Background (Hintergrundbetrachtung)

Im Rahmen der Hintergrundbetrachtung ist festzustellen, welche Sofortmaßnahmen bereits getroffen wurden und welchen Effekt sie erzielt haben. Es ist zu prüfen, ob die derzeitigen Maßnahmen ausreichen, um das Ereignis zu bewältigen, oder weitere, gegebenenfalls übergeordnete Maßnahmen erforderlich sind.

Assessment (Schadensbewertung)

Sofern man festgestellt hat, dass das aktuelle Ereignis nicht durch die bereits umgesetzten Maßnahmen zu bewältigen ist oder übergeordnete Maßnahmen erforderlich scheinen, sind auf Basis der aktuellen Lage grob die derzeit erwarteten Schäden zu bewerten. Zur Orientierung können die folgenden drei Schadenskategorien dienen:

  • Finanzielle Schäden (gering/ mittel/hoch)
  • Reputationsschäden (gering/ mittel/hoch)
  • Rechtliche Folgen (gering/ mittel/hoch)

Recommendation (Strategiefindung)

Im vierten Schritt erfolgt die eigentliche Notfallstrategiefindung. Mögliche Notfallstrategien können aus früheren Ereignissen oder den bereits genannten einschlägigen Quellen (BSI-Standard 100-4 oder GPG) abgeleitet werden.

Die Berücksichtigung der Schäden im dritten Schritt ermöglicht es dabei, die Angemessenheit möglicher Notfallstrategien zu bewerten. Sofern ein geringer Schaden erwartet wird, ist etwa die Umsetzung einer umfangreichen Notfallstrategie nicht zielführend, da das Kosten-Nutzen-Verhältnis nicht gerechtfertigt scheint.

Analog zum präventiven Vorgehen sollten für eine aussagekräftige Entscheidung folgende Mindestinformationen wenigstens grob erhoben werden:

  • Verfügbarkeitsrisiko (gering/ mittel/hoch)
  • Wiederanlaufzeit (gering/ mittel/hoch)
  • Aufwand im Notfall (gering/ mittel/hoch)
  • Kosten (gering/mittel/hoch)
  • maximale Notbetriebsdauer (gering/mittel/hoch)

Wurden alle erkannten Notfallstrategien bewertet, ist auf Basis der erwarteten Schäden die zielführendste Option auszuwählen. Es kann dabei durchaus sein, dass sich diese Notfallstrategie im Nachgang als nicht optimal erweist – dies ist ein Risiko, das durch die Möglichkeit, sehr schnell auf Ereignisse reagieren zu können, verursacht wird und akzeptiert werden muss. Nichtsdestotrotz ermöglicht das Vorgehen auf Basis der vorhandenen knappen Informationen mit wenig Aufwand eine strukturierte Notfallstrategiefindung.

Abbildung 4 Beispielhafte SBAR-Checkliste zur Identifikation von Ad-hoc-Notfallstrategien
Abbildung 4 Beispielhafte SBAR-Checkliste zur Identifikation von Ad-hoc-Notfallstrategien

Fazit

Die vorgestellte Methode, um auch bei Eintritt eines Notfalls durch Ad-hoc-Notfallstrategien entscheidungsfähig zu bleiben, ermöglicht auch dann eine strukturierte Notfallbewältigung, wenn keine präventive Auseinandersetzung mit möglichen Notfallszenarien und -maßnahmen möglich war. Sie lässt sich selbst dann einsetzen, wenn beispielsweise ein nicht-erwartbares Ereignis eingetreten ist und/oder geplante Maßnahmen nicht umsetzbar sind.

Dennoch sollte das oberste Ziel in jedem Fall bleiben, sich präventiv mit Notfallszenarien und -maßnahmen auseinanderzusetzen, mit denen sich die extreme Belastung, die während eines Notfalls entsteht, deutlich reduzieren lässt.

Darüber hinaus können präventiv erarbeitete Notfallstrategien ein erster Schritt in Richtung eines leistungsfähigen Notfallmanagements sein: Stück für Stück können belastbare Daten und Fakten zum Unternehmen gesammelt, analysiert und sukzessive Notfallstrategien angepasst werden.

Im betrieblichen Alltag geschehen öfter kleine Unterbrechungen, die auf dem „kurzen Dienstweg“ behandelt werden. Mitarbeiter unterschiedlicher Bereiche können im gemeinsamen Erfahrungsaustausch ihre Notfallstrategien mit den Erfahrungen von Kollegen abstimmen.

Eine wirklich zielgerichtete und effiziente Reaktion auf einen Notfall erfolgt jedoch erfahrungsgemäß nicht „aus dem Bauch“ heraus – sie ist kein Reflex, sondern basiert auf sorgfältiger Analyse und Planung.

Theo Nick und Jann-Christoph Sowa sind Berater im Bereich „Business Security“ der HiSolutions AG

Diesen Beitrag teilen: