Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Tests und Übungen beim Notfallmanagement
Für das Notfallmanagement liegen alle Dokumente vor, die beschreiben, was zu tun ist und wie die Bewältigung abläuft. Regelungen sind aufgestellt, um Entscheidungen richtig und schnell zu treffen. Doch ob das stimmt, können Tests verifizieren.
Ist der Aufwand für Tests und Übungen gerechtfertigt?
Tests und Übungen für das Notfallmanagement sind mit Aufwand und Kosten für ein Unternehmen verbunden. Doch nur hierdurch lässt sich überprüfen, ob die erstellten Dokumente, Abläufe und Regelungen wirklich greifen, um einen Notfall zu bewältigen. Mit Tests und Übungen im Notfallmanagement soll erreicht werden, dass
Sind alle Mitarbeiter, die eine Funktion im Notfall haben, noch im Unternehmen, ist ihre Rufnummer noch aktuell, sind die Räumlichkeiten, die Informationstechnik und weitere Ressourcen noch wie geplant nutzbar?
Kennen alle Mitarbeiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Dokumentation beschrieben ist? Konnten Panik oder überhastete und unüberlegte Reaktionen vermieden werden?
- das Notfallmanagement immer aktuell ist
- die Abläufe im Notfall effizient sind
- die Mitarbeiter für den Notfall trainiert sind
Sind alle Mitarbeiter, die eine Funktion im Notfall haben, noch im Unternehmen, ist ihre Rufnummer noch aktuell, sind die Räumlichkeiten, die Informationstechnik und weitere Ressourcen noch wie geplant nutzbar?
können im Notfall die Prozesse auch wie in den Plänen vorgesehen, angemessen und ohne unnötigen Ressourcenverbrauch ablaufen?
Kennen alle Mitarbeiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Dokumentation beschrieben ist? Konnten Panik oder überhastete und unüberlegte Reaktionen vermieden werden?
Test- und Übungsarten
Die Möglichkeiten zur Überprüfung des eigenen Notfallmanagements sind vielfältig. Sie reichen von einfachen Überprüfungen von Einzelmaßnahmen bis hin zu komplexen Übungen. Mit dem steigenden Aufwand ist auch immer eine steigende Verlässlichkeit der gewonnenen Erkenntnisse festzustellen. Im Folgenden werden einige Möglichkeiten gegliedert nach steigendem Aufwand vorgestellt:
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Reviews von Plänen und Dokumenten, Planbesprechungen
- Stabsübungen
- Technische Tests
- Simulation von Szenarien
- Ernst- oder Vollübungen
Hierbei werden – häufig anhand konkreter Szenarien – die erarbeiteten Pläne theoretisch durchgespielt und auf ihre Funktionsfähigkeit überprüft.
Hier wird die Zusammenarbeit im Notfallstab geübt.
Diese dienen der Überprüfung von redundanten Infrastrukturen wie Server oder Stromversorgung.
Hierbei wird nicht theoretisch diskutiert, sondern es werden Prozesse getestet, etwa darauf hin, wie gut Alarmierung und Eskalation funktionieren.
Hierbei werden alle Beteiligten – auch Rettungskräfte und Behörden – in eine wirklichkeitsnahe Übung einbezogen.
In der Praxis bietet es sich an, zu Beginn mit einfacheren Tests zu starten und sich als Unternehmen sukzessive zu steigern (hin zu Praxistests). Zusätzlich sollten die Tests der technischen Vorsorgemaßnahmen regelmäßig durchgeführt werden (z.B. USV-Test, Rückspielen einer Sicherung, …), um die Funktionsfähigkeit sicherzustellen.
Vorbereitung von Tests und Übungen
Alle Tests und Übungen, die geplant werden, müssen zwingend dokumentiert werden. Im Einzelnen gilt:
- In einem Übungshandbuch und einem Übungsplan ist zunächst festzulegen, welche Ziele die Institution mit Tests und Übungen verfolgt, welche Tests durchgeführt werden und welche Mitarbeiter in welcher Funktion beteiligt sind. Zudem ist die Häufigkeit und Reihenfolge der Übungen festzulegen.
- Für jede Testart oder Übung ist ein Konzept zu erarbeiten, das Dauer, Ort, Ziele, Teilnehmende anhand eines Szenarios beschreibt.
- In einem Übungsdrehbuch wird der zeitliche Ablauf detailliert beschrieben. Eine Tabelle ist ein gutes Hilfsmittel zur Strukturierung.
Tests und Übungen auswerten
Das wichtigste Ziel von Übungen und Tests ist es, die Notfallmaßnahmen zu überprüfen und die getroffenen Regelungen zu verbessern. Dies kann unter Umständen auch dazu führen, dass ein zuvor beschlossenes Konzept angepasst werden muss. Alle Mängel sollten in einem Bericht festgehalten und Empfehlungen ausgesprochen werden. Die Wirksamkeit der daraus abgeleiteten Maßnahmen wird wiederum im nächsten Test oder der nächsten Übung überprüft. Auch kann es sinnvoll sein bei Tests und Übungen externe Unterstützung zu nutzen, um unabhängige und neutrale Rückmeldung zu erhalten.
Im nächsten Beitrag geht es um die „Kontinuierliche Verbesserung“. D.h., um das Notfallmanagement aufrecht zu erhalten und kontinuierlich zu verbessern, müssen zum einen die Vorsorgemaßnahmen umgesetzt sein und die Dokumente laufend aktualisiert werden. Zum anderen muss der Prozess selber auch auf Effizienz und Wirksamkeit überprüft werden.
Die bisher erschienen Beiträge zur Serie Notfallmanagement:
Teil 1: “6 Schritte im Unternehmen”
Teil 2: “Das kritische Potential von Geschäftsprozessen”
Teil 3: “Notfallvorsorge”
Teil 4: “Notfallbewältigung”
Teil 6: “Kontinuierliche Verbesserung”
Bild: © Jens Bredehorn / pixelio.de
Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare