IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen

Transkript

1 IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen (Aktualisierung 2014) TAK-Übung im UP KRITIS

2

3 Inhalt Inhaltsverzeichnis 1 Einleitung Zweck des Übungskonzepts Üben im UP KRITIS Anwenderkreis des Konzepts 10 2 Der Übungsprozess Initialisierung: Auftrag, Zweck und Zielgruppe(n) Übungsarten Konkrete Ziele Szenario-Auswahl Ort, Zeitpunkt, sonstige Rahmenbedingungen Grobkonzept zur Freigabe einer Übung Teilnehmer Feinplanung Durchführung Auswertung 20 3 Erkenntnisse aus Übungen nutzen Gewinnen von Erkenntnissen Produkte Verfügbarkeit der Übungsmaterialien Erkenntnisse aus Übungen Dritter Verbesserung des Übungsprozesses 25 4 Anlagen zu diesem Übungskonzept 26 5 Abkürzungen 28 6 Literatur 30 Impressum 35 3

4 4 1 Einleitung

5 Einleitung 1 Einleitung Die Bedeutung von Kritischen Infrastrukturen liegt vor allem in deren (kritischen) Dienstleistungen, die für eine moderne Industriegesellschaft unverzichtbar sind. Bei krisenhaften Beeinträchtigungen und Ausfällen dieser Dienstleistungen und der Kritischen Infrastrukturen selbst sind daher Fähigkeiten zur organisationsübergreifenden bzw. gesamtgesellschaftlichen Reaktion erforderlich, die im UP KRITIS (siehe Kasten) erarbeitet und umgesetzt werden. UP KRITIS Bereitstellung und Betrieb von Kritischen Infrastrukturen erfolgen in Deutschland größtenteils in privatwirtschaftlicher Verantwortung, das heißt in der Verantwortung einzelner Unternehmen. Entsprechend sind auch IT-Sicherheit und Aufrechterhaltung des Betriebs Aufgaben, die weitestgehend innerhalb der einzelnen Unternehmen und Organisationen wahrgenommen werden. Die KRITIS-Strategie der Bundesregierung und die Nationale Cyber-Sicherheitsstrategie bilden den Rahmen, in dem darüber hinaus unternehmens- und branchenübergreifende Komponenten vereinbart werden. Wie diese bereitgestellt werden können, beschreibt das Dokument UP KRITIS Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen. Dies betrifft die Zusammenarbeit aller relevanten Akteure, also der auf IT und IT-Sicherheit spezialisierten Bereiche mit den Experten für den physischen Schutz, für die Aufrechterhaltung der Geschäftsprozesse (Business Continuity Management, BCM) und für das Krisenmanagement. Die Ziele des UP KRITIS sehen deshalb vor, verschiedenartige Notfall- und Krisenübungen gemeinsam zu planen, durchzuführen, an nationalen und internationalen Übungen Dritter 5

6 Einleitung teilzunehmen und deren Ergebnisse auszuwerten. Dazu wurden konkrete Maßnahmen beschlossen (siehe Kasten), darunter die mit dem vorliegenden Dokument erfolgende Fortschreibung des 2008 vorgelegten Übungskonzepts des UP KRITIS. Es trägt dabei den wachsenden Herausforderungen der gemeinsamen Arbeit im UP KRITIS mit seinem erweiterten Teilnehmerkreis und seiner neuen Organisationsstruktur Rechnung. M17: Im Rahmen des UP KRITIS werden verschiedenartige Notfall- und Krisenübungen gemeinsam geplant und durchgeführt. M17.1: Es soll an nationalen und internationalen Übungen Dritter teilgenommen werden. M17.2: Die Übungen müssen anschließend evaluiert, die Ergebnisse sollen in die Praxis umgesetzt werden. M18: Übungskonzepte und Ergebnisse von Übungen Dritter sollen im Hinblick auf ihre Relevanz für den UP KRITIS ausgewertet werden. M19: Es sollen Rahmenszenarien entwickelt und Übungsszenarien fortgeschrieben werden. M20: Für die Durchführung von Übungen wird das bestehende Übungskonzept fortgeschrieben. M20.1: Für die verschiedenen Übungsarten werden spezifische Übungspläne erarbeitet, dabei werden feste Übungszyklen vereinbart. Zusätzlich können anlassbezogen Übungen durchgeführt werden. 1.1 Zweck des Übungskonzepts Übungen im UP KRITIS bieten die Möglichkeit, die in anderen Gremien des UP KRITIS erarbeiteten oder diskutierten Konzepte und Strukturen in einem geeigneten Umfeld zu testen oder zu überprüfen. Durch geeignete Szenarien sollen dabei auch Extremsituationen simuliert und komplexe Entscheidungsprozesse für das übergreifende Krisenmanagement adressiert werden. 6

