BSI-Standard 100-4: Notfallmanagement Version 1.0                                              Kapitel 8 Planbesprechung Die Planbesprechung wird dazu verwendet, am „grünen Tisch“ – daher auch der Name „Table Top Exercise“ – Probleme und Szenarien durchzudenken. In dieser Übungsart wird ein Szenario vorgegeben und theoretisch durchgespielt. Diese Testart ist noch relativ einfach umzusetzen und dient einer ersten Validierung. Unstimmigkeiten und Missverständnisse können so aufgedeckt werden, bevor ein kostenintensiver operativer Aufwand betrieben wird. Während der Etablierungsphase des Notfallmanagements sollte diese Überprüfungsart häufiger wiederholt werden. Stabsübungen Eine besondere Form von Planbesprechung sind die sogenannten Stabsübungen. Dabei wird die Zusammenarbeit im Krisenstab geübt. Stabsrahmenübungen Eine weitere Form der Planbesprechung sind die Stabsrahmenübungen. Sie stellen eine erweiterte Form der Stabsübung dar. Sie dienen dazu, neben der Zusammenarbeit im Krisenstab auch die Zusammenarbeit zwischen dem Krisenstab und den operativen Teams zu überprüfen und zu üben. In der Regel werden die stabsnahen Strukturen praktisch geübt, während die operative Umsetzung theoretisch simuliert wird. Kommunikations- und Alarmierungsübung Ein neuralgischer Punkt der Notfall- und Krisenbewältigung ist die Meldung und Alarmierung des Krisenstabs und weiterer Verantwortlicher. Daher sind die Verfahren zur Meldung, Eskalation und Alarmierung regelmäßig zu überprüfen. Dieser Test umfasst einfache Überprüfungen der Kommunikationsmittel bis hin zum Zusammentreten des Krisenstabs im Krisenstabsraum. Es werden dabei die in den Plänen hinterlegten Zuständigkeiten und Rufnummern wie auch die Verfahren, die Eskalationsstrategie, die Erreichbarkeiten und die Stellvertreterregelungen getestet. Es wird überprüft, ob die vorliegenden Pläne aktuell, verständlich und handhabbar, die Verfahren praktikabel und die zu nutzende Technologien (z. B. Alarmierungssystem, Notfall-Telefon, SMS, Pager, Internet, Funk- oder Satellitenkommunikationsgeräte) funktionsbereit, effektiv und angemessen sind. Simulation von Szenarien Durch eine realitätsnahe Simulation werden die festgelegten Prozeduren und Maßnahmen für die Be- wältigung von Notfallszenarien oder -ereignissen auf ihre Zweckmäßigkeit, Angemessenheit und Funktionalität getestet. Dabei werden sowohl die Alarmierung und Eskalation, die Notfallbewälti- gungsorganisation, die Arbeit des Krisenstabs und die Zusammenarbeit aller beteiligten Stellen erprobt. Solche Übungen könnten als Funktions- oder Bereichsübungen und in einer weiteren Stufe bereichsübergreifend organisiert werden. Ernstfall- oder Vollübung Die aufwendigste Art einer Simulation ist die Ernstfall- oder Vollübung. Je nach Szenario sind dabei auch Externe, wie beispielsweise die Feuerwehr, Hilfsorganisationen, Behörden etc., einzubeziehen. Diese Übungsart kann und sollte erst in einem fortgeschrittenen Stadium durchgeführt werden. Die Vollübung orientiert sich an der Wirklichkeit und bezieht alle Hierarchieebenen vom Management bis zum einzelnen Mitarbeiter mit ein. Der Vorbereitungs-, Durchführungs- und Nachbereitungsauf- wand ist nicht zu unterschätzen. Dennoch sollte bei hohen Anforderungen der Institution an das Not- fallmanagement nicht darauf verzichtet werden. Auch Ernstfallübungen sollten regelmäßig in größeren zeitlichen Abständen durchgeführt werden. Vergleich der Übungsarten Die Tests und Übungen können nach verschiedenen Kriterien unterschieden werden: nach Ablaufart oder nach Zielgruppe, nach Umfang oder Aufwand. Der Ablauf kann diskussionsbasiert oder Seite 84

Kapitel 8                                          BSI-Standard 100-4: Notfallmanagement Version 1.0 handlungsorientiert sein. Bei den Zielgruppen können die drei Verantwortungsbereiche strategisch, taktisch und operativ unterschieden werden. Übungen auf der taktischen Ebene überprüfen die Koordinierung, die Zusammenarbeit der einzelnen Bereiche und die Abläufe bei der Lageerfassung und –bewertung. Auf der operativen Ebene stehen die Abläufe und die konkreten Arbeiten zur Behebung des Notfalls im Fokus (siehe Tabelle 18). Übungsart                         Zielgruppe                               Ablauf                   Aufwand/ Umfang diskussions-   handlungs- strategisch niedrig/- taktisch   operativ mittel/ hoch/ basiert      orientiert      sehr hoch Test der technischen Vorsorgemaßnahmen                                   X                         X             niedrig Funktionstest                                                            X                         X             mittel Plan-Review                                                   x          x           X                           niedrig Planbesprechung                                               X          x           X                           niedrig-mittel Stabsübung                                    x               X                      X                           niedrig-mittel Stabsrahmenübung                              x               X          x           X             x             mittel-hoch Kommunikations- und Alarmierungsübung                         x          X                         X             niedrig Simulation von Szenarien                                      X          X                         X             hoch Ernstfall- oder Vollübung                     X               X          X                         X             sehr hoch Tabelle 18: Übungsarten 8.2 Dokumente Für die Planung und Durchführung von Übungen und Tests ist es hilfreich, verschiedene Arten von Dokumenten anzulegen: das Übungskonzept, den Übungsplan, das Übungskonzept und das Übungsprotokoll. 8.2.1 Übungshandbuch Für alle Tests und Übungen des Notfallmanagements in einer Institution sollte gelten, dass sie geplant und vorbereitet ablaufen. Daher und um Störungen des Wirkbetriebs so gering wie möglich zu halten, sind zusammen mit der Institutionsleitung strategische Entscheidungen, grundsätzliche Festlegungen, Rahmenbedingungen und Vereinbarungen für alle durchzuführenden Tests und Übungen zu treffen. Diese werden im Übungshandbuch zusammengefasst und bilden die Grundlage für die generelle Übungsplanung und die Planung der einzelnen Übungen. Das Übungshandbuch sollte unter anderem folgende Fragen beantworten: -   Welche strategische Bedeutung haben die Notfalltests und –übungen für die Institution? -   Was sind die Ziele, die mit der Durchführung von Tests und Übungen erreicht werden sollen? -   Welchen Stellenwert haben die Tests und Übungen? -   Welche Arten von Tests werden in der Institution unterschieden? Welcher Aufwand und welche groben Kosten sind mit den einzelnen Arten verbunden? -   Was sind die Ziele der einzelnen Übungsarten in der Institution? -   Wie viele Tests und Übungen sollten durchgeführt werden? Existieren gesetzliche oder aufsichtsrechtliche Vorgaben bezüglich der Häufigkeit? -   Welche Rollen werden bei der Planung und Durchführung von Tests und Übungen unterschieden? Welche Aufgaben, Rechte und Verantwortlichkeiten haben diese? Seite 85

BSI-Standard 100-4: Notfallmanagement Version 1.0                                             Kapitel 8 -    Welche Bereiche sollen getestet werden: Kenntnisse und Fähigkeiten der Beteiligten und Mitarbeiter, Abläufe des Notfallmanagements, Mechanismen und eingesetzte Technologien, Notfalldokumentation, Einsatzbereitschaft zentraler Ressourcen, Maßnahmenpläne etc.? -    Welche Methoden von Übungen werden eingesetzt (z. B. angekündigt, nicht angekündigt)? -    Wie ist für die Durchführung von Übungen die Schnittstelle zum operativen Tagesgeschäft festzulegen? Welcher Grad der Beeinflussung des Tagesgeschäfts durch die Übung ist erlaubt, sofern dieser nicht garantiert auszuschließen ist? -    Wie sind die Tests und Übungen zu dokumentieren? Mit welcher Detailgenauigkeit? -    Wie ist die Auswertung der Übungsergebnisse durchzuführen? Das Übungshandbuch umfasst neben den strategischen Grundsätzen auch Hilfsmittel, welche für die Feinplanung, die Durchführung und die Nachbereitung von Übungen und Tests hilfreich sind. Dazu zählen beispielsweise Dokumentenvorlagen für Einladungsschreiben, Ankündigungen, Protokolle oder Auswertefragebögen, die für konkrete Übungen ausgefüllt oder angepasst werden müssen. 8.2.2 Übungsplan Es ist sinnvoll, nicht nur die jeweils nächste durchzuführende Übung zu betrachten, sondern eine aufeinander abgestimmte Reihe von Tests und Übungen zu planen, die in der Gesamtheit alle Bereiche der Institution sowie aller Teile der Notfallpläne, die zu beüben sind, abdeckt. In der Übungsplanung werden daher für einen Planungszeitraum über wenige Jahre die Termine, die Reihenfolge und die groben Eckdaten der geplanten Tests und Übungen festgelegt. Dabei sollten alle Test- und Übungsarten von einfachen Systemtests bis mindestens zur Simulation von Szenarien eingeplant werden. Es ist nicht ausreichend, ausschließlich einzelne Notfallvorsorgemaßnahmen im Rahmen des Changemanagements zu testen. Bei der Terminfestlegung für Tests und Übungen sind Randbedingungen wie beispielsweise Urlaubszeiten, in denen Mitarbeiter nicht zur Verfügung stehen, oder besondere Termine für die Institution und Geschäftsprozesse zu beachten. Für die Reihenfolge der Tests und Übungen hat sich bewährt, diese vom Einfachen zum Komplexen zu steigern. Tests ohne großen Vorbereitungsaufwand sollten häufiger durchgeführt werden. Die Häufigkeit und der Umfang der Übungen sollten sich an der Gefährdungslage der jeweiligen Organisationseinheiten orientieren. Eine risikoorientierte Vorgehens- weise ist zu empfehlen. Je kritischer ein Prozess oder System für die Geschäftsfortführung ist, desto häufiger sollten die Notfallvorsorgemaßnahmen und Pläne getestet werden. Für Tests und einfache Übungen hat sich ein jährlicher Rhythmus bewährt. So sollte pro Jahr mindestens eine Übung, wie beispielsweise eine Gebäuderäumung, durchgeführt werden. Institutionen mit hohen Verfügbarkeitsanforderungen an Geschäftsprozesse sollten umfangreiche Ernstfallübungen, wie den Bezug eines Ausweichstandortes und Funktionstests der Notfallarbeitsplätze, mindestens alle 2 bis 3 Jahre durchführen. Je nach Branche der Institution sind dabei gesetzliche oder aufsichts- rechtliche Vorgaben zur Durchführung, Art oder Anzahl von Übungen zu beachten. Im Übungsplan wird für jeden Test und jede Übung das geplante Szenario, die Übungsart, der Zweck und das verfolgte Ziel, ob angekündigt oder nicht-angekündigt sowie die geplanten Teilnehmer (Rollen), der Zeitpunkt und die voraussichtliche Dauer der jeweiligen Übungen festgelegt. Auch sollte eine grobe Abschätzung der benötigten personellen, materiellen und finanziellen Ressourcen erfolgen. Der Plan sollte sowohl mit der Personalvertretung wie auch mit der Institutionsleitung abgestimmt und von dieser freigegeben werden. 8.2.3 Test- und Übungskonzept Für jeden einzelnen Test und jede Übung ist ein separates Test- bzw. Übungskonzept zu erarbeiten. Dieses beinhaltet die Detailplanung für die Durchführung. Ein Testkonzept beschreibt mit welcher Methode ein System zu prüfen ist, welche Tools zur Anwendung kommen und welche Randbe- dingungen vorgegeben sind. Ein Übungskonzept beschreibt unter anderem den Teilnehmerkreis, die Seite 86

Kapitel 8                                           BSI-Standard 100-4: Notfallmanagement Version 1.0 jeweilige Rolle der einzelnen Teilnehmer in der Übung, den zeitlichen Rahmen und die Kriterien für den Abbruch der Übung. Es enthält somit mindestens folgende Angaben: -   Name der Übung, -   Datum, Zeit und geplante Dauer, -   Ort der Übung, -   Art der Übung, -   Ziele, -   Übungsleitung, -   Teilnehmer, Übungsbeobachter, Protokollführer, -   Einweisung (das sogenannte Briefing) der Teilnehmer und -   das Szenario. Die Erstellung eines Übungskonzepts sollte zweistufig erfolgen. Zuerst wird ein Grobkonzept erstellt, das der Leitungsebene zur Genehmigung vorgelegt wird. Erst anschließend wird die Feinkonzeption durchgeführt. Bei länger andauernden Großübungen wie Ernst- und Vollübungen sollte dabei auf weitere Punkte geachtet werden. Dazu zählen beispielsweise Sicherheitsvorkehrungen für die Beteiligten während der Übung oder die Verpflegung. Übungsdrehbuch Bei einem umfangreicheren Übungsszenario ist