Wirtschaftsgrundschutz Standard des BfV/BSI/ASW Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems

Transkript

1 Whitepaper Wirtschaftsgrundschutz Standard des BfV/BSI/ASW Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems Dr. Holger Kaschner März 2017 ACG Automation Consulting Group GmbH

2 Inhalt Auf einen Blick: BfV/BSI/ASW Die Herausforderung 3 Leitfrage 4 Inhalt von BfV/BSI/ASW Aufbau 4 Stärken: viele 5 Schwächen: einige 5 Investitionen, Betriebskosten und Einsparpotenzial 6 Implementierung 6 Fazit 7 Competence Center Business Continuity & Crisis Management 8 Über ACG 8 2 / 8

3 Wirtschaftsgrundschutz Standard des BfV/BSI/ASW Auf einen Blick: BfV/BSI/ASW Die Herausforderung Elementarereignisse, Stromausfälle, Streiks bei Outsourcing-Partnern, anderweitige Unterbrechungen der Lieferkette oder Cyber-Attacken die Risiken sind für Unternehmen, Verwaltungen, Behörden und sogar gemeinnützige Institutionen so zahlreich wie nie. Deshalb ist es für Organisationen aller Art unabdingbar, eine Widerstandsfähigkeit gegenüber ungeplanten Ereignissen und Krisen zu entwickeln. Eine solche Resilienz fällt nicht vom Himmel. Einerseits hilft eine agile Organisationstruktur dabei, erfolgreich zu bleiben. Andererseits muss das Vertrauen der wesentlichen Stakeholder bewahrt werden. Daher müssen Menschen, Informationen, Prozesse und Produkte genauso geschützt werden, wie sonstige materielle und immaterielle Werte. Dafür gibt es Management Systeme, beispielsweise für (Information) Security, IT Service Continuity und Business Continuity. Diese Präventionsmaßnahmen setzen an den Ursachen von Risiken an und puffern die Wirkungen der meisten ungewollten Ereignisse ab. Da Risiken aber nur in den seltensten Fällen mit wirtschaftlich vertretbarem Aufwand vollständig eliminiert werden können, bleiben Restrisiken. Wenn diese schlagend werden ist schnell die Reputation der Organisation bedroht und zwei Dinge gefragt: Krisenmanagement und Krisenkommunikation. 3/8

4 Leitfrage Sollte eine Organisation ihr Krisenmanagementsystem am Wirtschaftsgrundschutz Standard ausrichten oder einen eigenen Ansatz entwickeln? Inhalt von BfV/BSI/ASW Der Standard erhebt den Anspruch, ein Reaktionsmanagement für Ereignisse zu beschreiben, die vom regulären Betrieb abweichen. Dabei unterscheidet er zwischen Vorfall-, Notfall- und Krisenmanagement. Der Schwerpunkt des Standards liegt auf letzterem. Er ergänzt die Wirtschaftsgrundschutzstandards Einführungsdokument und Aufbau und Betrieb eines Sicherheitsmanagementsystems. Er umfasst sieben Kapitel, zwölf Abbildungen und acht Tabellen, die sich auf 48 Seiten (davon mehr als 40 inhaltliche) verteilen. Aufbau Der Standard ist klar strukturiert: 1. Einleitung Präambel und Einordnung 2. Anforderungen an ein Notfall- und Krisenmanagementsystem Was gehört zu einem so genannten Reaktionsmanagement? 3. Notfallmanagement Was sind die Ziele von Notfallmanagement und welche Organisationsformen gibt es? Welche Art von Dokumentation gehört dazu? 4. Krisenmanagement Was sind die Ziele von Krisenmanagement und welche Organisationsformen gibt es (auch für Konzerntöchter)? Welche Art von Dokumentation gehört dazu? Wie verläuft der Führungsprozess? 5. Krisenkommunikation Wie lässt sich Krisenkommunikation vorbereiten? 6. Übungsprogramm Welche Formate sind geeignet, um ein Krisenmanagementsystem auf Herz und Nieren zu testen? 7. Infrastruktur des Notfall- und Krisenmanagements Welche Voraussetzungen muss eine Institution in infrastruktureller und technischer Hinsicht schaffen, damit sie ein wirksames Krisenmanagement aufsetzen kann? 4 / 8

