Zum Inhalt springen

BSI/200-4/05 Besondere Aufbauorganisation

Aus Foxwiki

BSI/200-4/05 Besondere Aufbauorganisation

Aufbau

Beispiel verschiedener Rollen in einer Besondere Aufbauorganisation (BAO)

Strategische Ebene

  • legt Ziele und Prioritäten in der Bewältigung fest

Taktische Ebene

  • analysiert Lage
  • beschließt dahingehend Maßnahmen
  • überwacht, ob diese umgesetzt wurden und wirksam sind

Operative Ebene

  • setzt die beschlossenen Maßnahmen um
  • meldet den Erfolg oder die Wirkung der umgesetzten Maßnahmen an die taktische Ebene

Aufbau des Stabs

Zentrales Führungsgremium der Bewältigung

Die Institution sollte in der BAO einen Stab als zentrales Führungsgremium der Bewältigung definieren

  • Der Stab lenkt, koordiniert und unterstützt die Bewältigung
  • Ferner sollte er an die relevanten Parteien den Fortschritt der Notfallbewältigung kommunizieren.

Verantwortung und Zuständigkeit für strategische Entscheidungen in Notfällen bleibt bei der Institutionsleitung

  • Der Stab unterstützt die Institutionsleitung, indem er
    • Lösungen entwickelt
    • alle Tätigkeiten hierzu koordiniert
Zielsetzungen des Stabes
  • Zeitkritische Geschäftstätigkeiten schnellstmöglich wieder aufnehmen
  • Weitere Auswirkungen vehinden
  • Effektive und effiziente Zusammenarbeit und Kommunikation mit allen betroffenen
    • Organisationseinheiten
    • Institutionsleitung
    • Einsatzkräften
    • Behörden
    • Medien
    • anderen Parteien
Befugnisse des Stabes

Die Institutionsleitung sollte dem Stab angemessene Befugnisse übertragen

  • damit er seine Ziele erreichen kann
  • Entscheidungsbefugnisse
  • Finanzbefugnisse
Ebenen der Stabsarbeit

Abhängig von seinen Befugnissen kann der Stab auf der strategisch-taktischen oder nur auf der taktischen Ebene agieren

BCB erarbeiten einen Vorschlag für die allgemeinen Aufgaben des Stabes

Der Vorschlag kann sich an folgender Liste orientieren:

  • Lage feststellen, beurteilen und fortschreiben
  • einzuleitende Maßnahmen abstimmen und darüber entscheiden
  • Arbeitsaufträge an unterstützende Einheiten, z. B. Bewältigungsteams, erteilen (Aufgabenmanagement)
  • umgesetzte Maßnahmen auf deren Wirksamkeit überprüfen und, falls erforderlich, korrigierende Maßnahmen einleiten
  • interne und externe NuK-Kommunikation sowie Öffentlichkeitsarbeit (z. B. Pressestelle) steuern
  • an die Institutionsleitung oder andere Zuständige eskalieren, falls die Situation die Grenzen der eigenen Zuständigkeit übersteigt
Rollen in einem Stab

Bewältigungsteams

Aufbau von Bewältigungsteams

Zur operativen Bewältigung eines Notfalls sollten Notfallbewältigungsteams aufgebaut werden

  • Da auf diese auch im Krisenfall zurückgegriffen werden kann, werden sie in diesem Standard als Bewältigungsteams bezeichnet.
Bewältigungsteams

Erhalten Arbeitsaufträge vom Stab

  • setzen die Maßnahmen zur Notfallbewältigung um
    • technisch
    • baulich
    • organisatorisch
Vorteile festgelegte Bewältigungsteams

gegenüber ad hoc zusammengestellten Teams

  • Sie können anhand von Trainings und Übungen auf verschiedene Notfallszenarien vorbereitet werden
  • Sie können im Notfall aufgrund des Trainingseffekts in der Regel schneller und zielgerichteter agieren
  • Die Kommunikationswege zwischen Stab und Bewältigungsteams können im Vorfeld festgelegt und erprobt werden
Leitenden der Bewältigungsteams
  • Berichten während der Notfallbewältigung dem Stab in regelmäßigen Abständen
  • Dazu sammeln sie Informationen vor Ort und leiten diese an den Stab weiter
  • Darüber hinaus koordinieren und kontrollieren sie, ob die vom Stab angeordneten Maßnahmen vor Ort umgesetzt werden und wirksam sind
In der Praxis haben sich die folgenden Bewältigungsteams bewährt
  • IT
  • Personal
  • Gebäudeverwaltung
  • NuK-Kommunikation