ein Übungsdrehbuch zu erstellen. In diesem werden die Ausgangslage, der konkrete zeitliche Ablauf der Übung, die vordefinierten Ereignisse und deren Ablaufreihenfolge so detailliert wie möglich beschrieben. Es ist auch festzulegen, wie und durch wen die jeweilige Information an die Teilnehmer übermittelt wird. Das Drehbuch unterstützt die Moderatoren der Übung bei der Gestaltung des Übungsablaufs. Bei der Entwicklung eines Übungsdrehbuches wird als Methode meist die Szenariotechnik eingesetzt. Dabei werden ausgehend von einem möglichen Schadensereignis die realistischen Entwicklungs- möglichkeiten der Situation für die Institution aufgezeigt. Um Gewöhnungseffekte zu vermeiden und die Teilnehmer immer wieder neu zu motivieren, sollte jedes Übungsszenario und damit die Übung individuell gestaltet werden. Die Ausgangslage wird in der sogenannten „Blauen Lage“ dokumentiert. Diese dient dazu, die Übungsteilnehmer zu Beginn der Übung über die aktuelle Situation zu informieren. Sie beinhaltet eine Beschreibung der Normalsituation, den Eintritt eines Schadensereignisses, alle benötigten Informationen zur aktuellen Lage und endet mit dem „Auftrag“, der der realen Alarmierung entspricht. Die Bezeichnung "Blaue Lage" geht darauf zurück, dass typischerweise alle schriftlichen Informa- tionen zur Übungsausgangslage auf blaues Papier gedruckt werden, damit sie nicht mit anderen Dokumenten verwechselt werden können. Eine Darstellungsmöglichkeit für ein Übungsdrehbuch ist eine Tabelle. In dieser können neben einer laufenden Nummer für eine Einzelaktivität (auch Einlagen genannt), der Zeitpunkt, eine Kurzbeschreibung des Ereignisses, das Testziel bzw. die erwartete Reaktion, die Akteure und verwendete Hilfsmittel oder Werkzeuge festgehalten werden (siehe Tabelle 19). Seite 87

BSI-Standard 100-4: Notfallmanagement Version 1.0                                                              Kapitel 8 Übung: XYZ Akteure        Hilfsmittel/ Szenario-Zeit Werkzeug/ Stichwort Ziel/ Real-Zeit Aktivität                   Ein-    A    B   C     … erwartete                                    Art der Nr.                                                                      spielender Reaktion                                   Einspielung 1     …                           …                         …                        …   … … …         … 2     10:10                       Meldung (Beschreibung     Überprüfung Hr. Jansen       X X           Handy an LZ   der Einlage mit   der Hintergrundin-    Meldung, formationen)      Eskalation 3     …                           …       …                 …                        …   … … …         … Tabelle 19: Beispiel Übungsdrehbuch 8.2.4 Test- und Übungsprotokoll Die Durchführung und der Ablauf von Tests und Übungen sind in sogenannten Test- bzw. Übungsprotokollen sorgsam zu dokumentieren. Darin wird festgehalten, welcher Ablaufplan zugrunde liegt, wie die Vorgehensweise der Teilnehmer bei der Durchführung war, mit welchen Methoden gearbeitet wurde, welche Werkzeuge mit welcher Konfiguration genutzt und welche Resultate erzielt wurden. Insbesondere sollten aufgetretene Probleme oder Abweichungen vom Test- bzw. Übungsab- laufplan oder den erwarteten Ziele festgehalten werden. Das Test- bzw. Übungsprotokoll bildet die Grundlage für die an den Test oder Übung anschließende Auswertung, der Ermittlung der Schwach- stellen und Verbesserungsvorschläge. 8.3 Durchführung von Tests und Übungen 8.3.1 Grundsätze Bei der Durchführung von Tests und Übungen sind einige Grundsätze zu beachten. So sollten sie unter anderem den normalen Betriebsablauf nicht oder so wenig wie möglich stören. Bei der Wahl eines Durchführungszeitpunkts sollte daher berücksichtigt werden, dass ein Test oder eine Übung direkten Einfluss auf den operativen Betrieb haben könnte. Zu testende Systeme stehen gegebenenfalls während eines Tests nicht oder nur mit verringerter Leistung für den Produktivbetrieb zur Verfügung. Aus diesem Grunde ist es meist empfehlenswert, Tests und Übungen nach Möglichkeit außerhalb der regulären Geschäftszeit durchzuführen, um den Einfluss auf