5 Stärken: viele Der Standard enthält viele Aspekte, die für ein erfolgreiches Krisenmanagement wesentlich sind. Dazu zählen Hinweise zu Vorgehensweisen für das unmittelbare Krisenmanagement und bei dessen Vorbereitung der Vorbereitung von Krisenkommunikation der Vorbereitung von Übungen der Konzeption einer Aufbauorganisation und von Prozessen Prozessen und Dokumentationen im Sinne einer schriftlich fixierten Ordnung Insbesondere das Übungskapitel ist im Vergleich zum seinem Gegenstück des Standards BSI deutlich schlüssiger. Die Empfehlungen zur Zusammensetzung eines (Kern-)Krisenstabs sind zweckmäßig und entsprechen gängigen Good Practices. Im Vergleich zu anderen Standards liest sich BfV/BSI/ASW recht flüssig. Dies liegt zum einen an den hervorgehobenen Schlagworten, und zum anderen an den zahlreichen Abbildungen, die den reinen Text auflockern. Auch wenn das darin beschriebene Prozessmodell noch nicht gänzlich ausgereift wirkt, gibt es eine gute Orientierung zu den einzelnen Schritten. Die Abbildungen sind überwiegend sehr anschaulich und helfen auch fachfremden Lesern, sich schnell zurecht zu finden. Der Standard verweist auf andere BSI-Standards und ist zu diesen grundsätzlich kompatibel. Schwächen: einige Das Ziel des Standards wird nicht ganz klar. Einerseits trägt er den Titel Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems. Andererseits wird der Managementsystemcharakter nur teilweise deutlich. Während Managementsysteme üblicherweise Komponenten beinhalten, die auch und vor allem im Regelbetrieb das bedeutet, außerhalb akuter Krisensituationen eine wirksame Steuerung durch unterschiedliche Gremien sowie eine kontinuierliche Verbesserung gewährleisten, sind diese Elemente bei BfV/BSI/ASW nur schwach ausgeprägt. Sie können zwar aus dem Prozessmodell indirekt abgeleitet werden, auch Hinweise zu Steuerungsgremien und rollen fehlen. Daher geht es bei der die Anwendung des Standards nicht ohne Erfahrung sowohl mit Krisenorganisationen, als auch mit Managementsystemen bzw. Prozessmodellen. Der Standard gibt zahlreiche konkrete Hinweise zur Krisenstabsarbeit, hält diesen Detaillierungsgrad aber nicht durch. Beispielsweise fallen beim Punkt Verfahren zum Schichtwechsel und zur Lageübergabe die Umsetzungshinweise im Vergleich zu anderen Aspekten der Krisenstabsarbeit knapp aus. Ein Glossar, das gerade bei derart spezifischen Themenstellungen wesentlich und aus internationalen Standards bekannt ist, fehlt. Eine Zertifizierung ist nach BfV/BSI/ASW nicht möglich. 5 / 8

6 Investitionen, Betriebskosten und Einsparpotenzial Ein Krisenmanagementsystem kann entweder erfahrungsbasiert eingerichtet werden oder orientiert an einem Standard wie dem BS 11200:2014 beziehungsweise dem BfV/ BSI/ASW Keine der Varianten bringt gegenüber den anderen signifikante Einsparpotenziale mit sich. Auch hier geht es nicht ohne die üblichen Investitionen in Aufbauorganisation, Prozesse und Infrastruktur. Der Standard selbst äußert sich nicht zu den zu erwartenden zeitlichen Aufwänden, Investitionen und Betriebskosten. In der Praxis leiten sich jedoch unten stehende Investitionen und Kostentreiber aus den Anforderungen ab. Personalkosten Aufbau zusätzlicher Rollen für den Aufbau/Betrieb des Krisenmanagementsystems (z.b. eines Incident & Crisis Managers, der im Regelbetrieb das Managementsystem steuert) Vergütung von Bereitschaftszeiten für Mitglieder der Krisenorganisation ggfs. Überstunden für Teilnehmer an Übungen oder in Ernstfällen Konzeption und Implementierung der Krisenorganisation inkl. Aufbauorganisation und Prozesse Sachkosten Ausstattung der Krisenstabsräume/Lagezentren am Haupt- sowie Ausweichstandort Beratungskosten (z.b. bei Konzeption, Implementierung, Training, Übungen, Ad-hoc- Beratung in Krisen, Medienmonitoring, Lobbying/Stakeholdermanagement,..) ggfs. Alarmierungstool oder Krisenmanagementtool... Tabelle 1: Kosten und Einsparpotenziale Implementierung Jede Organisation muss den Standard und seine Vorgaben interpretieren und auf die eigenen Bedürfnisse anpassen. Dies ist für einen Standard absolut typisch. Aufgrund der fehlenden Zertifizierungsfähigkeit ist der Spielraum zur Interpretation jedoch deutlich größer als bei der Implementierung anderer BSI-Standards (zum Beispiel IT- Grundschutz) oder eines Business Continuity Management Systems (BCMS) nach ISO 22301:2012. Das ist Fluch und Segen zugleich, da Experten für Managementsysteme diesen Spielraum zu nutzen wissen, Einsteiger in das Thema indes jedoch konkretere Hilfestellungen benötigen. 6 / 8

