IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen
|
|
- Elmar Sternberg
- vor 6 Jahren
- Abrufe
Transkript
1 IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen (Aktualisierung 2014) TAK-Übung im UP KRITIS
2
3 Inhalt Inhaltsverzeichnis 1 Einleitung Zweck des Übungskonzepts Üben im UP KRITIS Anwenderkreis des Konzepts 10 2 Der Übungsprozess Initialisierung: Auftrag, Zweck und Zielgruppe(n) Übungsarten Konkrete Ziele Szenario-Auswahl Ort, Zeitpunkt, sonstige Rahmenbedingungen Grobkonzept zur Freigabe einer Übung Teilnehmer Feinplanung Durchführung Auswertung 20 3 Erkenntnisse aus Übungen nutzen Gewinnen von Erkenntnissen Produkte Verfügbarkeit der Übungsmaterialien Erkenntnisse aus Übungen Dritter Verbesserung des Übungsprozesses 25 4 Anlagen zu diesem Übungskonzept 26 5 Abkürzungen 28 6 Literatur 30 Impressum 35 3
4 4 1 Einleitung
5 Einleitung 1 Einleitung Die Bedeutung von Kritischen Infrastrukturen liegt vor allem in deren (kritischen) Dienstleistungen, die für eine moderne Industriegesellschaft unverzichtbar sind. Bei krisenhaften Beeinträchtigungen und Ausfällen dieser Dienstleistungen und der Kritischen Infrastrukturen selbst sind daher Fähigkeiten zur organisationsübergreifenden bzw. gesamtgesellschaftlichen Reaktion erforderlich, die im UP KRITIS (siehe Kasten) erarbeitet und umgesetzt werden. UP KRITIS Bereitstellung und Betrieb von Kritischen Infrastrukturen erfolgen in Deutschland größtenteils in privatwirtschaftlicher Verantwortung, das heißt in der Verantwortung einzelner Unternehmen. Entsprechend sind auch IT-Sicherheit und Aufrechterhaltung des Betriebs Aufgaben, die weitestgehend innerhalb der einzelnen Unternehmen und Organisationen wahrgenommen werden. Die KRITIS-Strategie der Bundesregierung und die Nationale Cyber-Sicherheitsstrategie bilden den Rahmen, in dem darüber hinaus unternehmens- und branchenübergreifende Komponenten vereinbart werden. Wie diese bereitgestellt werden können, beschreibt das Dokument UP KRITIS Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen. Dies betrifft die Zusammenarbeit aller relevanten Akteure, also der auf IT und IT-Sicherheit spezialisierten Bereiche mit den Experten für den physischen Schutz, für die Aufrechterhaltung der Geschäftsprozesse (Business Continuity Management, BCM) und für das Krisenmanagement. Die Ziele des UP KRITIS sehen deshalb vor, verschiedenartige Notfall- und Krisenübungen gemeinsam zu planen, durchzuführen, an nationalen und internationalen Übungen Dritter 5
6 Einleitung teilzunehmen und deren Ergebnisse auszuwerten. Dazu wurden konkrete Maßnahmen beschlossen (siehe Kasten), darunter die mit dem vorliegenden Dokument erfolgende Fortschreibung des 2008 vorgelegten Übungskonzepts des UP KRITIS. Es trägt dabei den wachsenden Herausforderungen der gemeinsamen Arbeit im UP KRITIS mit seinem erweiterten Teilnehmerkreis und seiner neuen Organisationsstruktur Rechnung. M17: Im Rahmen des UP KRITIS werden verschiedenartige Notfall- und Krisenübungen gemeinsam geplant und durchgeführt. M17.1: Es soll an nationalen und internationalen Übungen Dritter teilgenommen werden. M17.2: Die Übungen müssen anschließend evaluiert, die Ergebnisse sollen in die Praxis umgesetzt werden. M18: Übungskonzepte und Ergebnisse von Übungen Dritter sollen im Hinblick auf ihre Relevanz für den UP KRITIS ausgewertet werden. M19: Es sollen Rahmenszenarien entwickelt und Übungsszenarien fortgeschrieben werden. M20: Für die Durchführung von Übungen wird das bestehende Übungskonzept fortgeschrieben. M20.1: Für die verschiedenen Übungsarten werden spezifische Übungspläne erarbeitet, dabei werden feste Übungszyklen vereinbart. Zusätzlich können anlassbezogen Übungen durchgeführt werden. 1.1 Zweck des Übungskonzepts Übungen im UP KRITIS bieten die Möglichkeit, die in anderen Gremien des UP KRITIS erarbeiteten oder diskutierten Konzepte und Strukturen in einem geeigneten Umfeld zu testen oder zu überprüfen. Durch geeignete Szenarien sollen dabei auch Extremsituationen simuliert und komplexe Entscheidungsprozesse für das übergreifende Krisenmanagement adressiert werden. 6
7 Einleitung Das vorliegende Übungskonzept definiert dazu ein gemeinsames Vorgehen für die Planung, Durchführung und Auswertung gemeinsamer Übungen sowie die Bereitstellung von Erkenntnissen aus eigenen Übungen sowie aus Übungen Dritter zur Verbesserung der im UP KRITIS vereinbarten und angewendeten Verfahren. Das Konzept liefert den Rahmen zur Reduktion der Übungsaufwände durch ein abgestimmtes Verfahren bei der Planung und Durchführung eigener Übungen, aber auch durch die Berücksichtigung von Integrationsmöglichkeiten mit anderen übergreifenden und ergänzenden Krisenübungen wie z. B. LÜKEX, Gewinnung weiterer Organisationen im UP KRITIS für die Mitarbeit im Themenarbeitskreis (TAK) Übung, um alle Sektoren und alle wesentlichen Interessensbereiche bei der Auswahl und Anlage von Übungen adressieren zu können. Stärkung der Bereitschaft der Teilnehmer im UP KRITIS, an angebotenen Übungen teilzunehmen und somit zur Verbesserung der im UP KRITIS vereinbarten Prozesse beizutragen. Damit erhalten die Teilnehmer auch die Möglichkeit, ihre Schnittstellen zu den daran anschließenden internen Geschäftsprozessen einzubeziehen oder zu überprüfen. Prüfung und Aufrechterhaltung der für die Zusammenarbeit im UP KRITIS aufgebauten Fähigkeiten und eingerichteten Prozesse zum übergreifenden Krisenmanagement. Es stellt damit allen Teilnehmern des UP KRITIS und weiteren Interessierten den Rahmen für das gemeinsame Üben im UP KRITIS vor. 7
8 Einleitung 1.2 Üben im UP KRITIS Gegenstand von Übungen im Kontext des UP KRITIS sind vorrangig IT-Krisenszenarien, die Kritische Infrastrukturen betreffen, d.h. die auf IT-bedingten Ausfällen oder Einschränkungen Kritischer Infrastrukturen und deren kritischen Prozessen beruhen. Die Grundlage für das gemeinsame Üben im UP KRITIS bilden hierbei die gemeinsam erarbeiteten und vereinbarten Konzepte und Vorgehensweisen zum IT-Notfallund Krisenmanagement wie das bereits 2008 vorgestellte und 2014 fortgeschriebene Konzept Früherkennung und Bewältigung von IT-Krisen. Übungen des UP KRITIS überprüfen, ob die vereinbarten Kommu ni kationsbeziehungen aufgebaut und aufrechterhalten werden können und ob die gemeinsamen Krisenkommunikationsstrukturen und -prozesse effizient und effektiv funktionieren. Sie erlauben es, zu vermitteln, unter welchen Bedingungen eine Zusammenarbeit bei IT-Notfällen und Krisen sinnvoll und notwendig ist. Dabei bieten sie die Möglichkeit, den vorgesehenen kollaborativen Führungsprozess einschließlich der Abstimmung von Entscheidungen und Maßnahmen durchzuspielen. Außerdem können gegenseitige Abhängigkeiten (branchenund sektorübergreifend) der Organisationen im UP KRITIS und weiteres Potenzial für übergreifendes Handeln erkannt werden. Für jede gemeinsame Übung werden daher folgende Grundsätze vereinbart: Die Übung hat einen konkreten Auftrag aus einem Arbeitskreis oder dem Plenum des UP KRITIS. Der Durchführungsverantwortliche einer jeden Übung wird im TAK Übung vereinbart. Mögliche Aufträge sind das Bekanntmachen oder Überprüfen von Arbeitsergebnissen, das Erforschen von Anforderungen für ein weiteres Projekt im UP KRITIS oder regelmäßige Kommunikationsüberprüfungen.»» Diesem Auftrag folgend werden im TAK Übung wenige, konkrete Ziele vereinbart, ein Vorschlag für eine Übung (Übungsart, Dauer, erwarteter Vorbereitungsaufwand, erforderliche Vorbereitungszeit und sonstige Anforderungen an 8
