Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Notfallbewältigung
Selbst eine umfassende Notfallvorsorge kann ein Restrisiko nicht ausschließen: Für den Ernstfall muss eine Strategie entworfen werden. Abläufe, die bei Eintritt eines Notfalls aktiviert werden, helfen Unternehmen bei der erfolgreichen Notfallbewältigung.
Komponenten der Notfallbewältigung
In jedem Unternehmen gilt es, Strategien zur Notfallbewältigung individuell zu planen und umzusetzen. An dieser Stelle bietet es sich an noch einmal kurz darauf einzugehen, was ein Notfall sein kann. Beispiele für typische Notfälle sind:
- Gebäuderäumung wegen Brand
- Krankheit des zentralen Administrators
- Stromausfall, Komplettausfall
- Ausfall eines Support-Dienstleisters
- Ausfall von Servern
Eine funktionierende Notfallbewältigung setzt sich in der Regel aus vier Aspekten zusammen:
- Ablauforganisation für den Notfall
- Aufbauorganisation für den Notfall
- Notfallkommunikation
- Notfallhandbuch
Ablauforganisation für den Notfall
Wie erhalten die Verantwortlichen eines Unternehmens Kenntnis über einen Vorfall? Und wie läuft anschließend die interne Kommunikation und Eskalation ab? Die Antwort auf diese Fragen – also die Festlegung von Wegen und Verfahren für Meldung, Eskalation und Alarmierung von Vorfällen – ist von entscheidender Bedeutung für das Notfallmanagement.
Zu Beginn der Informationskette ist oft nicht ersichtlich, ob es sich bei einem Vorfall um einen Notfall handelt. Daher sollte dieser Punkt zunächst bewusst offen gehalten werden. Auch ist es sinnvoll, zwischen Störung und Notfall zu unterscheiden. Bei der Störung handelt es sich um einen Vorfall, der durch die bekannten Verfahren in den Fachabteilungen lösbar ist.
Ein einfaches Beispiel, für den Ablauf von Meldung, Alarmierung und Eskalation, können Sie der folgenden Abbildung entnehmen:
Quelle: eigene Darstellung; © Bild: DATEV eG
Aufbauorganisation für den Notfall
Die Aufbauorganisation wird in einem Notfall temporär aktiv und ist für die effektive und schnelle Notfallbewältigung inklusive des Wiederanlaufs zuständig. Sie ist bereits vor Eintritt eines Notfalls festzulegen, aufzubauen und zu dokumentieren. Es wird dabei unterschieden zwischen:
Notfallstab
Das zentrale Führungsgremium der Notfallbewältigung ist der Notfallstab. Bei ihm handelt es sich um ein Organ, das die normale Aufbauorganisation eines Unternehmens durchbricht. Der Notfallstab agiert auf einer hierarchielosen Entscheidungsebene und bündelt abteilungsübergreifende Kompetenzen.
In seiner Verantwortung liegt es zu planen, koordinieren, informieren, beraten und zu unterstützen. Er setzt sich aus einem Leiter, einem Kernteam und einem erweiterten Notfallstabsteam zusammen. Die konkrete Ausgestaltung erfolgt unternehmensindividuell.
Mein Tipp: So klein wie möglich und so ausbaufähig wie nötig. Grundsätzlich sollte immer jemand aus der obersten Führungsebene eingebunden sein, zum Beispiel die Geschäftsleitung.
Notfallteams
Der operative Teil der Notfallbewältigung wird durch verschiedene Notfallteams geleistet, die für den Notfallstab arbeiten. Diese sind jeweils zuständig für Server, Datenbank, Telekommunikation, etc. und ermöglichen so den Wiederanlauf bzw. die Wiederherstellung von Geschäftsprozessen, Anwendungen und Systemen.
Des Weiteren ist festzulegen, wie und durch wen Notfallstab und Notfallteams im Bedarfsfall alarmiert werden. Denkbar wäre etwa ein manuelles Abtelefonieren oder ein Alarmierungsserver. Auch wo sich Stab und Teams treffen sollte geregelt werden, zum Beispiel durch die Einrichtung eines Notfallstabsraums.