den laufenden Geschäftsbetrieb möglichst zu minimieren. Die in die Übung einbezogenen Mitarbeiter müssen während der Übungsphase ihr Tagesgeschäft ruhen lassen. Geleistete Arbeitsstunden müssen dem Arbeitszeitkonto gutgeschrieben werden. Werden Tests und Übungen außerhalb der regulären Arbeitszeiten durchgeführt, so sind entsprechende Vereinbarungen mit der Personalvertretung zu treffen. Es sind Maßnahmen zu planen, die sicherstellen, dass der Übungsablauf unter Kontrolle der Durch- führenden bleibt und selbst keine Störungen hervorruft. Für unerwartete Störungen durch die Übung sind Abbruchkriterien festzulegen, sowie Fallback-Lösungen zur schnellstmöglichen Rückkehr in den normalen Geschäftsbetrieb zu planen. Ein Abbruchkriterium für eine Übung kann beispielsweise das Überschreiten einer Zeitspanne sein oder die Erkenntnis, dass die umgesetzten Maßnahmen nicht den erwarteten Erfolg bringen. 8.3.2 Rollen Sowohl bei der Planung, der Vorbereitung wie auch bei der Durchführung von Übungen fallen umfangreiche Arbeiten an. Daher sind die Rollen für die Übungsvorbereitung und –durchführung mit ihren Aufgaben und Rechten festzulegen. Seite 88

Kapitel 8                                          BSI-Standard 100-4: Notfallmanagement Version 1.0 Übungsautor Für die Vorbereitung von Übungen sollte ein Übungsautor benannt werden. Seine Aufgabe umfasst sowohl die Entwicklung des Übungsplans als auch die Konzeption der einzelnen Übungen von der Festlegung des Szenarios und der Auswahl der Teilnehmer bis hin zur Vorbereitung der Umgebung für die Übungsdurchführung. Diese Aufgaben sollten nicht unterschätzt werden und erfordern je nach Übungsart weniger oder mehr Aufwand. Der Übungsautor sollte mit dem Notfallvorsorgekonzept wie auch mit den einzelnen Notfall-, Wiederanlauf- und Wiederherstellungsplänen gut vertraut sein. Diese Rolle kann auch in Personalunion durch den Notfallbeauftragten oder den Leiter des Krisenstabs wahrgenommen werden. Vorbereitungsteam Für die Erstellung und Ausarbeitung von Übungskonzepten und Übungsdrehbücher benötigt der Übungsautor die Mithilfe durch ein Vorbereitungsteam. Zum Vorbereitungsteam können Leiter von Organisationseinheiten oder Prozessverantwortliche gehören, welche ihr Fachwissen mit einbringen. Übungsleiter / Moderator Die zentrale Rolle bei der Durchführung einer Übung ist die des Übungsleiters oder Moderators. Zu seinen Aufgaben gehört es unter anderem, die Übung zu eröffnen, die Einlagen zu koordinieren, Entscheidungen über Alternativen oder Abweichungen von der Planung zu treffen und die Übung offiziell als beendet zu erklären. Kernteam Der Übungsleiter wird durch die Rahmenleitungsgruppe unterstützt. Ihre Aufgaben umfassen die fachliche Beratung, die Beantwortung von Anfragen von Übungsteilnehmern oder das Einspielen von Einlagen zur Lagedarstellung in die Übungsszene. Ergänzend dazu gehören ein oder mehrere Protokollanten, der Übungsautor, der Notfallbeauftragte und gegebenenfalls Beobachter zum Kernteam. Protokollant Ein Protokollant hat die wichtige Aufgabe, den Ablauf der Übung detailliert zu erfassen. Je nach Umfang der Übung, Anzahl der Lokationen, vertretene Interessensgruppen und anderen Faktoren können auch mehrere Protokollanten notwendig sein, die teilweise aus unterschiedlicher Perspektive die Situation erfassen und schriftlich festhalten. Beobachter Neben den Protokollanten können zusätzliche Beobachter zugelassen werden. Zu den Beobachtern können beispielsweise Mitglieder der Internen Revision zählen, aber auch Mitarbeiter aus anderen Bereichen, externe Experten oder Vertreter von Behörden oder Hilfsorganisationen. Sie verhalten sich während der Übungsdurchführung neutral und greifen nicht in das Geschehen ein. Doch sollte auch diese Gruppe in die Auswertung der Übung einbezogen werden, indem deren Beobachtungen und Einschätzungen eingeholt werden. Akteure Zu der Gruppe der Akteure können Prozessverantwortliche, Verantwortliche von Organisations- einheiten, Vertreter der Mitarbeiter und des Managements, aber auch Kunden, Dienstleister, Zulieferer oder andere Externe zählen. Solange sich das Notfallmanagement noch im Aufbau befindet, sollte von der Einbindung Externer jedoch abgesehen werden. Seite 89