9 Einleitung Ressourcen) erarbeitet und dabei auch eine Empfehlung für den Teilnehmerkreis zur Erreichung der erwarteten Übungsergebnisse ausgesprochen. Nach Diskussion im Plenum beginnt der Prozess der Vorbereitung, Durchführung und Auswertung der Übung. Außergewöhnliche Ereignisse oder der Wegfall wesentlicher Ressourcen können zur Unterbrechung oder zum Abbruch dieses Prozesses führen. Die Ergebnisse der Übung fließen zurück in den UP KRITIS und werden in den relevanten Gremien insbesondere den BAKs und TAKs angemessen berücksichtigt. Alle Beteiligten erhalten so Anregungen, um geeignete Strukturen, Kon zepte und Maßnahmen zur gemeinsamen IT-Notfallund Krisen bewältigung weiter zu entwickeln und zu verbessern. Die gegenseitigen Erwartungen der Teilnehmer aus dem UP KRITIS bei der IT-Notfall- und Krisenbewältigung werden offengelegt. Zeigt sich in der Übung, dass den Erwartungen nicht entsprochen wird, können daraus Schwachstellen bei der IT-Notfall- und Krisenbewältigung identifiziert werden. Bei den teilnehmenden Organisationen aus dem UP KRITIS wird das Bewusstsein für die Notwendigkeit einer übergreifenden Zusammenarbeit, für die gegenseitigen Abhängigkeiten, aber auch für die Notwendigkeit und den Nutzen von Übungen gestärkt. Sie fördern außerdem den Ausbau der vertrauensvollen Kommunikation zwischen den Organisationen im UP KRITIS und die Einführung neuer Teilnehmer in die etablierten Strukturen. 1.3 Anwenderkreis des Konzepts Das vorliegende Dokument wendet sich in erster Linie an folgende Anwender:»» Teilnehmer des UP KRITIS: Sie machen das Übungskonzept in den Institutionen und Unternehmen, denen sie angehören, bekannt und fördern die 9
10 Einleitung Bereitstellung der für die Teilnahme an Übungen notwendigen Ressourcen in ihren Institutionen und Unternehmen. Dies gilt insbesondere für die KRITIS-Ansprechpartner der Branchen (Single Points of Contact, kurz: SPOCs, oder Leiter bzw. Sprecher der Branchenarbeitskreise, kurz: BAKs). Die Leitungsebene in Unternehmen und Behörden, die Kritische Infrastrukturen betreiben, mit diesen zusammenarbeiten oder in deren Schutz involviert sind: Dieser Anwenderkreis sollte eine summarische Kenntnis des Zwecks und des Nutzens von IT-Notfall- und Krisenübungen im Rahmen des UP KRITIS erhalten, um die erforderlichen Ressourcen für die Mitwirkung an diesen Übungen zu bewilligen. Krisenstabsleiter und -mitglieder und weitere potenziell Verantwortliche: Sie sollten, soweit sie im Rahmen von Übungen im UP KRITIS betroffen sein können, Kenntnis dieses Konzepts haben. Dies ist auch sachdienlich im Hinblick auf mögliche Verzahnungen von KRITIS- und unternehmensinternen Übungen und der Verknüpfung mit bestehenden Übungen Dritter wie z. B. LÜKEX. Mit Aufgaben im Rahmen des KRITIS-Schutzes betraute Mitarbeiter im Bundesministerium des Innern und weiteren Ministerien sowie nachgeordneter Behörden (besonders im BSI, im BBK und in Aufsichts- und Regulierungsbehörden für Betreiber Kritischer Infrastrukturen): Sie sollten die Bedeutung von Übungen für die Förderung eines integrierten Krisenmanagements von öffentlicher Verwaltung und privatwirtschaftlich betriebenen Kritischen Infrastrukturen erkennen.»» Verantwortliche für das Planen und Durchführen übergreifender Übungen mit Cyber-Anteil und deutlichem KRITIS- Bezug, an denen der UP KRITIS teilnehmen kann. Ihnen soll das Konzept einen Rahmen für die Übungsvorbereitung und Durchführung bieten. 10
11 Einleitung Aufgabe der Mitglieder des TAK Übung ist dabei die Anwendung, Verbreitung und Pflege des vorliegenden Konzepts. Sie unterstützen die Schaffung geeigneter Rahmenbedingungen für Übungen, wirken an der konkreten Planung von Übungen mit und bringen relevante Erkenntnisse in die Arbeit des TAK Übung wie des UP KRITIS allgemein ein. Der TAK Übung ist Ansprechpartner für Cyber-Übungen und Öffentlich-Private KRITIS-Übungen. 11
12 12 2 Der Übungsprozess
13 Der Übungsprozess 2 Der Übungsprozess Planung, Durchführung und Auswertung einer Übung sowie die nachfolgende Umsetzung der Erkenntnisse lassen sich anhand des Prozesskreislaufs Plan Do Check Act beschreiben (siehe Abbildung 1). Mit dem vorliegenden Übungskonzept soll erreicht werden, dass die Planungsphase für jede Übung im UP KRITIS gut strukturiert und damit effizient erfolgen kann, dass aber auch bei Planung und Durchführung schon die weiteren Phasen der Auswertung und des Ableitens von Maßnahmen zur Umsetzung der Erkenntnisse geeignet berücksichtigt werden. So soll sichergestellt werden, dass Erkenntnisse erfasst und auch kommuniziert werden, und dass auf den Auftrag als Auslöser einer Übung auch klare, nutzbare Empfehlungen folgen. Damit soll das Instrument der Übungen im UP KRITIS so eingesetzt werden, dass einem angemessen geringen Aufwand ein möglichst hoher Nutzen für alle Beteiligten und für die Verbesserung der Zusammenarbeit gegenübersteht. Abbildung 1: Der Übungsprozess als P-D-C-A-Zyklus 13
14 Der Übungsprozess 2.1 Initialisierung: Auftrag, Zweck und Zielgruppe(n) Gemäß der in der Einleitung beschriebenen Grundsätze beginnt der Übungsprozess mit einem Auftrag. Dieser kann sich aus dem Übungsplan des UP KRITIS (siehe Anlagen) herleiten oder aus einem einmaligen konkreten Auftrag aus einem Arbeitskreis oder aus dem Plenum. Aus diesem Auftrag lassen sich in der Regel der Zweck sowie die Zielgruppe der Übung ableiten. Dabei ist zu beachten, dass möglichst nur ein klarer Zweck für eine konkrete Übung vereinbart wird. Typische Beispiele für den Zweck einer Übung im UP KRITIS und die zu adressierenden Zielgruppen sind in den Informationskästen angegeben. Möglicher Zweck einer Übung Überprüfen von Kontakten für das IT-Notfall- oder IT- Krisenmanagement Überprüfen eines Konzepts / Verfahrens aus dem UP KRITIS Testen / Überprüfen von Kommunikationsstrukturen in der Bewältigung von IT-Notfällen oder (drohenden) IT- Krisen Überprüfen der Prozesse im übergreifenden nationalen IT-Krisenmanagement / des Zusammenwirkens übergreifender und interner Prozesse. Mögliche Zielgruppen Plenum des UP KRITIS Branchenansprechpartner (SPOCs) und Branchenarbeitskreise Organisationen des UP KRITIS, konkret z. B. deren IT-Organisation oder CIO CERTs, IT-Sicherheitsorganisationen oder -Vertreter (CISO) 14
15 Der Übungsprozess Krisenmanagement oder Krisenstäbe BCM Sonstige Mitwirkende in Prozessen des UP KRITIS Anschließend folgt die Festlegung der Übungsart, falls nicht auch diese bereits mit dem Auftrag vorgegeben ist. 2.2 Übungsarten Je nach dem Zweck einer Übung können Inhalte und Form sehr unterschiedlich sein. Zuerst wird unterschieden, was in einer Übung passiert: Diskussionsorientierte Übungen behandeln auf theoretischer Ebene mögliche Verfahren, Planungen oder Konzepte für den IT-Krisenfall. Handlungsorientierte Übungen dienen dem realitätsnahen Ausprobieren, Einüben und Überprüfen von Verfahren, Plänen und Konzepten. Diskussionsorientierte Übungen werden üblicherweise in Form einer Planbesprechung oder Planübung angelegt. Für handlungsorientierte Übungen steht eine Reihe von Übungsarten zur Verfügung. Häufig werden im UP KRITIS von der Struktur her eher einfache Kommunikationsübungen wie die Überprüfung von Erreichbarkeiten oder Alarmierungsübungen durchgeführt. Es finden aber auch komplexere Übungen zu Themen der organisationsübergreifenden, kollaborativen Entscheidungsvorbereitung, -findung und -umsetzungssteuerung statt. Um ein möglichst gutes Übungsergebnis für alle Beteiligten zu erzielen, wird eine Übungsart ausgewählt, die dem Übungszweck entspricht, die Zielgruppe(n) bestmöglich adressiert und mit der sich die konkreten Übungsziele am effektivsten errei- 15