Es ist empfehlenswert, diese institutionsspezifisch durch weitere Bewältigungsteams zu ergänzen

  • Es können Bewältigungsteams in den zeitkritischsten Organisationseinheiten etabliert werden, die das Kerngeschäft repräsentieren
  • Genaue Zusammenstellung der Bewältigungsteams nochmals an die konkrete Wiederanlauf- und Geschäftsfortführungsplanung anpassen

Besetzung

Besetzung von Bewältigungsteams

Der festgelegte Aufbau der BAO sowie die Rollenbesetzung müssen von der Institutionsleitung freigegeben werden

  • Um der Institutionsleitung einen Gesamtüberblick über die BAO zu ermöglichen, ist es hilfreich, diese schematisch zu beschreiben
  • Hierzu kann ein Schaubild, wie oben dargestellt, erstellt werden
  • Anhand von Rollenkarten können zusätzlich die jeweiligen Aufgaben und Zuständigkeiten jeder Rolle im Detail vorgestellt werden.
Schulungen

Unter anderem durch Schulungen kann sichergestellt werden, dass die Rolleninhabenden fachlich geeignet sind

  • Gleichzeitig sollte geklärt werden, ob die Personen mental in der Lage sind, in besonderen Stresssituationen zu arbeiten
Bewältigungsteams sollten mit geeignetem Personal besetzt werden
  • In der Praxis hat es sich bewährt, dazu auf die fachlich qualifizierten Mitarbeitenden aus den entsprechenden Ressourcenkategorien zurückzugreifen und die Teams mit hinreichenden Vertretungen zu versehen
Verpflichtungen

Mitarbeitenden und Personalvertretung beteiligen

  • Mitgliedschaft in einem Bewältigungsteam geht oft mit entsprechenden Verpflichtungen einher
    • Bereitschaftszeiten
    • Arbeit an freien Tagen
    • ...

Detektion, Alarmierung, Eskalation

Detektion und Meldung

Mindestens folgende Angaben sollten aufgenommen werden:

  • Zeitpunkt und Ort des Ereignisses
  • meldende Person oder Stelle
  • eventuell betroffene Personen, Bereiche oder Prozesse
  • mögliche Ursache oder Auslöser
  • bereits ergriffene Sofortmaßnahmen
  • die aktuellen Auswirkungen

Ersteinschätzung eines Schadensereignisses

Ersteinschätzung eines Schadensereignisses am bzw. im Ge­bäude

Ersteinschätzung eines Schadensereignisses in der IT

Ersteinschätzung eines Schadensereignisses beim Personal

Ersteinschätzung eines Schadensereignisses bei Dienstleis­tungsunternehmen

Einstufung der Ereignismeldung und Entscheidung

Zentrale Entscheidungsinstanz

Die Einstufung und Entscheidung, ob es sich bei dem Schadensereignis um eine Störung, einen Notfall oder eine Krise handelt, muss durch eine zentrale Entscheidungsinstanz getroffen werden

  • Verhindert zeitaufwändige Abstimmungen oder unklare Entscheidungsbefugnisse und ermöglicht so eine schnelle Entscheidungsfindung

Dies ist von hoher Bedeutung

  • da die Entscheidung über das Ereignis weitreichende Auswirkungen auf das weitere Geschehen der Bewältigung hat
  • Stellt sich heraus, dass ein Schadensereignis als Störung bewertet wurde, es sich aber um einen Notfall handelt, ist wahrscheinlich wertvolle Zeit verloren gegangen
Entscheidungsinstanz muss
  • geschult
  • erfahren
  • und befugt sein

Geschult bedeutet

  • Sachkenntnis, um entscheiden zu können, was eine Störung, was ein Notfall und was eine Krise ist
  • Alarmierungsprozess kennen
  • Überblick über die Institution

In den meisten Fällen liegen zu einem Schadensereignis nur eingeschränkte Informationen vor

  • Auch dann sollte diese Entscheidungsinstanz entscheidungsfreudig sein.
Übungen und Tests
  • realitätsnahe, praktische Erfahrungen sammeln
  • Entscheidungskriterien verbessern
  • Fehleinschätzungen vermeiden
Befugnisse

Die zentrale Entscheidungsinstanz muss befugt sein

  • eigenständig die Ereignismeldung einzustufen
  • eine Entscheidung zu fällen

Dies verkürzt die Zeitspanne, die bis zum Beginn der Bewältigung verstreicht.

Alarmierung der BAO

Sicherstellen, dass die BAO unverzüglich alarmiert werden kann

Organisatorischen und technischen Voraussetzungen chaffen und dokumentieren

  • Erreichbarkeit der BAO innerhalb und außerhalb der üblichen Geschäftszeiten
  • Rufbereitschaften der BAO eingerichtet werden
  • Für Zeiten, in denen eine Erreichbarkeit der BAO nicht garantiert ist, sollten Risikoübernahmen durch die Institutionsleitung herbeigeführt werden
Benachrichtigung der Rolleninhabenden solltenkurz und präzise sein

Diskussionen und längere Ausführungen sollten bei der Alarmierung vermieden werden

  • Zu viele Informationen verwirren und verzögern die Alarmierung
Detaillierte Informationen
  • werden in der ersten Lagebesprechung für alle Anwesenden gemeinsam vorgestellt und besprochen
Alarmierungs- und Eskalationsprozess sollte regeln
  • wie die BAO innerhalb und außerhalb der üblichen Geschäftszeiten erreicht wird,
  • welche Personen durch die zentrale Entscheidungsinstanz alarmiert werden,
  • welche weiteren Personen durch die zuerst alarmierten Personen alarmiert werden,
  • welche Kommunikationskanäle hierzu eingesetzt werden sowie
  • welche Informationen vermittelt werden.
In der Nachricht sollte klar erkennbar sein

Welche nächsten Schritte die alarmierte Person unternehmen muss

  • beispielsweise sich im Stabsraum oder in einer virtuellen Arbeitsumgebung, z. B. Telefonkonferenz, einzufinden
Die alarmierte Person muss dem Aufruf zeitnah folgen

Falls weitere Personen die Alarmierung entgegennehmen könnten, z. B. Haushaltsmitglieder, die den Anruf auf dem privaten Telefon entgegennehmen können, so sollten diese für den Umgang mit empfangenen Alarmmeldungen sensibilisiert werden.

Alarm-Apps

Je nach Größe der BAO kann es zeitaufwändig sein, alle Rolleninhabenden einzeln persönlich zu benachrichtigen, z. B. mittels eines manuellen Telefonanrufs

  • Zur Unterstützung der Alarmierung kann es sinnvoll sein, eine Alarmierungssoftware oder eine Alarm-App einzusetzen
  • Diese IT-Anwendungen ermöglichen es, auf Knopfdruck die zur Bewältigung erforderlichen Personen zu benachrichtigen
  • Sofern eine Alarmierungssoftware eingesetzt wird, muss diese auch im Notfall oder in der Krise verfügbar sein

Zusatzfunktionen

  • Alarmnachverfolgung
  • automatische Benachrichtigung der Stellvertretenden bei Nicht-Erreichbarkeit
  • Möglichkeit, dass die alarmierten Personen der Stabsleitung den erwarteten Zeitpunkt des Eintreffens im Stabsraum mitteilen können
Dokumentation

Der definierte Eskalations- und Alarmierungsprozess sollte visualisiert und im Notfallhandbuch dokumentiert werden

  • Dafür kann obige Abbildung angepasst werden
  • Diese ist auch in den Hilfsmitteln zum BSI-Standard 200-4 hinterlegt

Dokumentierte Vorgaben und begleitende Maßnahmen stellen sicher, dass die definierten Meldewege wie vorgesehen eingehalten werden

  • Als begleitende Maßnahme müssen Meldestellen und Kommunikationswege organisationsweit bekannt gegeben werden
  • Dazu können z. B. Aushänge oder andere Informationsmaterialen genutzt werden

Sofortmaßnahmen

Innerhalb des Notfallhandbuchs MÜSSEN
  • Sofortmaßnahmen dokumentiert werden
  • Die im Notfallhandbuch definierten Sofort­maßnahmen MÜSSEN Regelungen zum Schutz von Leib und Leben beinhalten
Beispiel für Sofortmaßnahmen bei einem Gebäudeausfall

