BSI/200-4/05 Besondere Aufbauorganisation: Unterschied zwischen den Versionen

BSI/200-4/05 Besondere Aufbauorganisation

Beispiel verschiedener Rollen in einer BAO

Strategische Ebene

• legt die Ziele und Prioritäten in der Bewältigung fest

Taktische Ebene

• analysiert die Lage, beschließt dahingehend Maßnahmen und überwacht, ob diese umgesetzt wurden und wirksam sind

Operative Ebene

• setzt die beschlossenen Maßnahmen um und meldet den Erfolg oder die Wirkung der umgesetzten Maßnahmen an die taktische Ebene

Die Institution sollte in der BAO einen Stab als zentrales Führungsgremium der Bewältigung definieren

• Der Stab lenkt, koordiniert und unterstützt die Bewältigung
• Ferner sollte er an die relevanten Parteien den Fortschritt der Notfallbewältigung kommunizieren.

Neben der Verantwortung bleibt auch die Zuständigkeit für strategische Entscheidungen in Notfällen bei der Institutionsleitung

• Der Stab unterstützt die Institutionsleitung, indem er Lösungen entwickelt und alle Tätigkeiten hierzu koordiniert

Zielsetzungen des Stabes sind, dass

• zeitkritische Geschäftstätigkeiten schnellstmöglich wiederaufgenommen werden,
• weitere Auswirkungen des Schadensereignisses von der Institution abgewendet werden sowie
• eine effektive und effiziente Zusammenarbeit sowie Kommunikation zwischen allen betroffenen Organisationseinheiten, der Institutionsleitung sowie Einsatzkräften, Behörden, Medien und anderen Parteien möglich ist.

Die Institutionsleitung sollte dem Stab angemessene Entscheidungsbefugnisse übertragen, damit er seine Ziele erreichen kann

• Ferner ist es empfehlenswert, dem Stab zusätzlich Finanzbefugnisse zu erteilen
• Abhängig von seinen Befugnissen kann der Stab auf der strategisch-taktischen oder nur auf der taktischen Ebene agieren.

Es ist empfehlenswert, dass der oder die BCB einen ersten Vorschlag für die allgemeinen Aufgaben des Stabes erstellt

Der Vorschlag kann sich an folgender Liste orientieren:

• Lage feststellen, beurteilen und fortschreiben
• einzuleitende Maßnahmen abstimmen und darüber entscheiden
• Arbeitsaufträge an unterstützende Einheiten, z. B. Bewältigungsteams, erteilen (Aufgabenmanagement)
• umgesetzte Maßnahmen auf deren Wirksamkeit überprüfen und, falls erforderlich, korrigierende Maßnahmen einleiten
• interne und externe NuK-Kommunikation sowie Öffentlichkeitsarbeit (z. B. Pressestelle) steuern
• an die Institutionsleitung oder andere Zuständige eskalieren, falls die Situation die Grenzen der eigenen Zuständigkeit übersteigt

Rollen in einem Stab

Zur operativen Bewältigung eines Notfalls sollten Notfallbewältigungsteams aufgebaut werden

• Da auf diese auch im Krisenfall zurückgegriffen werden kann, werden sie in diesem Standard als Bewältigungsteams bezeichnet.

Die Bewältigungsteams erhalten ihre Arbeitsaufträge aus dem Stab und setzen die technischen, baulichen oder organisatorischen Maßnahmen zur Notfallbewältigung auftragsgemäß um

Im Vorfeld festgelegte Bewältigungsteams haben gegenüber ad hoc zusammengestellten Teams drei Vorteile:

• Sie können anhand von Trainings und Übungen auf verschiedene Notfallszenarien vorbereitet werden.
• Sie können im Notfall aufgrund des Trainingseffekts in der Regel schneller und zielgerichteter agieren.
• Die Kommunikationswege zwischen Stab und Bewältigungsteams können im Vorfeld festgelegt und erprobt werden.

Die Leitenden der Bewältigungsteams berichten üblicherweise während der Notfallbewältigung dem Stab in regelmäßigen Abständen

• Dazu sammeln alle Leitenden die jeweiligen Informationen vor Ort und leiten diese an den Stab weiter
• Darüber hinaus koordinieren und kontrollieren die Leitenden, ob die vom Stab angeordneten Maßnahmen vor Ort umgesetzt werden und wirksam sind
• In der Praxis haben sich die folgenden Bewältigungsteams bewährt:
• IT
• Personal
• Gebäudeverwaltung
• NuK-Kommunikation

Es ist empfehlenswert, diese institutionsspezifisch durch weitere Bewältigungsteams zu ergänzen

• Zum Beispiel können Bewältigungsteams in den zeitkritischsten Organisationseinheiten etabliert werden, die das Kerngeschäft repräsentieren.