16 Der Übungsprozess chen lassen. Jede Übung sollte nur so komplex wie nötig und dabei so einfach und zielgerichtet wie möglich sein. Für nähere Details zu den im UP KRITIS vorrangig eingesetzten Übungsarten sei auf die Anlagen verwiesen. 2.3 Konkrete Ziele Übungen bieten nicht nur die Möglichkeit, Konzepte zu überprüfen und in Erinnerung zu bringen, sondern sie erlauben es auch, diese gezielt und schrittweise weiterzuentwickeln. Um den Reifegrad in der Zusammenarbeit im UP KRITIS zu reflektieren und alle Aspekte und Phasen des Krisenmanagements abzudecken, können Übungen auch gezielt bestimmte auch späte Phasen einer Krise betrachten und nicht nur wie üblich den Beginn einer Krise mit künstlich schnellem Aufwuchs abbilden. Entsprechend sollen für jede Übung wenige, klar definierte und für die vorgesehene(n) Zielgruppe(n) überzeugende Ziele festgelegt werden, die sich aus dem Auftrag zur Übung ableiten lassen und den Zweck der Übung unterstreichen. Beispiele für konkrete Übungsziele für Übungen im UP KRITIS sind: Stärken des Bewusstseins für die Notwendigkeit der übergreifenden Zusammenarbeit und die gegenseitigen Abhängigkeiten Durchspielen der Entscheidungsprozesse beim Übergang vom organisationsinternen zum übergreifenden Handeln beim Umgang mit IT Vorfällen mit dem Potenzial einer übergreifenden IT-Krise»» Durchspielen von Reaktionen auf IT-Notfälle und Krisen sowie Funktionsüberprüfung der dazu vorgesehenen übergreifenden Einrichtungen und Prozesse 16
17 Der Übungsprozess 2.4 Szenario-Auswahl Im nächsten Schritt ist ein geeignetes Szenario zu identifizieren. Hierzu kann auf Szenario-Sammlungen (die Anlagen enthalten eine Sammlung einfacher Szenarien) oder auf im Rahmen der Notfallplanung konkret entwickelte Szenarien aus Branchen oder Unternehmen zurückgegriffen werden. Daneben werden auch technische Entwicklungen sowie aktuelle Bedrohungsszenarien von querschnittlicher oder branchen- und sektorübergreifender Bedeutung Gegenstand von Übungen sein. 2.5 Ort, Zeitpunkt, sonstige Rahmenbedingungen Weiterhin sind Ort und Zeitpunkt der Übung und ggf. die erforderliche Übungsinfrastruktur festzulegen sowie Angaben dazu zu machen, ob weitere Rahmenbedingungen gelten: Ort: Handelt es sich um eine Übung, die nicht an den Arbeitsplätzen der Teilnehmer durchgeführt werden kann, dann muss für die Übung ein passender Ort verfügbar sein, an dem die Übung stattfinden kann. Vor Ort müssen genügend und ausreichend große Räume im benötigten Zeitraum zur Verfügung stehen, hierbei muss auch der Bedarf von Beobachtern und Planern mit berücksichtigt werden. Ggf. müssen technische Voraussetzungen erfüllt werden wie Strom-, Rechnernetz- oder Projektoranschlüsse. Je nach Übungsart kann auch Handyempfang notwendig sein. Zeitpunkt und Dauer der Übung: Es ist festzulegen, wann die Übung stattfinden und wie lagen sie dauern soll.»» Übungssystem: Falls die Übung IT-unterstützt ablaufen soll, wird ein entsprechendes Übungssystem benötigt. Alle Beteiligten müssen mit dem System umgehen können. Für einen reibungslosen Ablauf muss das System während der Übung verfügbar sein. Es ist zu prüfen, wer im Verlauf der Übung Zugriff auf das System haben muss. Auch muss der Umgang mit dem System geübt werden, hierzu ist evtl. eine Vorübung sinnvoll. 17
18 Der Übungsprozess Weitere Rahmenbedingungen: Die Teilnehmer an einer Übung müssen rechtzeitig am Übungsort anwesend sein. Ggf. müssen Übernachtungen gebucht werden. Die Verpflegung am Übungsort während der Übung muss organisiert sein. 2.6 Grobkonzept zur Freigabe einer Übung Die damit festgelegten Rahmenbedingungen Zweck der Übung, Zielgruppe, Art der Übung, konkrete Ziele, die Szenario-Idee (soweit erforderlich) und die identifizierten weiteren Rahmenbedingungen werden in einem Grobkonzept für die Übung zusammengefasst (Gliederungsvorschläge oder Vorlagen für ein Grobkonzept sind über die Anlagen verfügbar). Darüber hinaus enthält das Grobkonzept einen Meilensteinplan für alle weiteren Schritte zur Feinplanung, Durchführung und Auswertung der Übung. Der Meilensteinplan kann dabei auch Angaben enthalten, ob und wie ein Dienstleister bei der Feinplanung der Übung und ggf. bei der Durchführung und Auswertung herangezogen werden soll. Das Grobkonzept wird dem Plenum durch den TAK Übung zur Diskussion und Freigabe vorgelegt. Übungen werden vom TAK Übung nur dann durchgeführt, wenn auch die erforderlichen finanziellen und personellen Ressourcen zur Verfügung stehen. 2.7 Teilnehmer Der erwartete Teilnehmerkreis (Ebene, ggf. fachlicher Hintergrund) wird für alle Übungen im UP KRITIS gemeinsam mit den Übungszielen und dem Ausgangsszenario im Grobkonzept festgelegt und in der Einladung zur Übung kommuniziert. Die Teilnahme an KRITIS-Übungen ist freiwillig. Die Organisationen im UP KRITIS entscheiden bei jeder geplanten Übung selbst, ob und in welchem Rahmen sie sich beteiligen. Auf Einladungen zu einer Übung ist innerhalb der angegebenen Frist zu antworten. Eine Zusage zur Teilnahme entsprechend der in der Einladung genannten Möglichkeiten ist dann verbindlich. 18
19 Der Übungsprozess Dadurch wird eine effektive Übungsvorbereitung und durchführung gewährleistet und die Voraussetzung geschaffen, aussagefähige Erkenntnisse für die Zusammenarbeit im UP KRITIS aus der Übung zu gewinnen. Mit der Zusage zur Teilnahme an der Übung bestätigen Mitglieder des UP KRITIS außerdem, über ein allgemeines Wissen über die festgelegten Strukturen und Verfahren im Krisen fall sowohl in ihrer eigenen Organisation als auch im UP KRITIS zu verfügen. Falls in der Einladung weitere Voraussetzungen genannt sind, werden auch diese mit der Zusage bestätigt. 2.8 Feinplanung Mit der Freigabe des Grobkonzepts sind alle wesentlichen Eckdaten der Übung festgelegt. Die Feinplanung kann umfangreiche Ressourcen erfordern, die ebenfalls im Grobkonzept adressiert und mit seiner Freigabe verfügbar sein sollten. Je nach Art der Übung ist der nächste Schritt die Einladung der vorgesehenen Zielgruppe(n) zur Teilnahme an der Übung. Dabei wird ggf. die Teilnahme in verschiedenen Rollen angefragt (z. B. eigentliche Übende, Beobachter, Rahmenleitungsgruppe etc., siehe Rollenbeschreibungen in den Anlagen). Da die Feinplanung ggf. auf die konkreten Übungsteilnehmer eingehen muss, kann der Termin zur verbindlichen Zu- oder Absage deutlich vor dem eigentlichen Übungstermin liegen. Dadurch erhalten die teilnehmenden Organisationen aber auch hinreichend Vorlauf, um die Teilnahme der richtigen Personen ermöglichen zu können. Die eigentliche Feinplanung hängt von der Art der Übung und vielen weiteren, im Grobkonzept festgelegten Rahmenbedingungen ab. Sie wird in der Regel die schrittweise Ausgestaltung des Szenarios zu einem detaillierten Drehbuch und die organisatorische Vorbereitung der Übung umfassen. Ferner wird ein Auswertekonzept erstellt, das durch die Erstellung von Hilfsmitteln wie ggf. Checklisten für die Beobachter und die Protokollanten während der Übung ergänzt werden kann. Es bildet die Grundlage für eine effektive, an den Übungszielen ausge- 19
20 Der Übungsprozess richtete Auswertung im Anschluss an die Übung. Hilfsmittel werden in den Anlagen bereitgestellt. 2.9 Durchführung Die Übung wird am vereinbarten Zeitpunkt bzw. im vereinbarten Zeitraum gemäß Feinplanung durchgeführt. Details zum Übungsablauf werden wie in der Feinplanung vorgesehen erfasst. Je nach Übungsart kann im unmittelbaren Anschluss an die Übung eine Runde für eine Sofortauswertung und / oder als Feedback-Möglichkeit gegenüber dem Planungs- und Durchführungsteam erfolgen. Ggf. können auch Fragebögen an die an der Übung Beteiligten ausgegeben werden Auswertung Die Auswertung der Übung ist auf den Zweck der Übung und die vereinbarten Übungsziele ausgerichtet. Sie basiert auf allen während der Übung zu diesem Zweck gewonnen Informationen. Sofern aus diesen Informationen Erkenntnisse für die Verbesserung der Zusammenarbeit zwischen den potenziell Beteiligten abgeleitet werden können, werden diese im Auswertebericht deutlich aufgeführt. Soweit sinnvoll und möglich, werden auch konkrete Umsetzungsvorschläge formuliert. Insbesondere diese Ergebnisse sollten dem Plenum des UP KRITIS vorgestellt werden. Hilfreich ist eine managementtaugliche Darstellung der Ergebnisse (z. B. als Folienvortrag), die den Teilnehmern zur Verfügung gestellt wird. Die Ergebnisse der Auswertung stehen allen Übungsteilnehmern, dem TAK Übung sowie dem Plenum des UP KRITIS zur Verfügung. Sie sollten möglichst auch allen Teilnehmern des UP KRITIS verfügbar gemacht werden. Je nach Art und Stellenwert der Übung sind außerdem eine Pressemitteilung und ggf. eine Zusammenfassung des Berichts als Veröffentlichung möglich. 20
21 3 Erkenntnisse aus Übungen nutzen 21
22 Erkenntnisse aus Übungen nutzen 3 Erkenntnisse aus Übungen nutzen Der im Angelsächsischen verwendete Begriff Lessons Learned gibt die Zielrichtung dieses Kapitels vor: Wie können aus Übungen Erkenntnisse nicht nur gewonnen, sondern auch konkrete Maßnahmen abgeleitet und umgesetzt werden. Nur wenn die Ergebnisse aus einer Übung in den Organisationen genutzt werden und in der Übung identifizierte Schwächen beseitigt werden, war der Aufwand für die Durchführung der Übung gerechtfertigt. Alle Teilnehmer des UP KRITIS sollten daher die Erkenntnisse und Umsetzungsvorschläge aus der Übungsauswertung daraufhin prüfen, wie sie in der eigenen Organisation umgesetzt werden können und diese Umsetzung vorantreiben. 3.1 Gewinnen von Erkenntnissen Durch den in Kapitel 2 beschriebenen Übungsprozess im UP KRITIS ist der Weg vorgezeichnet, um inhaltliche Erkenntnisse aus der Übung gemäß Auftrag direkt in die beteiligten Organisationen und in die Arbeit des UP KRITIS zurückfließen zu lassen. Die Gewinnung dieser Erkenntnisse hängt von den Zielen der Übung, der gewählten Übungsart und der Komplexität der Übung ab. Bei einfachen Übungen genügt häufig eine einfache Auswertung durch die Übungssteuerung. Dies gilt insbesondere bei sich regelmäßig wiederholenden Übungen wie den Kommunikationsüberprüfungen im UP KRITIS. Darüber hinaus können folgende Mittel zur Gewinnung dieser Erkenntnisse zum Einsatz kommen: 22
23 Erkenntnisse aus Übungen nutzen Protokollierung (z. B. im Rahmen der Übungssteuerung oder als eigene Aufgabe) Übungsbeobachtung (bei dezentralen Übungen: mindestens ein Beobachter an jedem Übungsort) Fragebögen (unmittelbar nach der Übung an die Übungssteuerung, innerhalb einer Frist schriftlich an das Nachbereitungsteam oder ggf. als webgestützte Befragung, evtl. auch per Interview) Nachbesprechungen Unmittelbar nach der Übung ( hot wash ), bei dezentralen Übungen lokal an jedem Übungsort und / oder als Telefonkonferenz oder Webmeeting In zeitlicher Nähe zur Übung mit Übungsteilnehmern aller beteiligten Organisationen (neben Beobachtern und Übungssteuerung sollten auch Spieler hinzugezogen werden) Für Übungen im UP KRITIS wird im Rahmen der Feinplanung ein Auswertekonzept erstellt, in dem die zu wählenden Mittel festgelegt werden und das auch die aus der Auswertung zu erstellenden Produkte (wie Bericht, Präsentation, Empfehlungssammlung u. ä.) definiert. 3.2 Produkte Als Produkte einer Übung sind mindestens ein Übungsbericht und eine managementtaugliche Folienpräsentation vorgesehen:»» Der Übungsbericht enthält neben einer Managementzusammenfassung alle Details zur abgehaltenen Übung, dies sind neben einer Beschreibung der Übung und des Szenarios der Übungsablauf und die Erkenntnisse aus der Übung. Wichtigstes Element ist die Aufarbeitung der Ergebnisse (z. B. in Maßnahmenempfehlungen), damit diese in den beteiligten 23
24 Erkenntnisse aus Übungen nutzen Organisationen zur Beseitigung der identifizierten Schwächen genutzt werden können Eine Folienpräsentation über die Übungsergebnisse hilft bei der Umsetzung der empfohlenen Maßnahmen. Evtl. sind eine managementtaugliche Fassung und eine Fassung für die betroffenen Bereiche in den Organisationen (z. B. BCM, ITSCM oder Krisenmanagement) sinnvoll 3.3 Verfügbarkeit der Übungsmaterialien Im UP KRITIS erstellte Übungsmaterialien werden geeignet zur Verfügung gestellt: Durchgeführte Übungen: Das Feinkonzept in der durch das Plenum freigegebenen Fassung nach Durchführung der Übung, weitere Unterlagen wie das Drehbuch oder bei toolgestützten Übungen ein geeigneter Drehbuchauszug (mindestens für alle Übungsteilnehmer) Vorgeschlagene, aber nicht durchgeführte Übungen: das vorgelegte Übungskonzept, sofern das Plenum dies nicht begründet ablehnt Diese Informationen gehen, sofern sie offen zugänglich sein sollen, in die Anlagen ein. Ansonsten werden sie vom TAK Übung verwaltet und den Organisationen im UP KRITIS zugänglich gemacht. Damit entsteht eine Sammlung an Übungsentwürfen und Szenario-Ideen, die auch für organisationsinterne Übungen weiterverwendet werden können. 3.4 Erkenntnisse aus Übungen Dritter Auswertungen von Übungen, an denen der UP KRITIS nicht teilgenommen hat, sollten daraufhin analysiert werden, in wie weit deren Ergebnisse zur Verbesserung von Prozessen im UP KRITIS oder bei den teilnehmenden Organisationen eingesetzt werden können. Eine solche Auswertung kann im Themenarbeitskreis Übung erfolgen. Ggf. kann eine Maßnah- 24
25 Erkenntnisse aus Übungen nutzen mensammlung für Teilnehmer erstellt werden, die auf den Ergebnissen eines Auswerteberichts basiert. 3.5 Verbesserung des Übungsprozesses Neben den Erkenntnissen zur Verbesserung der beübten Prozesse sollte in der Übungsnachbereitung auch der Verbesserungsbedarf bei der Übungsvorbereitung und -durchführung identifiziert werden. Auch dieser muss dokumentiert werden, damit bei der Planung zukünftiger Übungen auf die bereits gemachten Erfahrungen zurückgegriffen werden kann. Sinnvollerweise sollten diese Erkenntnisse im Übungsbericht in einem eigenen Unterkapitel dokumentiert werden. 25
26 26 4 Anlagen zu diesem Übungskonzept
27 Anlagen zu diesem Übungskonzept 4 Anlagen zu diesem Übungskonzept Diesem Konzept wird ein eigenständiger Anlagenteil beigestellt. Er enthält insbesondere: die Beschreibung der Arten von Übungen, die im UP KRITIS vorrangig durchgeführt werden, die Festlegung der Rollen in Übungen des UP KRITIS, die Darstellung der Grundlagenszenarien, die Konzepte aus dem UP KRITIS, die Gegenstand von Übungen sein könnten, und die Beschreibung von Hilfsmitteln für die Planung von Übungen. Ein Übungsplan setzt den zeitlichen Rahmen für die Durchführung verschiedener Übungen in der Umsetzung des vorliegenden Konzeptes. Weiter werden konkrete Erkenntnisse aus bereits durchgeführten Übungen vorgestellt. Der Anlagenteil wird durch den TAK regelmäßig überprüft und soweit erforderlich aktualisiert bzw. erweitert. 27
