3.1.2 Eskalationspfad von Ereignissen und Begriffsbestimmungen [100%] Auch herrscht nicht nur in der freien Literatur, sondern auch in den einzelnen Arbeitsgruppen der verschiedenen Normungsgremien eine oftmals abweichende Meinung, was unter einem Begriff im Eskalationspfad von Ereignissen zu verstehen ist. Die grundlegende Kette wird zumeist nicht vollständig, oder sogar mit Abweichungen über zusätzliche Begriffe bzw. Situationen, definiert. Abbildung 17: "Eskalationspfad von Ereignissen" 80 Der theoretische Verlauf geht vom Vorliegen eines Ereignisses, welches rein organisationsintern und im Rahmen der Allgemeinen Aufbauorganisation (AAO) erfasst und betrachtet wird, über die Entwicklung zu einem (Sicherheits-)Vorfall, welcher zu einem Notfall eskalieren vermag, welcher die Grenzen der AAO und der Organisation überschreiten kann, bis zur weiteren Eskalation in eine Krise, welche eine Besondere Aufbauorganisation (BAO) zur Bewältigung benötigt und an dieser Stelle üblicherweise auch mit der Öffentlichkeit interagiert. Abgeschlossen wird dieser Eskalationspfad von 80 Eigene Darstellung Steinbeis-Hochschule Berlin Seite 33 von 179
der Katastrophe, bei der ein Ereignis großflächig die Umgebung beeinflusst, und übergreifende Maßnahmen durch vereinigte Kräfte von Schutz- und Rettungskräften zur Bewältigung gefordert sind. Zwecks Vollständigkeit sind oben in der Abbildung 17 auch die englischsprachigen Entsprechungen mit aufgeführt, auch da die meisten Standards in Englisch vorliegen. Wenn eine Auswertung eines guten Dutzend einschlägiger Standards vorgenommen wird, ergibt sich bei der Übertragung auf das Eskalationspfadmodell die nachfolgende Abbildung mit vier beispielhaft hervorgehobenen Pfaden. Abbildung 18: "Begriffsverwirrung bei Ereignissen" 81 Wie bei der Verfolgung der vier verschiedenen, punktierten Farbpfeile zu erkennen ist, gehen nicht alle Standards von einem Ereignis als Startpunkt aus, sondern starten wie die beiden BS 25999 erst bei einem Vorfall. Auch kennen die meisten Standards ein Ende der Eskalation bereits bei einer Krise. Auch werden oftmals andere Wege genommen (ISO 28002), oder Eskalationsstufen übersprungen (BS25999-1/-2). 81 Eigene Darstellung Steinbeis-Hochschule Berlin Seite 34 von 179
Zusätzlich gibt es unklare Auffassungen über die Begrifflichkeit eines disasters, in der ISO 22300 ist dies als Ereignis mit größten Schäden an Werten und Menschen definiert, deren Bewältigung die Fähigkeiten der betroffenen Organisation oder Gemeinschaft allein bei weitem übersteigt. Dagegen verstehen die ISO 28002 und der DS 3001 hierunter einen Vorfall mit großen Schäden oder Verlusten. Auch gibt es noch weitere Begriffe, welche üblicherweise nur in einem beschränkten Sprachgebrauch verwendet werden, beispielsweise disruption oder Störfall. Bei den ausgewerteten Standards handelt es sich um die nachfolgend aufgeführten: Kürzel ISO 22300 ISO 22301 Voller Name ISO/IEC CD 22300 "Societal security - Vocabulary" ISO/IEC CD 22301 "Societal security - Preparedness and continuity management systems - Requirements" ISO 27000 ISO/IEC 27000:2009 "Information security management systems - Overview and vocabulary" ISO 27035 ISO/IEC FDIS 27035 "Information security incident management" ISO 28001 ISO 28001:2007 "Security management systems for the supply chain - Best practices for implementing supply chain security, assessments and plans - Requirements and guidance" ISO 28002 OENORM S 2400 BS 25999-1 BS 25999-2: DS 3001 BCI GPG2010 ASIS BCM ISO PAS 28002:2010 "Security management systems for the supply chain - Development of resilience in the supply chain - Requirements with guidance for use" OENORM S 2400:2009 "Business Continuity und Corporate Security Management - Benennungen und Definitionen" BS 25999-1:2006 "Business continuity management - Part 1: Code of practice" BS 25999-2:2007 "Business continuity management - Part 2: Specification" DS 3001:2009 "Organisatorisk robusthed - Ledelsessystem for sikkerhed, beredskab og forretningsvidereførelse - Krav og vejledning (Organizational resilience: Security, preparedness, and continuity management systems - Requirements with guidance for use)" Business Continuity Institute (BCI) "Good Practice Guidelines in Business Continuity Management 2010" ASIS "Business Continuity Management: Requirements with Guidance for Use" (Public Draft, Feb. 2009) Steinbeis-Hochschule Berlin Seite 35 von 179
Zusätzlich wurden die Legaldefinitionen für die Begriffe Katastrophe und Störfall herangezogen, hierbei wird auf das Bayerische Katastrophenschutzgesetz (BayKSG) respektive die Zwölfte Verordnung zur Durchführung des Bundes- Immissionsschutzgesetzes (12.BImSchV) verwiesen. 3.1.2.1 Begriffsdefinitionen von Ereignissen im Eskalationspfad Für ein vereinheitlichtes Verständnis wird nachfolgend aufgelistet, welche Begriffsdefinition im Rahmen dieser Arbeit später verwendet werden soll. Dabei werden bestehende Definitionen entweder übernommen, oder zwecks Klarstellung leicht abgewandelt. Eskalationsstufe Ereignis (Event) Vorfall (Incident) Definition Auftreten oder Veränderung einer bestimmten Kombination von Umständen. Anmerkung 1: Ein Ereignis kann einmal oder mehrfach auftreten und mehrere, verschiedene Gründe haben. Anmerkung 2: Ein Ereignis kann auch daraus bestehen, dass etwas nicht geschieht. Anmerkung 3: Ein Ereignis mit Auswirkungen auf Werte, Personen oder Prozesse wird als "Vorfall" ("Incident") bezeichnet. Anmerkung 4: Ein Ereignis ohne Konsequenzen wird auch als near miss oder gefährliches Ereignis referenziert. (Fusion aus ISO Guide 73 und OENORM S 2400) Ein Ereignis, welches die Kapazität hat, zu Beeinträchtigungen oder Schäden an Menschen sowie materiellen wie immateriellen Werten einer Organisation zu führen, oder eine Beeinträchtigung an ihren Prozessen, Diensten oder Funktionen herbeizuführen. Anmerkung 1: Wenn ein Vorfall nicht angemessen behandelt wird, kann er zu einem Notfall, einer Krise oder gar einer Katastrophe eskalieren. Anmerkung 2: Wenn ein Vorfall mit Personenschaden auftritt, spricht man oftmals auch von einem Unfall. (Fusion aus ISO 28002, ASIS BCM und BCI GPG2010) Steinbeis-Hochschule Berlin Seite 36 von 179
Eskalationsstufe Notfall (Emergency) Krise (Crisis) Definition Plötzliches und dringendes, üblicherweise unerwartetes, Auftreten eines Ereignisses, das sofortiges Handeln erfordert und bei dem unmittelbare Gefahr für Personen und Werte einer Organisation droht. Anmerkung 1: Auch wenn die Bedrohung durch einen Notfall groß sein mag, so bleibt diese örtlich begrenzt und ist durch die bestehenden betrieblichen Ressourcen (z. T. unter Zuhilfenahme externer Ressourcen) bewältigbar. Anmerkung 2: Ein Notfall ist üblicherweise eine Störung oder gar Unterbrechung ( Disruption ) des Betriebs, welche nicht exakt vorhergesehen werden kann, aber für die angemessene Maßnahmen beim Eintreten geplant werden können. Anmerkung 3: Bei einem Notfall kann es geschehen, dass die Öffentlichkeit mit einbezogen wird, und/oder dass aufgrund der sich weiterentwickelten Lage eine Besondere Aufbauorganisation (BAO) zur Bewältigung benötigt wird. Anmerkung 4: Ein Notfall kann sich, wenn er nicht bewältigt wird, zu einer Krise oder gar einer Katastrophe auswachsen. Anmerkung 5: Wenn die Organisation der 12. BImSchV unterliegt, so kann ein Notfall, welcher die Öffentlichkeit bedroht oder die Kapazität dazu besitzt, auch als Störfall bezeichnet werden. (Ergänzte Fusion aus ISO 22300, ISO 28002, DS 3001 und OENORM S2400) Instabile Situation, welche abrupte und/oder signifikante Änderungen aufweist und die außergewöhnliche Aufmerksamkeit und Maßnahmen erfordert, um Personen, Werte, Geschäftsprozesse oder die Umwelt zu schützen. Anmerkung 1: Eine Krise ist nicht mit den Möglichkeiten der alltäglichen Aufbauorganisation zu bewältigen, sondern benötigt eine Besondere Aufbauorganisation (BAO) zu diesem Zweck. Anmerkung 2: Eine Krise wirkt sich nicht nur auf die Organisation selber aus, sondern zumeist auch auf die Öffentlichkeit und/oder die Umwelt. Daher ist eine angemessene Öffentlichkeitsarbeit von Nöten. Anmerkung 3: Eine Krise kann sich unbeantwortet, insbesondere wenn sie physische Schäden an Personen und/oder der Umwelt hervorruft, zu einer Katastrophe ausweiten. (Ergänzte Fusion aus ISO 28002, OENORM S2400 und DS 3001) Steinbeis-Hochschule Berlin Seite 37 von 179
Eskalationsstufe Katastrophe (Disaster) Definition Eine Katastrophe (...) ist ein Geschehen, bei dem Leben oder Gesundheit einer Vielzahl von Menschen oder die natürlichen Lebensgrundlagen oder bedeutende Sachwerte in ungewöhnlichem Ausmaß gefährdet oder geschädigt werden und die Gefahr nur abgewehrt oder die Störung nur unterbunden und beseitigt werden kann, wenn unter Leitung der Katastrophenschutzbehörde die im Katastrophenschutz mitwirkenden Behörden, Dienststellen, Organisationen und die eingesetzten Kräfte zusammenwirken. ( ) Die Katastrophenschutzbehörde stellt das Vorliegen und das Ende einer Katastrophe fest. (Reduktion des BayKSG) Steinbeis-Hochschule Berlin Seite 38 von 179