7 Einleitung Das vorliegende Übungskonzept definiert dazu ein gemeinsames Vorgehen für die Planung, Durchführung und Auswertung gemeinsamer Übungen sowie die Bereitstellung von Erkenntnissen aus eigenen Übungen sowie aus Übungen Dritter zur Verbesserung der im UP KRITIS vereinbarten und angewendeten Verfahren. Das Konzept liefert den Rahmen zur Reduktion der Übungsaufwände durch ein abgestimmtes Verfahren bei der Planung und Durchführung eigener Übungen, aber auch durch die Berücksichtigung von Integrationsmöglichkeiten mit anderen übergreifenden und ergänzenden Krisenübungen wie z. B. LÜKEX, Gewinnung weiterer Organisationen im UP KRITIS für die Mitarbeit im Themenarbeitskreis (TAK) Übung, um alle Sektoren und alle wesentlichen Interessensbereiche bei der Auswahl und Anlage von Übungen adressieren zu können. Stärkung der Bereitschaft der Teilnehmer im UP KRITIS, an angebotenen Übungen teilzunehmen und somit zur Verbesserung der im UP KRITIS vereinbarten Prozesse beizutragen. Damit erhalten die Teilnehmer auch die Möglichkeit, ihre Schnittstellen zu den daran anschließenden internen Geschäftsprozessen einzubeziehen oder zu überprüfen. Prüfung und Aufrechterhaltung der für die Zusammenarbeit im UP KRITIS aufgebauten Fähigkeiten und eingerichteten Prozesse zum übergreifenden Krisenmanagement. Es stellt damit allen Teilnehmern des UP KRITIS und weiteren Interessierten den Rahmen für das gemeinsame Üben im UP KRITIS vor. 7

8 Einleitung 1.2 Üben im UP KRITIS Gegenstand von Übungen im Kontext des UP KRITIS sind vorrangig IT-Krisenszenarien, die Kritische Infrastrukturen betreffen, d.h. die auf IT-bedingten Ausfällen oder Einschränkungen Kritischer Infrastrukturen und deren kritischen Prozessen beruhen. Die Grundlage für das gemeinsame Üben im UP KRITIS bilden hierbei die gemeinsam erarbeiteten und vereinbarten Konzepte und Vorgehensweisen zum IT-Notfallund Krisenmanagement wie das bereits 2008 vorgestellte und 2014 fortgeschriebene Konzept Früherkennung und Bewältigung von IT-Krisen. Übungen des UP KRITIS überprüfen, ob die vereinbarten Kommu ni kationsbeziehungen aufgebaut und aufrechterhalten werden können und ob die gemeinsamen Krisenkommunikationsstrukturen und -prozesse effizient und effektiv funktionieren. Sie erlauben es, zu vermitteln, unter welchen Bedingungen eine Zusammenarbeit bei IT-Notfällen und Krisen sinnvoll und notwendig ist. Dabei bieten sie die Möglichkeit, den vorgesehenen kollaborativen Führungsprozess einschließlich der Abstimmung von Entscheidungen und Maßnahmen durchzuspielen. Außerdem können gegenseitige Abhängigkeiten (branchenund sektorübergreifend) der Organisationen im UP KRITIS und weiteres Potenzial für übergreifendes Handeln erkannt werden. Für jede gemeinsame Übung werden daher folgende Grundsätze vereinbart: Die Übung hat einen konkreten Auftrag aus einem Arbeitskreis oder dem Plenum des UP KRITIS. Der Durchführungsverantwortliche einer jeden Übung wird im TAK Übung vereinbart. Mögliche Aufträge sind das Bekanntmachen oder Überprüfen von Arbeitsergebnissen, das Erforschen von Anforderungen für ein weiteres Projekt im UP KRITIS oder regelmäßige Kommunikationsüberprüfungen.»» Diesem Auftrag folgend werden im TAK Übung wenige, konkrete Ziele vereinbart, ein Vorschlag für eine Übung (Übungsart, Dauer, erwarteter Vorbereitungsaufwand, erforderliche Vorbereitungszeit und sonstige Anforderungen an 8

9 Einleitung Ressourcen) erarbeitet und dabei auch eine Empfehlung für den Teilnehmerkreis zur Erreichung der erwarteten Übungsergebnisse ausgesprochen. Nach Diskussion im Plenum beginnt der Prozess der Vorbereitung, Durchführung und Auswertung der Übung. Außergewöhnliche Ereignisse oder der Wegfall wesentlicher Ressourcen können zur Unterbrechung oder zum Abbruch dieses Prozesses führen. Die Ergebnisse der Übung fließen zurück in den UP KRITIS und werden in den relevanten Gremien insbesondere den BAKs und TAKs angemessen berücksichtigt. Alle Beteiligten erhalten so Anregungen, um geeignete Strukturen, Kon zepte und Maßnahmen zur gemeinsamen IT-Notfallund Krisen bewältigung weiter zu entwickeln und zu verbessern. Die gegenseitigen Erwartungen der Teilnehmer aus dem UP KRITIS bei der IT-Notfall- und Krisenbewältigung werden offengelegt. Zeigt sich in der Übung, dass den Erwartungen nicht entsprochen wird, können daraus Schwachstellen bei der IT-Notfall- und Krisenbewältigung identifiziert werden. Bei den teilnehmenden Organisationen aus dem UP KRITIS wird das Bewusstsein für die Notwendigkeit einer übergreifenden Zusammenarbeit, für die gegenseitigen Abhängigkeiten, aber auch für die Notwendigkeit und den Nutzen von Übungen gestärkt. Sie fördern außerdem den Ausbau der vertrauensvollen Kommunikation zwischen den Organisationen im UP KRITIS und die Einführung neuer Teilnehmer in die etablierten Strukturen. 1.3 Anwenderkreis des Konzepts Das vorliegende Dokument wendet sich in erster Linie an folgende Anwender:»» Teilnehmer des UP KRITIS: Sie machen das Übungskonzept in den Institutionen und Unternehmen, denen sie angehören, bekannt und fördern die 9

10 Einleitung Bereitstellung der für die Teilnahme an Übungen notwendigen Ressourcen in ihren Institutionen und Unternehmen. Dies gilt insbesondere für die KRITIS-Ansprechpartner der Branchen (Single Points of Contact, kurz: SPOCs, oder Leiter bzw. Sprecher der Branchenarbeitskreise, kurz: BAKs). Die Leitungsebene in Unternehmen und Behörden, die Kritische Infrastrukturen betreiben, mit diesen zusammenarbeiten oder in deren Schutz involviert sind: Dieser Anwenderkreis sollte eine summarische Kenntnis des Zwecks und des Nutzens von IT-Notfall- und Krisenübungen im Rahmen des UP KRITIS erhalten, um die erforderlichen Ressourcen für die Mitwirkung an diesen Übungen zu bewilligen. Krisenstabsleiter und -mitglieder und weitere potenziell Verantwortliche: Sie sollten, soweit sie im Rahmen von Übungen im UP KRITIS betroffen sein können, Kenntnis dieses Konzepts haben. Dies ist auch sachdienlich im Hinblick auf mögliche Verzahnungen von KRITIS- und unternehmensinternen Übungen und der Verknüpfung mit bestehenden Übungen Dritter wie z. B. LÜKEX. Mit Aufgaben im Rahmen des KRITIS-Schutzes betraute Mitarbeiter im Bundesministerium des Innern und weiteren Ministerien sowie nachgeordneter Behörden (besonders im BSI, im BBK und in Aufsichts- und Regulierungsbehörden für Betreiber Kritischer Infrastrukturen): Sie sollten die Bedeutung von Übungen für die Förderung eines integrierten Krisenmanagements von öffentlicher Verwaltung und privatwirtschaftlich betriebenen Kritischen Infrastrukturen erkennen.»» Verantwortliche für das Planen und Durchführen übergreifender Übungen mit Cyber-Anteil und deutlichem KRITIS- Bezug, an denen der UP KRITIS teilnehmen kann. Ihnen soll das Konzept einen Rahmen für die Übungsvorbereitung und Durchführung bieten. 10

11 Einleitung Aufgabe der Mitglieder des TAK Übung ist dabei die Anwendung, Verbreitung und Pflege des vorliegenden Konzepts. Sie unterstützen die Schaffung geeigneter Rahmenbedingungen für Übungen, wirken an der konkreten Planung von Übungen mit und bringen relevante Erkenntnisse in die Arbeit des TAK Übung wie des UP KRITIS allgemein ein. Der TAK Übung ist Ansprechpartner für Cyber-Übungen und Öffentlich-Private KRITIS-Übungen. 11