28 28 5 Abkürzungen
29 Abkürzungen 5 Abkürzungen BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BCM Business Continuity Management (Aufrechterhaltung der Geschäftsprozesse) BMI Bundesministerium des Innern BSI Bundesamt für Sicherheit in der Informationstechnik IKT IT ITSCM KRITIS Informations- und Kommunikationstechnik Informationstechnik IT Service Continuity Management Kritische Infrastrukturen NPSI Nationaler Plan zum Schutz der Informationsinfrastrukturen SPOC TAK UP KRITIS Single Point of Contact Themenarbeitskreis Eigenname, Initiative zur Zusammenarbeit von Wirtschaft und Staat zum Schutz Kritischer Infrastrukturen in Deutschland (ursprünglich: Abkürzung für Umsetzungsplan KRITIS ) 29
30 30 6 Literatur
31 Literatur 6 Literatur Bundesministerium des Innern (Hrsg.): Nationale Strategie zum Schutz Kritischer Infrastrukturen. Berlin, 2009 Geschäftsstelle des UP KRITIS (Hrsg.) UP KRITIS Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen Bonn, 2014 Bundesministerium des Innern (Hrsg.): IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Berlin, 2008 Bundesministerium des Innern (Hrsg.): Anlagen zum Konzept IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Berlin, 2008»» Geschäftsstelle des UP KRITIS (Hrsg.) Früherkennung und Bewältigung von IT-Krisen (2. Auflage) Bonn,
32 Notizen 32
33 NotizeN 33
34 Notizen 34
35 Impressum Herausgeber Geschäftsstelle des UP KRITIS Bezugsquelle Bundesamt für Sicherheit in der Informationstechnik Geschäftsstelle UP KRITIS Godesberger Allee Bonn Internet: Telefon: +49 (0) Telefax: +49 (0) Stand 2014 Druck Druck- und Verlagshaus Zarbock GmbH & Co. KG Sontraer Straße Frankfurt am Main Internet: Texte und Redaktion UP KRITIS Themenarbeitskreis Übung Diese Broschüre ist Teil der Öffentlichkeitsarbeit des BSI; sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.
36
Aktuelles zu Kritischen Infrastrukturen
Aktuelles zu Kritischen Infrastrukturen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision GI SECMGT Workshop, 2011-06-10
MehrInterne Strukturen des DRK
Interne Strukturen des DRK Der DRK Planungsstab Risiko- und Krisenkommunikation Der DRK Planungsstab - Der Katastrophenschutzbeauftragte bildet einen Planungsstab zur Vorbereitung der Maßnahmen der Krisenbewältigung
MehrEVITA stellt sich vor Dialog und Kennenlernen der Akkreditierungsstelle
EVITA stellt sich vor Dialog und Kennenlernen der Akkreditierungsstelle Dialog und Kennenlernen der Akkreditierungsstelle Inhalt 1 2 3 4 5 6 Begrüßung und Ziele Hintergrund zur Einführung einer externen
MehrFragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan)
Fragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan) Der Fragenkatalog deckt die Schritte sieben bis neun ab, die in den Leitlinien zur Verbesserung von Organisationen
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrIT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015
IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus
MehrLissabonner Erklärung zur Gesundheit am Arbeitsplatz in kleinen und mittleren Unternehmen KMU (2001)
Lissabonner Erklärung zur Gesundheit am Arbeitsplatz in kleinen und mittleren Unternehmen KMU (2001) Diese Erklärung wurde vom ENBGF auf dem Netzwerktreffen am 16. Juni 2001 verabschiedet und auf der anschließenden
MehrIT-Sicherheitsgesetz: Haben Sie was zu melden?
https://klardenker.kpmg.de/it-sicherheitsgesetz-haben-sie-was-zu-melden/ IT-Sicherheitsgesetz: Haben Sie was zu melden? KEYFACTS - Sicherheit als Gütesiegel - Reputationsschäden werden unterschätzt - Cyberangriffe
MehrQualitätsmanagement nach DIN EN ISO 9000ff
Qualitätsmanagement nach DIN EN ISO 9000ff Die Qualität von Produkten und Dienstleistungen ist ein wesentlicher Wettbewerbsfaktor. Soll dauerhaft Qualität geliefert werden, ist die Organisation von Arbeitsabläufen
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/1776 24.07.2014 Mitteilung zur Kenntnisnahme Stärkung der IT-Sicherheit bei den Behörden des Landes Berlin Drucksache 17/1526 und Schlussbericht Abgeordnetenhaus von Berlin
MehrDE 098/2008. IT- Sicherheitsleitlinie
DE 098/2008 IT- Sicherheitsleitlinie Chemnitz, 12. November 2008 Inhalt 1 Zweck der IT-Sicherheitsrichtlinie...2 2 Verantwortung für IT- Sicherheit...2 3 Sicherheitsziele und Sicherheitsniveau...3 4 IT-Sicherheitsmanagement...3
MehrDas Basis-Krisenkonzept des Zürcher Kantonalverbands für Sport
Das Basis-Krisenkonzept des Zürcher Kantonalverbands für Sport Die Risiken sind vielfältig Unfälle menschliche Fehler Naturgewalten unglückliche Verkettungen von Zufällen vorsätzliche Delikte u.v.a.m.
MehrDas IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert
Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert 6. Essener Gespräche zur Infrastruktur, 10. März 2016 Das IT-Sicherheitsgesetz Ergänzung BSI-Gesetz und mehrerer
MehrQS 1 QS-Initialisierung. QS 3 Ergebnisprüfung vorbereiten. QS 4 Ergebnis prüfen. Prüfprotokoll. QS 5 Durchführungsentscheidung
8 Qualitätssicherung 8.1 Übersicht projektübergreifende Ebene QM-Handbuch QM-Richtlinien Planungsebene Projekthandbuch Projektplan QS 1 QS-Initialisierung Prüfplan QS-Plan Ausführungsebene Ergebnisse aus
MehrDer Eurobetriebsrat optimiert seine Arbeitsbedingungen
Der Eurobetriebsrat optimiert seine Arbeitsbedingungen Das europäische Projekt IN.CON.PAR_able stellt seine Ergebnisse vor Hamburg, 14./15.10.2008 Das Projekt ist co-finanziert von der EU Projektträger
MehrGesetzestext (Vorschlag für die Verankerung eines Artikels in der Bundesverfassung)
Gesetzestext (Vorschlag für die Verankerung eines Artikels in der Bundesverfassung) Recht auf Bildung Jeder Mensch hat das Recht auf Bildung. Bildung soll auf die volle Entfaltung der Persönlichkeit, der
MehrZuordnung der Anforderungen der DIN EN ISO 9001:2015 im QMS-Reha
4. Kontext der Organisation Zuordnung der Anforderungen der DIN EN ISO 9001:2015 im QMS-Reha 4.1 Verstehen der Organisation und ihres Kontextes 4.2 Verstehen der Erfordernisse und Erwartungen interessierter
Mehr60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B
338 60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B 60.0 Die IT-Sicherheitsvorschriften des Bundesverteidigungsministeriums sind nicht aktuell. Seine dem Parlament im Jahr 2006
MehrArbeitsvorlage Einstellungsgespräch planen und durchführen
Arbeitsvorlage Einstellungsgespräch planen und durchführen Das Einstellungsgespräch oder Einstellinterview ist das wichtigste und am häufigsten genutzte Auswahlverfahren bei der und der Besetzung einer
MehrDie Neuerungen bei den Anforderungen nach dem DStV-Qualitätssiegel. Anforderungen nach dem DStV-Qualitätssiegel
Die Neuerungen bei den Anforderungen nach dem DStV-Qualitätssiegel Anforderungen nach dem DStV-Qualitätssiegel Neuerungen bei den Anforderungen des DStV-Qualitätssiegels aufgrund der neuen DIN EN ISO 9001:2015
MehrZielvereinbarungsgespräche im
Zielvereinbarungsgespräche im Warum sind die Zielvereinbarungsgespräche ein Projekt in der Qualitätsverbesserungsphase geworden? Gleich lautendes Ergebnis in unterschiedlichen Arbeitsgruppen in der Profilerhebungsphase
Mehr2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen
Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern
MehrTeil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.