BSI-Standard 100-4: Notfallmanagement Version 1.0                                           Kapitel 8 8.3.3 Ablauf Die Durchführung einer Übung kann grundsätzlich in vier Phasen untergliedert werden: Planung und Freigabe Die Durchführung eines Tests und einer Übung ist wie ein Projekt zu planen. Dazu gehören die Zeit- und die Personalplanung für die gesamte Dauer von der Konzeption der Übung bis zur Nacharbeit. Es werden das Szenario ausgearbeitet und die bei der Durchführung der Übung benötigten Dokumente erstellt. Das Übungskonzept ist von der Leitung der Institution zu genehmigen und freizugeben. Das kann nach der Planung erfolgen, doch kann es sinnvoll sein, schon einen groben Zwischenentwurf des Übungskonzepts genehmigen zu lassen, um aufwendige Fehlplanungen zu vermeiden. Vorbereitung In der direkten Vorbereitungsphase werden die Voraussetzungen für die Übung geschaffen. Dazu gehören beispielsweise die Einrichtung der Umgebung und eventuell notwendige Vorsichts- oder Sicherheitsmaßnahmen wie eine zusätzliche Datensicherung, Bereitstellung von Ersatzsystemen oder das Informieren von Rettungsdiensten, Behörden oder der lokalen Presse, um Fehlalarme durch Missverständnisse zu vermeiden. Es gilt grundsätzlich, dass die Ressourcen für die Übungen gemäß den Wiederanlaufplänen bereitzustellen sind. Je nach Kenntnisstand der Teilnehmer empfiehlt es sich, diese allgemein über die Durchführung von Übungen, den Sinn, die Maßnahmen und den Ablauf zu informieren. Zeitnah zur eigentlichen Übung erfolgt die Einsatzbesprechung, auch Briefing genannt. Dabei werden unter anderem die aktuellen Rollen erläutert, der Zeitplan vorgestellt und die Ansprechpartner und Telefonlisten bekanntgegeben. Je nach Übungsart und Übungsziel sind nicht alle Beteiligten vollständig zu informieren. Wer wann welche Informationen über den Ablauf im Vorfeld erhalten soll, ist bei der Planung der Übung festzulegen. Durchführung Eine Übung wird zu einem vordefinierten Zeitpunkt durch den Übungsleiter gestartet. Dieser koordiniert den Ablauf und entscheidet, ob und wie von der Planung abgewichen werden kann. Die Akteure sollten durch den Übungsleiter angeleitet werden, um ein Abdriften ins Chaos zu verhindern, jedoch ohne deren kreatives Handeln zu sehr zu behindern. Um den Fortschritt der Übungen am Laufen zu halten, werden die im Übungsdrehbuch festgehaltenen Aktivitäten durch die entsprechenden Akteure eingespielt. Der oder die benannten Protokollanten führen das Übungsprotokoll. Im Protokoll sollte der Übungsab- lauf, die erreichten Ziele sowie Schwierigkeiten bei der Bewältigung von Übungsaktivitäten durch die Übungsteilnehmer festgehalten werden. Der Eintrag sollte die Beobachtung, Datum und Uhrzeit der Anmerkungen sowie den Namen des Beobachters enthalten. Das Übungsprotokoll ist Basis der später durchzuführenden Auswertung der Übung. Das Protokoll dient weiterhin als Nachweis für durchgeführte Übungen für interne oder externe Revisionsprüfungen. Jede Übung sollte offiziell durch den Übungsleiter beendet werden. Die eventuell für die Übung geschaffene Übungsumgebung ist anschließend in den Normalzustand zurückzuversetzen. Bei verteilt durchgeführten Übungen sind die angefallenen Unterlagen und Protokolle zentral zu sammeln. Nach dem Ende der Übung sollte mit allen Teilnehmern eine kurze Abschlussbesprechung durchgeführt werden. Inhalt der Abschlussbesprechung ist die Zusammenfassung der Übungsabläufe und gegebenenfalls eine Vorab-Bewertung. Nachbereitung Die Auswertung der Übung sollte in einem vordefinierten Teilnehmerkreis stattfinden. Während der Auswertung wird das erreichte Ergebnis mit den festgelegten Zielen verglichen und der protokollierte Seite 90