12 12 2 Der Übungsprozess

13 Der Übungsprozess 2 Der Übungsprozess Planung, Durchführung und Auswertung einer Übung sowie die nachfolgende Umsetzung der Erkenntnisse lassen sich anhand des Prozesskreislaufs Plan Do Check Act beschreiben (siehe Abbildung 1). Mit dem vorliegenden Übungskonzept soll erreicht werden, dass die Planungsphase für jede Übung im UP KRITIS gut strukturiert und damit effizient erfolgen kann, dass aber auch bei Planung und Durchführung schon die weiteren Phasen der Auswertung und des Ableitens von Maßnahmen zur Umsetzung der Erkenntnisse geeignet berücksichtigt werden. So soll sichergestellt werden, dass Erkenntnisse erfasst und auch kommuniziert werden, und dass auf den Auftrag als Auslöser einer Übung auch klare, nutzbare Empfehlungen folgen. Damit soll das Instrument der Übungen im UP KRITIS so eingesetzt werden, dass einem angemessen geringen Aufwand ein möglichst hoher Nutzen für alle Beteiligten und für die Verbesserung der Zusammenarbeit gegenübersteht. Abbildung 1: Der Übungsprozess als P-D-C-A-Zyklus 13

14 Der Übungsprozess 2.1 Initialisierung: Auftrag, Zweck und Zielgruppe(n) Gemäß der in der Einleitung beschriebenen Grundsätze beginnt der Übungsprozess mit einem Auftrag. Dieser kann sich aus dem Übungsplan des UP KRITIS (siehe Anlagen) herleiten oder aus einem einmaligen konkreten Auftrag aus einem Arbeitskreis oder aus dem Plenum. Aus diesem Auftrag lassen sich in der Regel der Zweck sowie die Zielgruppe der Übung ableiten. Dabei ist zu beachten, dass möglichst nur ein klarer Zweck für eine konkrete Übung vereinbart wird. Typische Beispiele für den Zweck einer Übung im UP KRITIS und die zu adressierenden Zielgruppen sind in den Informationskästen angegeben. Möglicher Zweck einer Übung Überprüfen von Kontakten für das IT-Notfall- oder IT- Krisenmanagement Überprüfen eines Konzepts / Verfahrens aus dem UP KRITIS Testen / Überprüfen von Kommunikationsstrukturen in der Bewältigung von IT-Notfällen oder (drohenden) IT- Krisen Überprüfen der Prozesse im übergreifenden nationalen IT-Krisenmanagement / des Zusammenwirkens übergreifender und interner Prozesse. Mögliche Zielgruppen Plenum des UP KRITIS Branchenansprechpartner (SPOCs) und Branchenarbeitskreise Organisationen des UP KRITIS, konkret z. B. deren IT-Organisation oder CIO CERTs, IT-Sicherheitsorganisationen oder -Vertreter (CISO) 14

15 Der Übungsprozess Krisenmanagement oder Krisenstäbe BCM Sonstige Mitwirkende in Prozessen des UP KRITIS Anschließend folgt die Festlegung der Übungsart, falls nicht auch diese bereits mit dem Auftrag vorgegeben ist. 2.2 Übungsarten Je nach dem Zweck einer Übung können Inhalte und Form sehr unterschiedlich sein. Zuerst wird unterschieden, was in einer Übung passiert: Diskussionsorientierte Übungen behandeln auf theoretischer Ebene mögliche Verfahren, Planungen oder Konzepte für den IT-Krisenfall. Handlungsorientierte Übungen dienen dem realitätsnahen Ausprobieren, Einüben und Überprüfen von Verfahren, Plänen und Konzepten. Diskussionsorientierte Übungen werden üblicherweise in Form einer Planbesprechung oder Planübung angelegt. Für handlungsorientierte Übungen steht eine Reihe von Übungsarten zur Verfügung. Häufig werden im UP KRITIS von der Struktur her eher einfache Kommunikationsübungen wie die Überprüfung von Erreichbarkeiten oder Alarmierungsübungen durchgeführt. Es finden aber auch komplexere Übungen zu Themen der organisationsübergreifenden, kollaborativen Entscheidungsvorbereitung, -findung und -umsetzungssteuerung statt. Um ein möglichst gutes Übungsergebnis für alle Beteiligten zu erzielen, wird eine Übungsart ausgewählt, die dem Übungszweck entspricht, die Zielgruppe(n) bestmöglich adressiert und mit der sich die konkreten Übungsziele am effektivsten errei- 15