Teil 1: Neues Obligationenrecht Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec. HSG Überblick Neue gesetzliche Bestimmungen Mögliche Auslegung
MehrMDK-Prüfung. Formular zur Bewertung von MDK- Prüfungen
Seite 1 von 14 Unser Ziel ist es, konkret die Praxis der MDK-Prüfung sowie die Bewertung und Umsetzung der Transparenzvereinbarung zu analysieren. Wir möchten in Ihrem Interesse auf Grundlage objektivierter
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/0811 04.02.2013 Mitteilung zur Kenntnisnahme Elektronische Signatur Drucksache 17/0400 (II.A.14.3 e) und Schlussbericht Abgeordnetenhaus von Berlin 17. Wahlperiode Seite 2
MehrVorschlag der Bundesregierung
Vorschlag der Bundesregierung für eine neue Fassung von Artikel 38 (Verhaltensregeln) und für einen neuen Artikel 38a (Einrichtungen der Freiwilligen Selbstkontrolle) der Datenschutz-Grundverordnung (Entwurf)
MehrAnalyse des Betriebszustandes der ZKS-Abfall. Empfehlungen für den zukünftigen Betrieb
Analyse des Betriebszustandes der ZKS-Abfall Empfehlungen für den zukünftigen Betrieb Stand: 21. März 2011 Neutrale Prüfung der ZKS-Abfall Nachdem die ZKS-Abfall ab 1. April 2010, dem Inkrafttreten der
MehrBereitstellung von Planungswissen über ein Unternehmens-Wiki
Anwendung von Wissensmanagement in KMU Bereitstellung von Planungswissen über ein Unternehmens-Wiki 1 Unternehmen Firma: Firmensitz: Branche: WALLUSZEK GmbH Uttmannstraße 15, 01591 Riesa Mess- und Regeltechnik/Gebäudeleittechnik
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24
MehrKonzeptionsentwicklung. Waldemar Stange
Konzeptionsentwicklung Waldemar Stange Kategorisierung von Konzepten Entwicklungsimpuls Konzeptionsart Abstraktionsgrad von innen - - Selbst von außen Selbstvergewisser-ungspapier / Steuer-ungsinstrument
MehrAbschlussprüfung «Berufspraxis - mündlich» für Kaufleute der Ausbildungs- und Prüfungsbranche Dienstleistung und Administration (D&A)
Abschlussprüfung «Berufspraxis - mündlich» für Kaufleute der Ausbildungs- und Prüfungsbranche Dienstleistung und Administration (D&A) Informationsblatt für Lernende Dieses Informationsblatt ergänzt und
Mehr1 GELTUNGSBEREICH UND ZWECK 2 MITGELTENDE DOKUMENTE 3 VERWENDETE ABKÜRZUNGEN 4 VERANTWORTLICHE/R DES QM-DOKUMENTS
gültig ab: 5.5.2009 Version 01 Seite 1 von 5 1 GELTUNGSBEREICH UND ZWECK Die gegenständliche Prozessbeschreibung regelt den Ablauf und die Zuständigkeiten für die Planung, Durchführung und Dokumentation
MehrProjektentwicklung mit dem. Logical Framework Approach
Projektentwicklung mit dem Logical Framework Approach Jens Herrmann, 06/2014 Der Logical Framework Approach Der Logical Framework Ansatz ist ein Werkzeug zur Erstellung, Monitoring und der Evaluation von
MehrMassnahmenkatalog zur Cloud Computing Strategie der Schweizer Behörden
Massnahmenkatalog zur Cloud Computing Strategie der Schweizer Behörden 2012-2020 25. Oktober 2012 Inhaltsverzeichnis 1 Einleitung... 3 2 Stossrichtung S1/Teil 1 - Schrittweiser Einsatz von Cloud-Diensten...
MehrInformationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation
Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Bundesamt für Sicherheit in der Informationstechnik Claudia Großer 31. Forum Kommunikation
MehrNeue Wege im Betrieblichen Eingliederungsmanagement
Marianne Giesert, Anja Liebrich, Tobias Reuter, Diana Reiter Neue Wege im Betrieblichen Eingliederungsmanagement Arbeits- und Beschäftigungsfähigkeit wiederherstellen, erhalten und fördern Aktive Gestaltung
MehrMedien als Bestandteil! der kritischen Infrastruktur! Yitzhak Lifshitz, Direktor Konzernsicherheit Axel Springer SE Danzig,
als Bestandteil! der kritischen Infrastruktur! Yitzhak Lifshitz, Direktor Konzernsicherheit Axel Springer SE Danzig, 06.05.2015 Agenda! Umsetzungsplan Kritis in Deutschland Definition (Einordnung in Deutschland)
MehrLeitfaden zur Elternarbeit zwischen den kommunalen Kindertageseinrichtungen des Eigenbetriebes Kindertageseinrichtungen Dresden und den Eltern
Leitfaden zur Elternarbeit zwischen den kommunalen Kindertageseinrichtungen des Eigenbetriebes Kindertageseinrichtungen Dresden und den Eltern Präambel Eltern und Erzieher tragen eine gemeinsame Verantwortung
MehrBSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath
BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das
MehrMerkblatt Qualitätsnachweis
Merkblatt Qualitätsnachweis 0 Merkblatt zum Qualitätsnachweis 2 Merkblatt zum Nachweis eines Qualitätssicherungssystems eines Beraters oder einer Beraterin Um die Qualität von geförderten Beratungen zu
MehrBeratendende Gruppe Standardisierung. Aufgaben und Leitlinien (ENTWURF)
Beratendende Gruppe Standardisierung Aufgaben und Leitlinien (ENTWURF) Januar 2012 06.06.2012 Schwarzenburgstrasse 165, CH-3097 Liebefeld www.e-health-suisse.ch Inhaltsverzeichnis 1 Einführung / Kontext
MehrLeitlinie für die Informationssicherheit
Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor
MehrIII. A Sichere Einrichtung der Betriebsstätte
III. A Sichere Einrichtung der Betriebsstätte III. A1 Gefährdungsbeurteilung (GeBu) Zusammenfassung Verpflichtung des Arbeitgebers, alle potenziellen Gefährdungen im Betrieb zu ermitteln und zu dokumentieren
MehrFragenkatalog 1 CAF-Gütesiegel - Fragenkatalog für die Selbstbewertung
Fragenkatalog 1 CAF-Gütesiegel - Fragenkatalog für die Selbstbewertung Der Fragebogen deckt die ersten sechs der zehn Schritte ab, die in den Leitlinien zum Verbessern von Organisationen mit dem CAF des
MehrHinweise zur Einschätzung der Qualität schulischer Prozesse
Hinweise zur Einschätzung der Qualität schulischer Prozesse Stand Dezember 2014 Im weiterentwickelten Inspektionsverfahren stehen die schulischen Prozesse im Fokus. Zum Entwicklungsstand dieser Prozesse
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrKommentiertes Beispiel für eine Unterrichtseinheit nach dem Unterrichtsprinzip Berufssprache Deutsch
Kommentiertes Beispiel für eine Unterrichtseinheit nach dem Unterrichtsprinzip Berufssprache Deutsch Grundlegende Informationen zur Unterrichtseinheit: Beruf: Schuljahr: Lernfeld: Thema: Richtig trinken
MehrFACHHOCHSCHULE FURTWANGEN HOCHSCHULE FÜR TECHNIK UND WIRTSCHAFT
FACHHOCHSCHULE FURTWANGEN HOCHSCHULE FÜR TECHNIK UND WIRTSCHAFT Satzung der Fachhochschule Furtwangen - Hochschule für Technik und Wirtschaft - zur Einführung eines Qualitätsmanagementsystems Vom 30. Oktober
MehrEskalationsstufenmodell Lieferant Containment beim Lieferant
1 Containment-Festlegungen... 2 1.1 Wesentlich Schritte des Containment-Verfahrens... 3 1.2 Containment Stufe I... 3 1.2.1 Containment Stufe I beschließen... 3 1.2.2 Beendigung Containment Level I... 4
MehrMarketingkonzeption zur Umsetzung von Projekten in den Landes Kanu- Verbänden und Vereinen im Freizeitund Kanuwandersport
Marketingkonzeption zur Umsetzung von Projekten in den Landes Kanu- Verbänden und Vereinen im Freizeitund Kanuwandersport DKV-Verbandsausschuss, Mainz, 17.11.2007 Hermann Thiebes DKV-Vizepräsident Freizeit-
Mehr2 Geschäftsprozesse realisieren
2 Geschäftsprozesse realisieren auf fünf Ebenen Modelle sind vereinfachte Abbilder der Realität und helfen, Zusammenhänge einfach und verständlich darzustellen. Das bekannteste Prozess-Modell ist das Drei-Ebenen-Modell.