Notfallkommunikation
Die Notfallkommunikation ist einer der zentralen Erfolgsfaktoren im Notfallmanagement. Die Kommunikation mit den verschiedenen Interessengruppen hat das Ziel zu informieren sowie einen Vertrauens- und Imageverlust zu vermeiden, um weiteren Schaden zu verhindern. Sie sollte sowohl während als auch nach dem Notfall stattfinden.
Im Vorfeld ist festzulegen, wer für die Notfallkommunikation verantwortlich ist. Das könnte etwa die Geschäftsleitung oder ein Pressesprecher sein. Auch müssen verschiedenste Interessengruppen berücksichtigt werden, zum Beispiel Öffentlichkeit, Behörden, Kunden, Anwohner oder Mitarbeiter. Als Kommunikationsmittel sind Pressemitteilungen, Konferenzen, Bürgertelefon etc. denkbar.
Grundsätze:
- Jeder Notfall wird früher oder später öffentlich. Das Unternehmen sollte Öffentlichkeit und Mitarbeiter daher rechtzeitig informieren.
- Nicht alle Details des Notfalls sollten veröffentlicht werden. Inhaltlich gilt aber die Maxime: Die gemachten Aussagen müssen der Wahrheit entsprechen.
- Negative Nachrichten sollten nicht einfach verschwiegen werden. In einer digitalen Gesellschaft lässt sich der Informationsfluss ohnehin nur begrenzt unterdrücken.
- Informationen sollten soweit abstrahiert werden, dass Konkurrenten keine wertvollen Vorteile ableiten können. Auch sollten keine Nachahmer animiert werden. So sollte nicht etwa berichtet werden, dass ein verübter Einbruch mangels Alarmanlage nicht entdeckt werden konnte.
Notfallhandbuch
Heute genügt es längst nicht mehr, in einem klassischen Notfallhandbuch „Standard-Notfälle“ wie Brand- oder Wasserschäden einfach nur zu beschreiben. Vielmehr ist das Notfallhandbuch die Gesamtheit aller für die Notfallbewältigung erforderlichen (Teil-)Dokumente. Es fasst alle Informationen, Strukturen und Aktionen zusammen, die nach Eintritt eines Notfalls und zur Wiederaufnahme des Betriebs benötigt werden.
Unter anderem enthält es benötigte Systemdaten und Beschreibungen der im Notfall auszuführenden Prozesse, legt Melde- und Eskalationswege fest und beschreibt Wiederanlaufpläne und Ausweichprozesse für den Notbetrieb. Trotz umfangreicher Anforderungen und notwendiger Komplexität muss es dabei einfache und vollständige Handlungsanweisungen enthalten. Erforderliche Maßnahmen gehen aus dem Notfallhandbuch klar hervor.
Für den Aufbau eines Notfallhandbuchs bieten sich drei alternative Gliederungen an:
- Eine Gliederung nach Phasen, die den zeitlichen Ablauf der Notfallbewältigung widerspiegelt
- Eine Gliederung nach Verantwortungsebenen, ‑bereichen und / oder Rollen, die sich an den Aufgaben von Bearbeitern orientiert
- Eine Gliederung nach Prozessen, die auf die einzelnen Geschäftsprozesse oder Gruppen von Prozessen zielt
In der Praxis hat sich die letzte Form der Gliederung besonders bewährt. Gerade in der nicht alltäglichen Situation eines Notfalls, fällt es allen Beteiligten leichter gemäß klar definierten Prozessen zu handeln, als die anderen beiden Varianten umzusetzen.
In meinem nächsten Beitrag wird es um die Frage gehen, wie sich ein Unternehmen auf Notfälle vorbereiten kann, indem es Übungen und Tests durchführt. Hierbei geht es mir darum nachzuweisen, dass die bisher theoretischen Überlegungen auch in der Praxis geeignet sind, um auf Notfälle angemessen zu reagieren.
Die bisher erschienen Beiträge zur Serie Notfallmanagement:
Teil 1: “6 Schritte im Unternehmen”
Teil 2: “Das kritische Potential von Geschäftsprozessen”
Teil 3: “Notfallvorsorge”
Teil 5: “Tests und Übungen”
Teil 6: “Kontinuierliche Verbesserung”
Bild: © Jens Bredehorn / pixelio.de

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.

Neueste Kommentare