7 In der Praxis hat sich losgelöst von einem bestimmten Standard folgende Priorisierung schon oft bewährt: Abbildung 1: Implementierung einer Krisenorganisation Zunächst wird die Aufbauorganisation, sprich die Besetzung des Krisenstabs, festgelegt. Für diesen müssen Alarmierungs- und Eskalationsverfahren entwickelt werden (Prozesse). Ob der Krisenstab seine Aufgaben erfolgreich wahrnehmen kann, steht und fällt damit, dass diese Verfahren funktionieren, d. h. sie müssen getestet werden. Der Krisenstab besteht oftmals aus Personen, die sich aus dem beruflichen Alltag zwar kennen, aber noch nicht unter dem besonderen Druck einer Krisensituation (und womöglich nicht in klar definierten Rollen- und Kompetenzmodellen) zusammengearbeitet haben. Daher ist der Führungsprozess besonders wichtig. Diesen muss der Krisenstab als Ganzes trainieren und üben. Eine häufige Erkenntnis aus derartigen Trainings und Übungen ist, dass für effektive Krisenstabsarbeit bestimmte Infrastrukturen und Hilfsmittel hilfreich sind. Dann wird die Einrichtung eines Krisenstabsraums zu einer sinnvollen Option, ebenso wie unter Umständen die Anschaffung eines Alarmierungs- oder gar Krisenmanagementtools. Fazit BfV/BSI/ASW ist besonders geeignet für Organisationen, die nationale Lösungen (BSI-Standards) gegenüber international bewährten Ansätzen (ISO-Standards) bevorzugen. Unternehmen mit internationalisierten Lieferketten sind beim BS vermutlich besser aufgehoben. BfV/BSI/ASW hat auf Managementsystemebene seine Schwächen. Ebenso enthält er terminologische Stilblüten aus dem Generalstab Preußens beziehungsweise der Reichswehr, die allerdings im Zusammenhang mit dem Thema Übungen auch heute noch verbreitet sind ( Stabsrahmenübungen ). Dessen ungeachtet bietet er die beste Orientierung, die es aktuell in standardähnlicher Form zum Thema Krisenmanagement in deutscher Sprache gibt. Denn: BfV/BSI/ASW ist eher eine Good Practice Guideline als ein echter Standard. Auch Krisenmanagement-Einsteiger finden sich gut darin zurecht. Eine Organisation macht nichts falsch, wenn sie ihr Krisenmanagement daran ausrichtet. 7 / 8

8 Whitepaper Competence Center Business Continuity & Crisis Management Wir sind Spezialisten für Business Continuity Management und Krisenmanagement bei Betreibern Kritischer Infrastrukturen. Unsere Berater verfügen über langjährige Praxiserfahrung aus Linien- und Beratungstätigkeit auch in den Nachbardisziplinen Informationssicherheits-, IT Service Continuity und Incident Management. Das Umsetzen der Anforderungen des IT-Sicherheitsgesetzes (ITSiG) sowie der Vorgaben aus MaRisk, VAG, MaGo (VA) und Co. gehört für uns zum täglichen Geschäft. Wir subsumieren den Umgang mit Risiken unter dem Schlagwort Resilienz. Gerade bei Cyber-Attacken ist Resilienz nur möglich, wenn ISM, BCM, ITSCM, Incident- und Krisenmanagement reibungslos ineinander greifen. Genau das stellt der Top-Down-Ansatz unseres Vorgehensmodells sicher. Das ACG-Vorgehen ist prüfungs- und praxiserprobt. Der ACG-Ansatz ist methodisch und technisch offen. ACG arbeitet effizient und transparent. Wir zeigen Lösungen auf, Sie entscheiden, gemeinsam setzen wir Ihre Entscheidung um. Ausführliche Informationen finden Sie unter. Über ACG Die ACG Automation Consulting Group GmbH ist eine inhabergeführte Beratungsgesellschaft für Organisation und IT. Seit Unternehmensgründung im Jahr 1985 haben wir uns auf Betreiber kritischer Infrastrukturen konzentriert. In gut 30 Jahren haben wir bei mehr als 180 Kunden weit über Projekte erfolgreich durchgeführt und sind Rahmenvertragspartner vieler namhafter Institute. Kontakt: Dr. Holger Kaschner Telefon: Herausgeber: ACG Automation Consulting Group GmbH Lyoner Straße 11a Frankfurt am Main Telefon: info@acg-gmbh.de Internet: ACG Whitepaper Copyright ACG Alle Rechte vorbehalten.