Notfall- / Krisenstabsübung
Überprüfen Sie die Wirksamkeit Ihrer definierten Notfall- und Krisenmaßnahmen.
Trainieren in der Profiliga: Notfall– und Krisenübungen
Was haben Fußballspieler von Topmannschaften, erfahrene Feuerwehrleute und souveräne Mitglieder von Krisenstäben gemeinsam? Trotz fester Rollen und definierter Abläufe üben sie regelmäßig vertraute, vor allem aber auch außergewöhnliche Situationen.
Denn durch wechselnde Besetzungen und unterschiedliche Problemkonstellationen ist jede Übung selbst für Profis immer wieder eine wichtige Vorbereitung auf den Ernstfall.
Kritische Elemente sind:
Üben für den Ernstfall
Zum Glück tritt der Ernstfall sehr selten ein. Dennoch ist es wichtig, darauf vorbereitet zu sein, da trotz aller Vorbeugungsmaßnahmen gezielte Angriffe, technische Defekte oder höhere Gewalt nicht ausgeschlossen werden können. Deshalb fordert beispielsweise die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von allen Kreditinstituten regelmäßige Notfalltests. Zudem sind regelmäßige Notfall- und Krisenübungen unter anderem Voraussetzung für eine erfolgreiche Zertifizierung im Bereich Informationssicherheit nach der international anerkannten Norm ISO 27001.
Aber auch im eigenen Interesse sollten Unternehmen im Hinblick auf einen Ernstfall regelmäßig üben. Denn in Notfällen oder Krisen gelten andere Befugnisse und andere Prozesse. Als Sicherheitsdienstleister kennt HvS-Consulting viele Notfälle und Krisenszenarien aus der Praxis. Unser Schwerpunkt liegt dabei auf Ereignissen im Zusammenhang mit Informationssicherheit.
Auswahl der Übung
Abhängig vom geplanten Bedarf, den bereitstehenden Ressourcen und dem Reifegrad Ihres Notfall-/Krisenmanagements kommen verschiedene Übungsarten in Frage. Diese unterscheiden sich sowohl von Übungsinhalt und Gesamtaufwand, als auch hinsichtlich der erzielten Erkenntnisse:
- Planbesprechungen: Diskussion und Verifikation vorhandener Dokumentationen für Notfälle und Krisen hinsichtlich Aktualität, Vollständigkeit und Richtigkeit mit einzelnen Spezialisten und Bereichen.
- Technische/organisatorische Funktionstests: Überprüfung einzelner technischer Maßnahmen (z.B. Umschalttests zwischen redundant ausgelegten Systemen) oder organisatorischer Vorkehrungen (z.B. Verfügbarkeit von Notfallausrüstung).
- Alarmierungsübungen: Test der Verfahren zur Information und Eskalation sowie der damit verbundenen Reaktionen und (theoretischen) Ergebnisse.
- Stabsübung/Stabsrahmenübung: Training der Zusammenarbeit des Notfall-/Krisenstabs (z.B. Rollen und Zuständigkeiten, Stellvertretungsregelungen)
- Vollübung/Simulation: Übung sämtlicher Abläufe mit Einbindung aller benötigten Bereiche (Notfall-/Krisenstab, ggf. externe Spezialisten) anhand eines komplexen Vorfalls (z.B. Cyber-Angriff, Blackout, Datenlecks, Manipulation von Daten, etc.).
Auswahl der Übung
Wie realitätsnah soll es sein?Übungsvorbereitung
Realitätsnahe und zielführende Übungen bedürfen einer gründlichen Planung und Ausarbeitung. Deshalb gestaltet die HvS-Consulting gemeinsam mit wenigen „Eingeweihten“ das Übungsszenario auf Basis der vorhandenen Notfall-/Krisenmanagement Vorkehrungen. Dazu gehören beispielsweise die gemeinsame Erarbeitung der Übungsinhalte, die Definition der Ziele und des Ablaufs der Übung, die Identifikation der erforderlichen Bereiche und Mitarbeiter für die Vorbereitung und Durchführung, die Klärung wichtiger Rahmenbedingungen (z.B. wird der Übungstermin im Vorfeld angekündigt).
Vor allem bei umfangreichen Übungen wie Simulationen gilt es außerdem, in der Vorbereitungsphase die Einspielungen und das damit verbundene Material zu erstellen und die voraussichtlichen Aktivitäten und Reaktionen der Entscheider und Lösungsteams vorherzusehen.
Übungsvorbereitung
Wie sieht das Szenario aus?Übungsdurchführung
Damit eine Übung die Praxis so gut wie möglich widerspiegelt, ist es wichtig, dass allen Teilnehmern die Rahmenbedingungen klar sind und eindeutige „Spielregeln“ aufgestellt und eingehalten werden. Dementsprechend wichtig ist ein gutes Briefing für das Regieteam, welches die unterschiedlichen Ereignisse initiiert bzw. die Übungsteilnehmer damit konfrontiert. Alle Übungsteilnehmer sollten diese Regeln kennen, damit die Übung in geordneten Bahnen verläuft und sich nicht unvorhergesehen „verselbständigt“.
Ein weiterer wichtiger Aspekt bei der Übungsdurchführung ist die Beobachtung des Verlaufs, um ggf. korrigierend eingreifen zu können. Das erste Feedback – sowohl hinsichtlich der Notfall-/Krisenbewältigung, als auch der Vorbereitung und Durchführung – wird meist aus der noch frischen Erfahrung im unmittelbaren Anschluss an den eigentlichen Übungsteil ausgetauscht.
Übungsdurchführung
Hält Ihr Notfallmanagement, was es verspricht?Feedback & Bewertung
Das A und O der Übung ist die Bewertung und Aufbereitung des Szenarios. Ziel muss sein, die Erkenntnisse für den möglichen Ernstfall abrufbar zu haben und die notwendigen Maßnahmen richtig umsetzen zu können.
Mittelfristig ist die Durchführung eines "Lessons Learned Workshops" sinnvoll. Optimierungspotenzial, positives Feedback - aber auch Irrtümer und Fehler können so aus einiger Distanz gut aufgearbeitet und bewertet werden.
Im langfristigen Nachgang muss die konsequente Umsetzung der Ergebnisse und Maßnahmen sichergestellt werden, um die Krisenübung zu nachhaltigem Erfolg zu bringen.
Feedback & Bewertung
Daraus lernen und immer besser werden.