MehrNotfalls- und Krisenmanagements im Unternehmen AEVG
Grundlegendes Konzept zur Implementierung eines Notfalls- und Krisenmanagements im Unternehmen AEVG Mag. Richard Trampusch Managementbeauftragter der AEVG erarbeitet in Zusammenarbeit mit Fa. Infraprotect
MehrHausaufgabenkonzept. Schule und Hort ElisabethenHeim. Stand Juli ElisabethenHeim l Bohnesmühlgasse 16 l Würzburg l
Schule und Hort ElisabethenHeim Stand Juli 2014 1. VORWORT... 1 2. ZIELE UND GRUNDSÄTZE... 1 3. STRUKTUR... 2 4. FESTLEGUNG DER AUFGABEN DER BETEILIGTEN... 2 4.1 Schulkind... 2 4.2 Lehrkraft... 3 4.3 Hort...
MehrDie Organisation der Organisation Überlegungen zur Einführung von Case Management aus Sicht der Organisationsentwicklung
Die Organisation der Organisation Überlegungen zur Einführung von Case Management aus Sicht der Organisationsentwicklung Prof. (FH) Roland Woodtly Hochschule Luzern Soziale Arbeit Einführung von Case Management
Mehr16. Roma Dialogplattform des Bundeskanzleramts ESF- Projekt Curriculum für Schlüsselkräfte im Bereich Roma Empowerment Bundeskanzleramt 28.
16. Roma Dialogplattform des Bundeskanzleramts ESF- Projekt Curriculum für Schlüsselkräfte im Bereich Roma Empowerment Bundeskanzleramt 28. April 2016 Nationale Roma Kontaktstelle: Dr. in Susanne Pfanner
MehrErgebnisse der Befragung von Schulen zur Umsetzung von Maßnahmen der Personalentwicklung
Ergebnisse der Befragung von Schulen zur Umsetzung von Maßnahmen der Personalentwicklung Im Zeitraum von November 2005 bis zum Februar 2006 erfolgte eine anonyme Schulleiterinnen- und Schulleiterbefragung
MehrCompliance-Management-Systeme. Dr. Hady Fink, Greenlight Consulting Compliance Circle München, 13.09.2012
Compliance-Management-Systeme nach IDW PS 980 Dr. Hady Fink, Greenlight Consulting Compliance Circle München, 13.09.2012 Agenda 1. Einleitung 2. Grundelemente eines CMS 3. Haftungsrechtliche Relevanz 4
MehrRichtlinien für die öffentliche Anerkennung als Träger der freien Jugendhilfe durch den Landkreis Prignitz
Richtlinien für die öffentliche Anerkennung als Träger der freien Jugendhilfe durch den Landkreis Prignitz (Beschluss des Jugendhilfeausschusses vom 07.07.2014) des Landkreises Prignitz Geschäftsbereich
MehrGemeinsame internationale Übung Cyber Europe 2012 mit Behörden, Banken und Internetdienstleistern
Deutscher Bundestag Drucksache 17/11341 17. Wahlperiode 07. 11. 2012 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Herbert Behrens, Ulla Jelpke, weiterer Abgeordneter
MehrKonzept-, Struktur-, Prozess- und Ergebnisqualität
Konzept-, Struktur-, Prozess- und Ergebnisqualität PD Dr. Rainer Strobl Universität Hildesheim Institut für Sozialwissenschaften & proval Gesellschaft für sozialwissenschaftliche Analyse, Beratung und
MehrGemeinsame Stellungnahme
Gemeinsame Stellungnahme zur Umsetzung der INSPIRE-Richtlinie in Deutschland und zu dem Entwurf Handlungsempfehlungen für VU und GDI-Kontaktstellen der GDI-DE Datenoffenlegung für die Infrastrukturen Energie,
MehrHinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrWie geht es weiter mit den Pflege-Qualitätsprüfungen? Alternative Bewertungskriterien: Ergebnisqualität
Fachtagung der BIVA Was kommt nach den Pflegenoten? Frankfurt, 1. Juli 2015 Wie geht es weiter mit den Pflege-Qualitätsprüfungen? Alternative Bewertungskriterien: Ergebnisqualität Klaus Wingenfeld Institut
MehrUMSETZUNGSRAHMENWERK ZUR ETABLIERUNG EINES NOTFALL- MANAGEMENTS
UMSETZUNGSRAHMENWERK ZUR ETABLIERUNG EINES NOTFALL- MANAGEMENTS Robert Kallwies, Managing Consultant 1 AGENDA AGENDA 1 Notfallmanagement nach BSI-Standard 100-4 2 Das Umsetzungsrahmenwerk zum BSI- Standard
MehrSchulsozialarbeit heute Herausforderungen und Gelingensbedingungen
Schulsozialarbeit heute Herausforderungen und Gelingensbedingungen Workshop 26. Januar 2016 Impressum Herausgeber Kreis Borken Der Landrat Bildungsbüro Burloer Straße 93; 46325 Borken Redaktion Anne Rolvering,
MehrBetriebliches Gesundheitsmanagement, Einführung BGM/BGM-Prozess
TK Lexikon Arbeitsrecht Betriebliches Gesundheitsmanagement, Einführung BGM/BGM-Prozess Betriebliches Gesundheitsmanagement, Einführung BGM/BGM-Prozess HI7191760 Kurzbeschreibung HI7191760.1 Zusammenstellung
MehrZertifizierung gemäß ISO/IEC 27001
Zertifizierung gemäß ISO/IEC 27001 Einleitung ISO/IEC 27001 ist der internationale Standard für Informationssicherheit. Er behandelt Anforderungen an ein Informationssicherheits-Managementsystem. Dadurch
MehrMögliche Fragen zur Vorbereitung auf das KFG aus Sicht der Mitarbeiterin/des Mitarbeiters
Fragenkatalog für das Kooperationsund Fördergespräch Mögliche Fragen zur Vorbereitung auf das KFG aus Sicht der Mitarbeiterin/des Mitarbeiters Arbeitsinhalte und -prozesse: Was waren die Vereinbarungen
MehrModellprogramm Aktiv in der Region
Information Modellprogramm Aktiv in der Region Kinder und Jugend EUROPÄISCHE UNION Seite 2 Ziele Das Modellprogramm JUGEND STÄRKEN: Aktiv in der Region stellt die Fortentwicklung der Initiative und ihrer
MehrSelbstevaluation im Rahmen der Modellprojekte NeFF. Seminar im Landesjugendamt Rheinland 21. Juni Gliederung
Selbstevaluation im Rahmen der Modellprojekte NeFF Seminar im Landesjugendamt Rheinland 21. Juni 2006 1 Gliederung Verständnis von Selbstevaluation Nutzen der Selbstevaluation Wirkungsdimensionen Zur Rolle
Mehr- Leseprobe - Auditfeststellungen und deren Bewertungen. Auditfeststellungen und deren Bewertungen. von Ralph Meß
Auditfeststellungen und deren Bewertungen von Ralph Meß Der folgende Artikel beschreibt mögliche Feststellungen und Ergebnisse, die üblicherweise bei internen oder externen Audits dokumentiert werden können.
MehrBSI-Standard 100-4 Notfallmanagement
BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie
MehrKrisenmanagement Stromausfall
Krisenmanagement Stromausfall 4. Bürgermeisterkongress Risiken und Katastrophen in Deutschland Dr. Wolf-Dietrich Erhard Leiter Krisenmanagement EnBW Energie Baden-Württemberg AG 1 Der EnBW-Konzern Struktur
MehrInnoWeit Diagnose der Innovationsfähigkeit Teil II Information; Schulung; Umsetzung vor Ort IMO-Institut Ingolf Rascher Martina Wegge
InnoWeit Diagnose der Innovationsfähigkeit Teil II Information; Schulung; Umsetzung vor Ort IMO-Institut Ingolf Rascher Martina Wegge 1 Agenda Einleitung Innovation und InnoWeit Vorbereitung Vorfeld Informationsmaterial
MehrHERZLICH WILLKOMMEN. Revision der 9001:2015
HERZLICH WILLKOMMEN Revision der 9001:2015 Volker Landscheidt Qualitätsmanagementbeauftragter DOYMA GmbH & Co 28876 Oyten Regionalkreisleiter DQG Elbe-Weser Die Struktur der ISO 9001:2015 Einleitung Kapitel
MehrProjekt Effizienzsteigerung der Pflegedokumentation 7. Sitzung des Lenkungsgremiums am Beschluss zum Projektbeginn und -vorgehen
Seite 1 von 5 Projekt Effizienzsteigerung der Pflegedokumentation 7. Sitzung des Lenkungsgremiums am 16.12.2014 Beschluss zum Projektbeginn und -vorgehen 1. Das Lenkungsgremium begrüßt den Projektbeginn
MehrCyber-Sicherheit als Herausforderung für Staat und Gesellschaft
Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft 95. AFCEA-Fachveranstaltung: Herausforderung Cyber-Sicherheit / 19.11.2012 Gliederung des Vortrags Cyber-Sicherheit: Aktuelle Die aktuelle
MehrBitte einsenden an: Initiative Sportverein 2020 actori sports GmbH Gladbacher Str Köln Fax- Nr.
Bitte einsenden an: Initiative Sportverein 2020 actori sports GmbH Gladbacher Str. 44 50672 Köln team@sportverein2020.de Fax- Nr. 0221 22 25 82 29 Sportverein2020 Bewerbung um ein Vereinscoaching Sie möchten
MehrQM-Handbuch. der. ReJo Personalberatung
QM-Handbuch der ReJo Personalberatung Version 2.00 vom 30.11.2012 Das QM-System der ReJo Personalberatung hat folgenden Geltungsbereich: Beratung der Unternehmen bei der Gewinnung von Personal Vermittlung
MehrSelbstbewertung des BGM nach BGM Excellence. Unser Modell BGM Excellence
Selbstbewertung des BGM nach BGM Excellence Unser Modell BGM Excellence Das BGM Excellence -Modell (siehe Abbildung) umfasst acht Hauptkriterien und 27 Unterkriterien. Dabei werden fünf Kriterien als Mittel
MehrGeplante Anleitung in der praktischen Altenpflegeausbildung
Geplante Anleitung in der praktischen Altenpflegeausbildung Vorgespräch Phase, in der Auszubildende die Praxisanleitung beobachten Phase, in der Auszubildende die Maßnahme unter Anleitung durchführen Phase,
MehrDie Werte von CSL Behring
Die Werte von CSL Behring Eine Ergänzung zum Individual Performance Management Guide Die Werte von CSL Behring Dieser Leitfaden soll Ihnen helfen, Verhaltensweisen zu beobachten, zu überdenken und zu bewerten,
MehrGottlieb Duttweiler Lehrstuhl für Internationales Handelsmanagement. Für die Erstellung von Bachelor-Arbeiten massgeblich ist das allgemeine Merkblatt
Gottlieb Duttweiler Lehrstuhl für Internationales Handelsmanagement Für die Erstellung von Bachelor-Arbeiten massgeblich ist das allgemeine Merkblatt für Bachelor-Arbeiten, das unter http://www.unisg.ch
MehrProjekte erfolgreich planen und umsetzen
Projekte erfolgreich planen und umsetzen Landesverband der Projekte erfolgreich planen und umsetzen Seite 1 von 7 Projekte erfolgreich planen und umsetzen schön und gut aber. was ist überhaupt ein Projekt?
MehrDer Regierungsentwurf für ein E-Rechnungs-Gesetz
Der Regierungsentwurf für ein E-Rechnungs-Gesetz Frankfurt, 15. November 2016 Heiko Borstelmann, Bundesministerium des Innern, Referat O 5 Themenübersicht I. Die E-Rechnungs-Richtlinie der EU II. Der Regierungsentwurf
MehrKAN-Positionspapier zum Thema künstliche, biologisch wirksame Beleuchtung in der Normung. August 2015
KAN-Positionspapier zum Thema künstliche, biologisch wirksame Beleuchtung in der Normung August 2015 Das Projekt Kommission Arbeitsschutz und Normung wird finanziell durch das Bundesministerium für Arbeit
MehrWas geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung
Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung Angestellten Forum des ZVK Stuttgart 04.03.2016 Birgit Reinecke ZentraleEinrichtungPhysiotherapieund
MehrÜbersicht über ISO 9001:2000
Übersicht über die ISO 9001:2000 0 Einleitung 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe Übersicht über die ISO 9001:2000 4 Qualitätsmanagementsystem 5 Verantwortung der Leitung 6 Management
MehrLVS Schleswig-Holstein Landesweite Verkehrsservicegesellschaft mbh
Schleswig-Holsteinischer Landtag Umdruck 16/527 LVS Schleswig-Holstein Landesweite Verkehrsservicegesellschaft mbh Raiffeisenstrasse 1, 24103 Kiel Tel.: 0431/66019-29 Fax: -19 e-mail: j.schulz@lvs-sh.de;
Mehr0,3. Workshop Office 365 und Azure für Ihr Unternehmen
0,3 Workshop Office 365 und Azure für Ihr Unternehmen Inhaltsverzeichnis 1. IT Heute... 2 2. Mieten statt kaufen... 2 3. Office 365 - ein Thema für Sie?... 3 4. Warum sollten Sie diesen Workshop durchführen?...
MehrBCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
MehrSUCCESS INSIGHTS. John Doe VERKAUFS-STRATEGIEN-INDIKATOR
SUCCESS INSIGHTS VERKAUFS-STRATEGIEN-INDIKATOR "Wer andere kennt, ist gelehrt. Wer sich selbst kennt, ist weise." -Lao Tse 8.3.24 Klettgaustr. 21 79761 Waldshut - Tiengen EINLEITUNG Der VERKAUFS-STRATEGIEN-INDIKATOR
MehrInterne Evaluation als Instrument der Qualitätsentwicklung an bayerischen Schulen Reflexionsworkshop in Hirschberg
Interne Evaluation als Instrument der Qualitätsentwicklung an bayerischen Schulen 13.01.2009 4. Reflexionsworkshop in Hirschberg Seerosenmodell Das Seerosenmodell Die Blüte ist der sichtbare Bereich beobachtbares
MehrDie geänderten Anforderungen an die Gefährdungsbeurteilung nach der Änderung der BetrSichV
Die geänderten Anforderungen an die Gefährdungsbeurteilung nach der Änderung der BetrSichV Dip.-Ing.(FH) Dipl.-Inform.(FH) Mario Tryba Sicherheitsingenieur Vorbemerkungen: Die Gefährdungsbeurteilung ist
MehrRWE Netzservice. RWE FM INFODIENST Regelwerksverfolgung im Facility Management.
RWE Netzservice RWE FM INFODIENST Regelwerksverfolgung im Facility Management. RWE NETZSERVICE: IHR VERLÄSSLICHER PARTNER IM FACILITY MANAGEMENT. RWE Netzservice überzeugt mit einem breit angelegten Leistungsspektrum,
MehrAnhang A3. Definitive Fassung verabschiedet an der QSK-Sitzung vom
Leitfaden Prüfungsgespräch Anhang A3 Anforderungen und Vorgaben für die Kandidatinnen und Kandidaten sowie Indikatoren und Kriterien für die Bewertung der mündlichen Prüfungsleistung: Prüfungsgespräch
Mehr"Unternehmensziel Qualität" Wettbewerbsvorteile durch Qualitätsmanagementsysteme
"Unternehmensziel Qualität" Wettbewerbsvorteile durch Qualitätsmanagementsysteme Gliederung 1. Wettbewerbsfaktor Qualität 2. Der Ablauf 3. Die Ist-Analyse 4. Die Dokumentation 5. Werkzeuge, Methoden, Instrumente
MehrGewusst wie! Führen in sozialen Organisationen 2015/2016
Gewusst wie! Führen in sozialen Organisationen 2015/2016 Führen in sozialen Organisationen Ausgangssituation Führen als Profession verlangt, eine eigene Rollenidentität und ein eigenes profiliertes Handlungsrepertoire
MehrMANAGEMENTSYSTEME - EIN GEWINN FÜR VERANTWORTLICHE?
MANAGEMENTSYSTEME - EIN GEWINN FÜR VERANTWORTLICHE? SiFa-Tagung der BG-RCI am 10./11.10.2012 in Bad Kissingen Rudolf Kappelmaier, Wacker Chemie AG, Werk Burghausen, Konzern-Managementsystem Die Inhalte
MehrIS-Revision in der Verwaltung
IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund
Mehr