  • Hellgrau hinterlegte Zeilen stellen übliche Sofortmaßnahmen der AAO dar
  • weiß hinterlegte Zeilen Sofortmaßnahmen des BCM

Stabsarbeit

Grundsätze zur Stabsarbeit

Festlegung der Grundsätze zur Stabsarbeit (R)

Der Stab richtet seine Arbeitsweise anhand der vorliegenden Notfallpläne aus (Geschäftsfortführungspläne GFP )

  1. Der Stab hat Arbeits- und Besprechungsphasen (Lagebesprechungen). Diese müssen eindeutig festgelegt und allen Stabsmitgliedern kommuniziert werden.
  2. Lagebesprechungen
    • dauern nie länger als 30 Minuten
    • brauchen immer eine moderierende Person
    • dürfen ihren Fokus nicht durch Einzeldiskussionen zu Spezialthemen verlieren
      Diese Diskussionen können im Nachgang geklärt werden
    • müssen immer eindeutig beendet werden
    • müssen immer zeitlich klar terminiert und angesagt werden
  3. Es muss immer ein Protokoll geführt werden, in welchem die Meldungen, Ereignisse und Beschlüsse des Stabs mit den notwendigen Angaben zu Ort, Zeit und Status nachvollziehbar dokumentiert werden. Im Protokoll muss zudem erfasst werden, wer wann anwesend war.
  4. Fakten müssen von Gerüchten getrennt und Informationen immer verifiziert werden. In komplexen Lagen sollte dazu ein Informationsmanagement aufgebaut werden.
  5. Die Visualisierung sollte regelmäßig genutzt und aktualisiert werden.
  6. Aufgaben müssen klar benannt, terminiert und delegiert und im Aufgabenmanagement festgehalten werden (Zielstellung, Aufgabenstellung, Zuständigkeiten, Umsetzungsfrist bzw. Wiedervorlage).
  7. Damit allen anwesenden Personen bewusst ist, wer welche Rolle oder Funktion in der BAO einnimmt, muss sich jeder und jede in der ersten Lagebesprechung mit Namen und Rolle oder Funktion vorstellen.

Zusätzlich sollten BCB klären und schriftlich regeln

  • Arbeitsbedingungen
  • Protokollierung
Konstituierung und Auflösung der BAO (R)
Checkliste zum Konstituieren des Stabes
  • Wie werden die Stabsmitglieder alarmiert?
  • Wie werden die Anfahrt und der Zugang zum Stabsraum sichergestellt?
  • Wie wird der Ablageort der Ausstattung des Stabsraums dokumentiert, eventuell inklusive Hinweisen zum Zugang?
  • Wo und wie wird der Aufbau der Ausstattung des Stabsraums dokumentiert?
  • Welche Rollen sind für den Aufbau der Ausstattung des Stabsraums zuständig?
  • Wie erfolgt die erste Lagebesprechung durch den Stab?
Checkliste zum Auflösen der BAO
  • Wodurch entscheidet es sich, wann die letzte Lagebesprechung durchgeführt wird?
  • Wann beendet jede Rolle offiziell ihre Mitarbeit in der BAO?
  • Wurden alle notwendigen Beschlüsse für die Nacharbeiten getroffen?
  • Ist die Maßnahmenverfolgung inklusive der Aufgaben bei den Nacharbeiten vollständig dokumentiert? Durch wen wird diese Maßnahmenverfolgung in der AAO fortgeführt?
  • Ist das Protokoll der Stabsarbeit vollständig, vertraulich und wiederauffindbar abgelegt?
  • Wann und durch wen erfolgt der Rückbau des Stabsraums?

Geschäftsordnung des Stabs

Geschäftsordnung des Stabs (AS)
  • Konstituierung und Auflösung der BAO (AS)
  • Festlegung eines Zusammenarbeitsmodells (AS)
  • Festlegung der Arbeitsbedingungen (AS)
  • Protokollierung (AS)
  • Festlegung besonderer Befugnisse (AS)
  • Erstellung eines Verhaltenskodexes (AS)

Fähigkeit zur Stabsarbeit

Herstellung der Fähigkeit zur Stabsarbeit

Schulung der BAO

Lagebeobachtung und -visualisierung

Festlegung eines Stabsraums

Ausstattung des Stabsraums

Freigabe durch die Institutionsleitung

Kommunikation

NuK-Kommunikation

Allgemeine Regelungen zur Kommunikation

Für die Rolle NuK-Kommunikation sollten im Vorhinein verbindliche Regeln für folgende Aufgaben definiert und dokumentiert werden:

interne Kommunikation Was dürfen oder müssen die Mitarbeitenden wann erfahren?
externe Kommunikation durch Mitarbeitende Was dürfen die Mitarbeitenden wann und wie gegenüber der Presse und in sozialen Medien äußern und was nicht?
externe Kommunikation durch Rolle Kommunikation Was soll die Rolle Kommunikation wann und wie gegenüber der Presse und in sozialen Medien bekannt geben?
Regelungen für den Kontakt mit Polizei und anderen Behörden sowie Hilfsorganisationen
* Meldepflichten der Institution, die sich aus einem Notfall ergeben
Medienmonitoring Regelungen zum Medienmonitoring
Anforderungen an die Kommunikation
  • Ausfallsicherheit der Kommunikationsmittel (z. B. Notstrom)
  • Redundanz der Kommunikationsmittel (z. B. Ersatz-TK-Anlage)
  • Schutz der vertraulichen Kommunikation
  • Eingrenzung und Aktualität der Nutzungsberechtigungen
Externe Kommunikation mit Interessengruppen

Kanäle an, sofern verfügbar
  • E-Mail
  • Telefon
  • Notfall-Hotline
  • Webseite der Institution mit Informationen über den Notfall und FAQs
  • alternative Notfall-Webseite („Dark Site“)
  • Public-Relations-Agentur
  • Soziale Medien
  • persönliches Interview
  • Fernseh- oder Radio-Interview
  • Pressemitteilung
  • Pressekonferenz

Deeskalation und Nacharbeiten

Rückführung in den Normalbetrieb

Checkliste
  • Wie und wann wird die BAO aufgelöst und in die normale AAO überführt?
  • Welche Arbeitsrückstände sind institutionsweit entstanden und wie können diese am besten abgearbeitet werden?
  • Durch wen erfolgt die interne und externe Kommunikation für die Dauer der Nacharbeiten?
  • Wie, durch wen und in welchen zeitlichen Intervallen werden die Mitarbeitenden über den Fortschritt der Rückführung in den Normalbetrieb informiert?
  • An wen sollen die Organisationseinheiten in dieser Zeit ihre Erkenntnisse und Fortschritte melden? Gemeldet werden sollten z. B.
    • Schäden oder Verluste durch den Notbetrieb,
    • der aktuelle Stand der Arbeitsrückstände sowie
    • die erwartete Dauer bis zur Rückkehr in den Normalbetrieb.

Deeskalation

Kriterien für die Deeskalation
  • Sind sämtliche Ereignisse bewältigt, die eine BAO benötigen?
  • Können die restlichen Probleme vollständig durch die AAO gelöst werden?
  • Kann eine erneute Verschärfung der Lage bei einer schrittweisen Überführung in den Normalbetrieb ausgeschlossen werden?
  • Können die interne und externe Kommunikation wieder vollständig durch die AAO erfolgen?

Analyse der Bewältigung

Fragenkatalog
Frage
Wie kam es zu dem Ereignis?
Welche Auswirkungen hatte das Ereignis?
Wie schnell und wie effektiv erfolgte die Reaktion auf das Ereignis
(insbesondere BAO-Reaktionszeit)?
Welche Elemente der Aufbau- und Ablauforganisation der BAO haben gut funktioniert und welche weniger gut?
Gab es Unterschiede zur geplanten Notfallbewältigung?
Waren alle zeitkritischen Geschäftsprozesse und Ressourcen bekannt?
Welche der vorbereiteten Notfallmaßnahmen wurden ergriffen?
Welche Notfallmaßnahmen wurden neu eingeführt?
Wie gut haben die vorbereiteten Notfallpläne funktioniert?
Wurden Notfallpläne neu erstellt oder angepasst?
Wie gut hat die interne NuK-Kommunikation funktioniert?
(z. B. Kooperationsbereitschaft der Mitarbeitenden, Einhaltung der Schweigepflichten)
Wie gut hat die externe NuK-Kommunikation funktioniert?
(z. B. Effektivität des Medienmonitorings, Einflussmöglichkeiten auf die externe Wahrnehmung)
← Zurück
Weiter →

Anhang

Siehe auch

Dokumentation

Projekt

Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-4/05_Besondere_Aufbauorganisation&oldid=166932