Kapitel 8                                         BSI-Standard 100-4: Notfallmanagement Version 1.0 Ablauf auf Schwachstellen analysiert. Ziel ist es, sowohl für die Notfallvorsorge, die Notfallbewältigung aber auch für die Durchführung von Übungen Verbesserungspotential zu identifizieren. Grundlage bilden die Übungsprotokolle aber auch die Einschätzungen der Übungsteilnehmer und -beobachter. Die Auswertung der Übung ist zu dokumentieren. Der Übungsleiter fertigt einen Abschlussbericht über die durchgeführte Übung und der Ergebnisse, und kommuniziert diesen an die Institutionsleitung. Es sind Verantwortlichkeiten und Maßnahmen zur Beseitigung der festgestellten Mängel sowie Umsetzungstermine für die Maßnahmen festzulegen. Die Umsetzung der Maßnahmen ist durch den Notfallbeauftragten zu kontrollieren. Spätestens während der nächsten Übung sollte die Wirksamkeit der Maßnahmen überprüft werden. Seite 91

BSI-Standard 100-4: Notfallmanagement Version 1.0                                             Kapitel 9 9 Aufrechterhaltung und kontinuierliche Verbesserung Um das Notfallmanagement aufrecht zu erhalten und kontinuierlich verbessern zu können, müssen nicht nur angemessene Vorsorgemaßnahmen umgesetzt und Dokumente fortlaufend aktualisiert werden, sondern auch der Notfallmanagement-Prozess selbst muss regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft werden. Dabei sollte regelmäßig eine Kontrolle und Bewertung des Prozesses durch die Leitungsebene stattfinden (Managementbewertung). Alle Ergebnisse und Beschlüsse müssen nachvollziehbar dokumentiert werden. 9.1 Aufrechterhaltung Um die Effektivität des Notfallmanagements und der umgesetzten Notfallvorsorgemaßnahmen zu erhalten, sollte dies kontinuierlich überwacht, gesteuert und aktualisiert werden. Die Überwachung er- möglicht das frühzeitige Erkennen von Verbesserungspotentialen innerhalb des Notfallmanagements. Als Grundlage sollten für die jeweilige Institution geeignete Mess- und Bewertungskriterien entwickelt werden. Diese Messgrößen sind dann regelmäßig zu ermitteln und die Entwicklung der Werte zu beobachten. Bei negativer Entwicklung der Werte sollten die Ursachen ermittelt und Verbesserungsmaßnahmen definiert, Umsetzungsverantwortliche benannt und Anpassungen vorgenommen werden. Die Ergebnisse sollten in Berichtsform aufbereitet und zur Sensibilisierung an die Institutionsleitung kommuniziert werden. Verantwortlich für die Durchführung der hier beschriebenen Schritte ist der Notfallbeauftragte. Geeignete Mess- und Bewertungskriterien könnten beispielsweise sein: -    Anzahl durchgeführter Übungen (erfolgreich/nicht erfolgreich), -    Anzahl durchgeführter Tests (erfolgreich/nicht erfolgreich), -    Anzahl aufgetretener Notfälle (davon erfolgreich bewältigt), -    Anzahl durchgeführter Schulungen (Anzahl Teilnehmer / Anzahl Stunden), -    erforderliche Zeit zur Alarmierung des Krisenstabs oder -    Anzahl reduzierter Risiken im Vergleich zur Gesamtanzahl der Risiken. Neben der Überwachung und Steuerung des Notfallmanagement-Prozesses spielt die Aktualität der Maßnahmen, insbesondere der Dokumente, eine entscheidende Rolle. Um deren Aktualität aufrecht erhalten zu können, ist das Setzen von Änderungstriggern in verschiedenen Geschäftsprozessen notwendig. Die Trigger sollten aktiviert werden, wenn sich Änderungen ergeben -    in der strategischen Ausrichtung der Institution, der Geschäftsfelder oder der Priorisierung der Interessensgruppen, -    den Rahmenbedingungen wie gesetzliche oder sonstige Auflagen, -    der Umgebung, wie Lage der Institution oder Umzüge innerhalb der Institution (z. B. von Notarbeitsplätzen), -    den Geschäftsprozessen, -    im Personal, -    in der verwendeten Technologie oder auch -    nur beim Software-Release eines Systems, sofern dieses Teil des Notfallvorsorgekonzeptes ist. Daraufhin ist der entsprechende Teil des Notfallmanagements zu überprüfen und gegebenenfalls über das Änderungsmanagement Anpassungsmaßnahmen anzustoßen. Seite 92