16 Der Übungsprozess chen lassen. Jede Übung sollte nur so komplex wie nötig und dabei so einfach und zielgerichtet wie möglich sein. Für nähere Details zu den im UP KRITIS vorrangig eingesetzten Übungsarten sei auf die Anlagen verwiesen. 2.3 Konkrete Ziele Übungen bieten nicht nur die Möglichkeit, Konzepte zu überprüfen und in Erinnerung zu bringen, sondern sie erlauben es auch, diese gezielt und schrittweise weiterzuentwickeln. Um den Reifegrad in der Zusammenarbeit im UP KRITIS zu reflektieren und alle Aspekte und Phasen des Krisenmanagements abzudecken, können Übungen auch gezielt bestimmte auch späte Phasen einer Krise betrachten und nicht nur wie üblich den Beginn einer Krise mit künstlich schnellem Aufwuchs abbilden. Entsprechend sollen für jede Übung wenige, klar definierte und für die vorgesehene(n) Zielgruppe(n) überzeugende Ziele festgelegt werden, die sich aus dem Auftrag zur Übung ableiten lassen und den Zweck der Übung unterstreichen. Beispiele für konkrete Übungsziele für Übungen im UP KRITIS sind: Stärken des Bewusstseins für die Notwendigkeit der übergreifenden Zusammenarbeit und die gegenseitigen Abhängigkeiten Durchspielen der Entscheidungsprozesse beim Übergang vom organisationsinternen zum übergreifenden Handeln beim Umgang mit IT Vorfällen mit dem Potenzial einer übergreifenden IT-Krise»» Durchspielen von Reaktionen auf IT-Notfälle und Krisen sowie Funktionsüberprüfung der dazu vorgesehenen übergreifenden Einrichtungen und Prozesse 16

17 Der Übungsprozess 2.4 Szenario-Auswahl Im nächsten Schritt ist ein geeignetes Szenario zu identifizieren. Hierzu kann auf Szenario-Sammlungen (die Anlagen enthalten eine Sammlung einfacher Szenarien) oder auf im Rahmen der Notfallplanung konkret entwickelte Szenarien aus Branchen oder Unternehmen zurückgegriffen werden. Daneben werden auch technische Entwicklungen sowie aktuelle Bedrohungsszenarien von querschnittlicher oder branchen- und sektorübergreifender Bedeutung Gegenstand von Übungen sein. 2.5 Ort, Zeitpunkt, sonstige Rahmenbedingungen Weiterhin sind Ort und Zeitpunkt der Übung und ggf. die erforderliche Übungsinfrastruktur festzulegen sowie Angaben dazu zu machen, ob weitere Rahmenbedingungen gelten: Ort: Handelt es sich um eine Übung, die nicht an den Arbeitsplätzen der Teilnehmer durchgeführt werden kann, dann muss für die Übung ein passender Ort verfügbar sein, an dem die Übung stattfinden kann. Vor Ort müssen genügend und ausreichend große Räume im benötigten Zeitraum zur Verfügung stehen, hierbei muss auch der Bedarf von Beobachtern und Planern mit berücksichtigt werden. Ggf. müssen technische Voraussetzungen erfüllt werden wie Strom-, Rechnernetz- oder Projektoranschlüsse. Je nach Übungsart kann auch Handyempfang notwendig sein. Zeitpunkt und Dauer der Übung: Es ist festzulegen, wann die Übung stattfinden und wie lagen sie dauern soll.»» Übungssystem: Falls die Übung IT-unterstützt ablaufen soll, wird ein entsprechendes Übungssystem benötigt. Alle Beteiligten müssen mit dem System umgehen können. Für einen reibungslosen Ablauf muss das System während der Übung verfügbar sein. Es ist zu prüfen, wer im Verlauf der Übung Zugriff auf das System haben muss. Auch muss der Umgang mit dem System geübt werden, hierzu ist evtl. eine Vorübung sinnvoll. 17

18 Der Übungsprozess Weitere Rahmenbedingungen: Die Teilnehmer an einer Übung müssen rechtzeitig am Übungsort anwesend sein. Ggf. müssen Übernachtungen gebucht werden. Die Verpflegung am Übungsort während der Übung muss organisiert sein. 2.6 Grobkonzept zur Freigabe einer Übung Die damit festgelegten Rahmenbedingungen Zweck der Übung, Zielgruppe, Art der Übung, konkrete Ziele, die Szenario-Idee (soweit erforderlich) und die identifizierten weiteren Rahmenbedingungen werden in einem Grobkonzept für die Übung zusammengefasst (Gliederungsvorschläge oder Vorlagen für ein Grobkonzept sind über die Anlagen verfügbar). Darüber hinaus enthält das Grobkonzept einen Meilensteinplan für alle weiteren Schritte zur Feinplanung, Durchführung und Auswertung der Übung. Der Meilensteinplan kann dabei auch Angaben enthalten, ob und wie ein Dienstleister bei der Feinplanung der Übung und ggf. bei der Durchführung und Auswertung herangezogen werden soll. Das Grobkonzept wird dem Plenum durch den TAK Übung zur Diskussion und Freigabe vorgelegt. Übungen werden vom TAK Übung nur dann durchgeführt, wenn auch die erforderlichen finanziellen und personellen Ressourcen zur Verfügung stehen. 2.7 Teilnehmer Der erwartete Teilnehmerkreis (Ebene, ggf. fachlicher Hintergrund) wird für alle Übungen im UP KRITIS gemeinsam mit den Übungszielen und dem Ausgangsszenario im Grobkonzept festgelegt und in der Einladung zur Übung kommuniziert. Die Teilnahme an KRITIS-Übungen ist freiwillig. Die Organisationen im UP KRITIS entscheiden bei jeder geplanten Übung selbst, ob und in welchem Rahmen sie sich beteiligen. Auf Einladungen zu einer Übung ist innerhalb der angegebenen Frist zu antworten. Eine Zusage zur Teilnahme entsprechend der in der Einladung genannten Möglichkeiten ist dann verbindlich. 18