Kapitel 9                                          BSI-Standard 100-4: Notfallmanagement Version 1.0 9.2 Überprüfungen Nur durch regelmäßige Überprüfungen des Notfallmanagementprozesses und der Notfallvorsorge- maßnahmen kann die Fähigkeit der Institution, Notfälle und Krisen bewältigen zu können, beurteilt werden. Ziel ist es, die Funktionsfähigkeit, die Effektivität, die Angemessenheit und Effizienz des Notfallmanagements sicherzustellen. Dazu werden Verbesserungsmöglichkeiten und Mängel aufgezeigt und Empfehlungen ausgesprochen. Die Überprüfung des Notfallmanagements sollte auf unterschiedlichen Ebenen erfolgen. Die innerste Ebene bilden Selbstbewertungen (Self-Assessments), bei denen der Notfallbeauftragte und die Notfallkoordinatoren die korrekte Umsetzung ihrer Vorgaben, den aktuellen Abdeckungsgrad, die Effizienz und den Reifegrad des Notfallmanagements überprüfen oder überprüfen lassen. Dabei wird unter anderem kontrolliert, ob die Umsetzung von Maßnahmen korrekt nach den Vorgaben erfolgte, wie viele der Vorgaben umgesetzt sind und ob die vorgegebenen Prozesse gelebt werden. Die nächste Stufe ist die Durchführung von unabhängigen Revisionen durch die unabhängige Innenrevision nach den anerkannten Grundsätzen des Berufsstandes. Interne Revisionen werden durch die Institutionsleitung in Auftrag gegeben. Durch die Durchführung von internen Revisionen wird unter anderem dokumentiert, dass die Leitungsebene ihre Überprüfungspflicht wahrnimmt. Die Prüfer sollten kompetent und unabhängig sein, was gegebenenfalls zu überprüfen ist. Bei einer internen Revision wird ein besonderer Augenmerk auf die Einhaltung von internen und externen Richtlinien sowie dem Vergleich zu Standards und Best Practices (Compliance) gelegen. Jedoch sind auch Effektivität und Angemessenheit der Notfallmanagement-Prozesse zu überprüfen. Die Planung der internen Revisionen des Notfallmanagements sollte auf Basis eines risikoorientierten Ansatzes vorgenommen werden und ist mit der Institutionsleitung abzustimmen. Der Prüfungsplan legt die Ziele, die Art, den Umfang und die Inhalte der Prüfungen sowie die Rollen bei den Prüfungen fest. Während der Durchführung einer Revision sind alle relevanten Feststellungen von den Prüfenden zu dokumentieren und in der Nacharbeitung auszuwerten. Als Prüfungsmethoden können beispielsweise Dokumentenprüfungen, Interviews und Begehungen eingesetzt werden. Die Ergebnisse sind in einem Revisionsbericht festzuhalten, der die Feststellungen und den Handlungsbedarf enthält. Der Revisionsbericht ist an den Notfallbeauftragten und die Institutionsleitung zu kommunizieren. Externe Revisoren werden von außen durch Aufsichtsorgane initiiert. Mit der Durchführung von externen Revisionen in Unternehmen werden typischerweise Wirtschaftsprüfer oder Beratungs- unternehmen beauftragt. Die Methoden und die Vorgehensweise sind durch Vorgaben und Standards der Berufsverbände, wie beispielsweise des IDW (Institut der Wirtschaftsprüfer in Deutschland e.V.), geregelt. In Behörden werden externe Revisoren üblicherweise durch Rechnungshöfe durchgeführt. Die regelmäßigen Überprüfungen des Notfallmanagements in den verschiedenen Stufen sind zu planen, durchzuführen und die Ergebnisse zu dokumentieren. Die bei einer Überprüfung erkannten Probleme müssen schnellstmöglich abgestellt werden. Daher sind durch den Notfallbeauftragten erforderliche Korrekturmaßnahmen auszuarbeiten und in Form eines Umsetzungsplans festzuhalten. Dieser enthält eine Zeitplanung, eine Ressourcenplanung, die Benennung von Verantwortlichkeiten sowie Vorgaben zur Überprüfung des Umsetzungsstandes. Der Notfallbeauftragte ist auch für die Umsetzung der Korrekturmaßnahmen und den angemessenen Einsatz der notwendigen Ressourcen verantwortlich. 9.3 Informationsfluss und Managementbewertung Damit die Institutionsleitung die richtigen Entscheidungen bei der Steuerung und Lenkung des Notfallmanagement-Prozesses treffen kann, benötigt sie Informationen über den aktuellen Stand und die Entwicklung des Notfallmanagements. Die Leitungsebene muss von der Notfallvorsorge- Organisation regelmäßig in Management-Berichten in angemessener Form über die Ergebnisse der Überprüfungen und den Status des Notfallmanagement-Prozesses informiert werden. Dabei sollten Probleme, Erfolge und Verbesserungsmöglichkeiten aufgezeigt werden. Die Leitungsebene nimmt die Management-Berichte zur Kenntnis, bewertet den Status und veranlasst eventuell notwendige Korrekturmaßnahmen. In diese Bewertung sollten folgende Aspekte einfließen: Seite 93