19 Der Übungsprozess Dadurch wird eine effektive Übungsvorbereitung und durchführung gewährleistet und die Voraussetzung geschaffen, aussagefähige Erkenntnisse für die Zusammenarbeit im UP KRITIS aus der Übung zu gewinnen. Mit der Zusage zur Teilnahme an der Übung bestätigen Mitglieder des UP KRITIS außerdem, über ein allgemeines Wissen über die festgelegten Strukturen und Verfahren im Krisen fall sowohl in ihrer eigenen Organisation als auch im UP KRITIS zu verfügen. Falls in der Einladung weitere Voraussetzungen genannt sind, werden auch diese mit der Zusage bestätigt. 2.8 Feinplanung Mit der Freigabe des Grobkonzepts sind alle wesentlichen Eckdaten der Übung festgelegt. Die Feinplanung kann umfangreiche Ressourcen erfordern, die ebenfalls im Grobkonzept adressiert und mit seiner Freigabe verfügbar sein sollten. Je nach Art der Übung ist der nächste Schritt die Einladung der vorgesehenen Zielgruppe(n) zur Teilnahme an der Übung. Dabei wird ggf. die Teilnahme in verschiedenen Rollen angefragt (z. B. eigentliche Übende, Beobachter, Rahmenleitungsgruppe etc., siehe Rollenbeschreibungen in den Anlagen). Da die Feinplanung ggf. auf die konkreten Übungsteilnehmer eingehen muss, kann der Termin zur verbindlichen Zu- oder Absage deutlich vor dem eigentlichen Übungstermin liegen. Dadurch erhalten die teilnehmenden Organisationen aber auch hinreichend Vorlauf, um die Teilnahme der richtigen Personen ermöglichen zu können. Die eigentliche Feinplanung hängt von der Art der Übung und vielen weiteren, im Grobkonzept festgelegten Rahmenbedingungen ab. Sie wird in der Regel die schrittweise Ausgestaltung des Szenarios zu einem detaillierten Drehbuch und die organisatorische Vorbereitung der Übung umfassen. Ferner wird ein Auswertekonzept erstellt, das durch die Erstellung von Hilfsmitteln wie ggf. Checklisten für die Beobachter und die Protokollanten während der Übung ergänzt werden kann. Es bildet die Grundlage für eine effektive, an den Übungszielen ausge- 19

20 Der Übungsprozess richtete Auswertung im Anschluss an die Übung. Hilfsmittel werden in den Anlagen bereitgestellt. 2.9 Durchführung Die Übung wird am vereinbarten Zeitpunkt bzw. im vereinbarten Zeitraum gemäß Feinplanung durchgeführt. Details zum Übungsablauf werden wie in der Feinplanung vorgesehen erfasst. Je nach Übungsart kann im unmittelbaren Anschluss an die Übung eine Runde für eine Sofortauswertung und / oder als Feedback-Möglichkeit gegenüber dem Planungs- und Durchführungsteam erfolgen. Ggf. können auch Fragebögen an die an der Übung Beteiligten ausgegeben werden Auswertung Die Auswertung der Übung ist auf den Zweck der Übung und die vereinbarten Übungsziele ausgerichtet. Sie basiert auf allen während der Übung zu diesem Zweck gewonnen Informationen. Sofern aus diesen Informationen Erkenntnisse für die Verbesserung der Zusammenarbeit zwischen den potenziell Beteiligten abgeleitet werden können, werden diese im Auswertebericht deutlich aufgeführt. Soweit sinnvoll und möglich, werden auch konkrete Umsetzungsvorschläge formuliert. Insbesondere diese Ergebnisse sollten dem Plenum des UP KRITIS vorgestellt werden. Hilfreich ist eine managementtaugliche Darstellung der Ergebnisse (z. B. als Folienvortrag), die den Teilnehmern zur Verfügung gestellt wird. Die Ergebnisse der Auswertung stehen allen Übungsteilnehmern, dem TAK Übung sowie dem Plenum des UP KRITIS zur Verfügung. Sie sollten möglichst auch allen Teilnehmern des UP KRITIS verfügbar gemacht werden. Je nach Art und Stellenwert der Übung sind außerdem eine Pressemitteilung und ggf. eine Zusammenfassung des Berichts als Veröffentlichung möglich. 20

21 3 Erkenntnisse aus Übungen nutzen 21

22 Erkenntnisse aus Übungen nutzen 3 Erkenntnisse aus Übungen nutzen Der im Angelsächsischen verwendete Begriff Lessons Learned gibt die Zielrichtung dieses Kapitels vor: Wie können aus Übungen Erkenntnisse nicht nur gewonnen, sondern auch konkrete Maßnahmen abgeleitet und umgesetzt werden. Nur wenn die Ergebnisse aus einer Übung in den Organisationen genutzt werden und in der Übung identifizierte Schwächen beseitigt werden, war der Aufwand für die Durchführung der Übung gerechtfertigt. Alle Teilnehmer des UP KRITIS sollten daher die Erkenntnisse und Umsetzungsvorschläge aus der Übungsauswertung daraufhin prüfen, wie sie in der eigenen Organisation umgesetzt werden können und diese Umsetzung vorantreiben. 3.1 Gewinnen von Erkenntnissen Durch den in Kapitel 2 beschriebenen Übungsprozess im UP KRITIS ist der Weg vorgezeichnet, um inhaltliche Erkenntnisse aus der Übung gemäß Auftrag direkt in die beteiligten Organisationen und in die Arbeit des UP KRITIS zurückfließen zu lassen. Die Gewinnung dieser Erkenntnisse hängt von den Zielen der Übung, der gewählten Übungsart und der Komplexität der Übung ab. Bei einfachen Übungen genügt häufig eine einfache Auswertung durch die Übungssteuerung. Dies gilt insbesondere bei sich regelmäßig wiederholenden Übungen wie den Kommunikationsüberprüfungen im UP KRITIS. Darüber hinaus können folgende Mittel zur Gewinnung dieser Erkenntnisse zum Einsatz kommen: 22

23 Erkenntnisse aus Übungen nutzen Protokollierung (z. B. im Rahmen der Übungssteuerung oder als eigene Aufgabe) Übungsbeobachtung (bei dezentralen Übungen: mindestens ein Beobachter an jedem Übungsort) Fragebögen (unmittelbar nach der Übung an die Übungssteuerung, innerhalb einer Frist schriftlich an das Nachbereitungsteam oder ggf. als webgestützte Befragung, evtl. auch per Interview) Nachbesprechungen Unmittelbar nach der Übung ( hot wash ), bei dezentralen Übungen lokal an jedem Übungsort und / oder als Telefonkonferenz oder Webmeeting In zeitlicher Nähe zur Übung mit Übungsteilnehmern aller beteiligten Organisationen (neben Beobachtern und Übungssteuerung sollten auch Spieler hinzugezogen werden) Für Übungen im UP KRITIS wird im Rahmen der Feinplanung ein Auswertekonzept erstellt, in dem die zu wählenden Mittel festgelegt werden und das auch die aus der Auswertung zu erstellenden Produkte (wie Bericht, Präsentation, Empfehlungssammlung u. ä.) definiert. 3.2 Produkte Als Produkte einer Übung sind mindestens ein Übungsbericht und eine managementtaugliche Folienpräsentation vorgesehen:»» Der Übungsbericht enthält neben einer Managementzusammenfassung alle Details zur abgehaltenen Übung, dies sind neben einer Beschreibung der Übung und des Szenarios der Übungsablauf und die Erkenntnisse aus der Übung. Wichtigstes Element ist die Aufarbeitung der Ergebnisse (z. B. in Maßnahmenempfehlungen), damit diese in den beteiligten 23

24 Erkenntnisse aus Übungen nutzen Organisationen zur Beseitigung der identifizierten Schwächen genutzt werden können Eine Folienpräsentation über die Übungsergebnisse hilft bei der Umsetzung der empfohlenen Maßnahmen. Evtl. sind eine managementtaugliche Fassung und eine Fassung für die betroffenen Bereiche in den Organisationen (z. B. BCM, ITSCM oder Krisenmanagement) sinnvoll 3.3 Verfügbarkeit der Übungsmaterialien Im UP KRITIS erstellte Übungsmaterialien werden geeignet zur Verfügung gestellt: Durchgeführte Übungen: Das Feinkonzept in der durch das Plenum freigegebenen Fassung nach Durchführung der Übung, weitere Unterlagen wie das Drehbuch oder bei toolgestützten Übungen ein geeigneter Drehbuchauszug (mindestens für alle Übungsteilnehmer) Vorgeschlagene, aber nicht durchgeführte Übungen: das vorgelegte Übungskonzept, sofern das Plenum dies nicht begründet ablehnt Diese Informationen gehen, sofern sie offen zugänglich sein sollen, in die Anlagen ein. Ansonsten werden sie vom TAK Übung verwaltet und den Organisationen im UP KRITIS zugänglich gemacht. Damit entsteht eine Sammlung an Übungsentwürfen und Szenario-Ideen, die auch für organisationsinterne Übungen weiterverwendet werden können. 3.4 Erkenntnisse aus Übungen Dritter Auswertungen von Übungen, an denen der UP KRITIS nicht teilgenommen hat, sollten daraufhin analysiert werden, in wie weit deren Ergebnisse zur Verbesserung von Prozessen im UP KRITIS oder bei den teilnehmenden Organisationen eingesetzt werden können. Eine solche Auswertung kann im Themenarbeitskreis Übung erfolgen. Ggf. kann eine Maßnah- 24

25 Erkenntnisse aus Übungen nutzen mensammlung für Teilnehmer erstellt werden, die auf den Ergebnissen eines Auswerteberichts basiert. 3.5 Verbesserung des Übungsprozesses Neben den Erkenntnissen zur Verbesserung der beübten Prozesse sollte in der Übungsnachbereitung auch der Verbesserungsbedarf bei der Übungsvorbereitung und -durchführung identifiziert werden. Auch dieser muss dokumentiert werden, damit bei der Planung zukünftiger Übungen auf die bereits gemachten Erfahrungen zurückgegriffen werden kann. Sinnvollerweise sollten diese Erkenntnisse im Übungsbericht in einem eigenen Unterkapitel dokumentiert werden. 25

26 26 4 Anlagen zu diesem Übungskonzept

27 Anlagen zu diesem Übungskonzept 4 Anlagen zu diesem Übungskonzept Diesem Konzept wird ein eigenständiger Anlagenteil beigestellt. Er enthält insbesondere: die Beschreibung der Arten von Übungen, die im UP KRITIS vorrangig durchgeführt werden, die Festlegung der Rollen in Übungen des UP KRITIS, die Darstellung der Grundlagenszenarien, die Konzepte aus dem UP KRITIS, die Gegenstand von Übungen sein könnten, und die Beschreibung von Hilfsmitteln für die Planung von Übungen. Ein Übungsplan setzt den zeitlichen Rahmen für die Durchführung verschiedener Übungen in der Umsetzung des vorliegenden Konzeptes. Weiter werden konkrete Erkenntnisse aus bereits durchgeführten Übungen vorgestellt. Der Anlagenteil wird durch den TAK regelmäßig überprüft und soweit erforderlich aktualisiert bzw. erweitert. 27

28 28 5 Abkürzungen

29 Abkürzungen 5 Abkürzungen BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BCM Business Continuity Management (Aufrechterhaltung der Geschäftsprozesse) BMI Bundesministerium des Innern BSI Bundesamt für Sicherheit in der Informationstechnik IKT IT ITSCM KRITIS Informations- und Kommunikationstechnik Informationstechnik IT Service Continuity Management Kritische Infrastrukturen NPSI Nationaler Plan zum Schutz der Informationsinfrastrukturen SPOC TAK UP KRITIS Single Point of Contact Themenarbeitskreis Eigenname, Initiative zur Zusammenarbeit von Wirtschaft und Staat zum Schutz Kritischer Infrastrukturen in Deutschland (ursprünglich: Abkürzung für Umsetzungsplan KRITIS ) 29

30 30 6 Literatur

31 Literatur 6 Literatur Bundesministerium des Innern (Hrsg.): Nationale Strategie zum Schutz Kritischer Infrastrukturen. Berlin, 2009 Geschäftsstelle des UP KRITIS (Hrsg.) UP KRITIS Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen Bonn, 2014 Bundesministerium des Innern (Hrsg.): IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Berlin, 2008 Bundesministerium des Innern (Hrsg.): Anlagen zum Konzept IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Berlin, 2008»» Geschäftsstelle des UP KRITIS (Hrsg.) Früherkennung und Bewältigung von IT-Krisen (2. Auflage) Bonn,

32 Notizen 32

33 NotizeN 33

34 Notizen 34

35 Impressum Herausgeber Geschäftsstelle des UP KRITIS Bezugsquelle Bundesamt für Sicherheit in der Informationstechnik Geschäftsstelle UP KRITIS Godesberger Allee Bonn Internet: Telefon: +49 (0) Telefax: +49 (0) Stand 2014 Druck Druck- und Verlagshaus Zarbock GmbH & Co. KG Sontraer Straße Frankfurt am Main Internet: Texte und Redaktion UP KRITIS Themenarbeitskreis Übung Diese Broschüre ist Teil der Öffentlichkeitsarbeit des BSI; sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

36