Falls die BAO vor der Absicherung der Geschäftsprozesse aufgebaut wurde, ist es sehr empfehlenswert, die genaue Zusammenstellung der Bewältigungsteams nochmals an die konkrete Wiederanlauf- und Geschäftsfortführungsplanung anzupassen.

Der festgelegte Aufbau der BAO sowie die Rollenbesetzung müssen von der Institutionsleitung freigegeben werden

• Um der Institutionsleitung einen Gesamtüberblick über die BAO zu ermöglichen, ist es hilfreich, diese schematisch zu beschreiben
• Hierzu kann ein Schaubild, wie oben dargestellt, erstellt werden
• Anhand von Rollenkarten können zusätzlich die jeweiligen Aufgaben und Zuständigkeiten jeder Rolle im Detail vorgestellt werden.

Unter anderem durch Schulungen kann sichergestellt werden, dass die Rolleninhabenden fachlich geeignet sind

• Gleichzeitig sollte geklärt werden, ob die Personen mental in der Lage sind, in besonderen Stresssituationen zu arbeiten

Auch die Bewältigungsteams sollten mit geeignetem Personal besetzt werden

• In der Praxis hat es sich bewährt, dazu auf die fachlich qualifizierten Mitarbeitenden aus den entsprechenden Ressourcenkategorien zurückzugreifen und die Teams mit hinreichenden Vertretungen zu versehen
• Auf jeden Fall ist es empfehlenswert, die Mitarbeitenden im Einzelnen und die Personalvertretung im Allgemeinen zu beteiligen, da die Mitgliedschaft in einem Bewältigungsteam meistens mit entsprechenden Verpflichtungen (Bereitschaftszeiten, Arbeit an freien Tagen etc.) einhergeht.

Mindestens folgende Angaben sollten aufgenommen werden:

• Zeitpunkt und Ort des Ereignisses
• meldende Person oder Stelle
• eventuell betroffene Personen, Bereiche oder Prozesse
• mögliche Ursache oder Auslöser
• bereits ergriffene Sofortmaßnahmen
• die aktuellen Auswirkungen

Ersteinschätzung eines Schadensereignisses am bzw. im Ge­bäude

Ersteinschätzung eines Schadensereignisses in der IT

Ersteinschätzung eines Schadensereignisses beim Personal

Ersteinschätzung eines Schadensereignisses bei Dienstleis­tungsunternehmen

Die Einstufung und Entscheidung, ob es sich bei dem Schadensereignis um eine Störung, einen Notfall oder eine Krise handelt, muss durch eine zentrale Entscheidungsinstanz getroffen werden

• Im Gegensatz zu dezentralen Entscheidungsinstanzen verhindert eine zentrale Entscheidungsinstanz zeitaufwändige Abstimmungen oder unklare Entscheidungsbefugnisse und ermöglicht so eine schnelle Entscheidungsfindung
• Dies ist von hoher Bedeutung, da die Entscheidung über das Ereignis weitreichende Auswirkungen auf das weitere Geschehen der Bewältigung hat
• Stellt sich heraus, dass ein Schadensereignis als Störung bewertet wurde, es sich aber um einen Notfall handelt, ist wahrscheinlich wertvolle Zeit verloren gegangen
• Deshalb muss die zentrale Entscheidungsinstanz geschult, erfahren und befugt sein.

Geschult bedeutet, dass die zentrale Entscheidungsinstanz über die erforderliche Sachkenntnis verfügen muss, z. B. um innerhalb der Institution entscheiden zu können, was eine Störung, was ein Notfall und was eine Krise ist

• Zudem muss die zentrale Entscheidungsinstanz den Alarmierungsprozess kennen.

Die zentrale Entscheidungsinstanz muss auch erfahren sein und einen guten Überblick über die Institution haben, damit sie die Auswirkungen einschätzen kann

• In den meisten Fällen liegen zu einem Schadensereignis nur eingeschränkte Informationen vor
• Auch dann sollte diese Entscheidungsinstanz entscheidungsfreudig sein.

Das Verständnis der zentralen Entscheidungsinstanz kann darüber hinaus erhöht werden, indem sie realitätsnahe, praktische Erfahrungen bei Übungen und Tests sammeln kann

• Wenn außerdem die Entscheidungskriterien verbessert werden, begünstigt dies eine korrekte Einschätzung von Schadensereignissen
• So werden Fehleinschätzungen durch die kontinuierliche Verbesserung des BCMS gesenkt.

Zusätzlich muss die zentrale Entscheidungsinstanz entsprechend befugt sein, eigenständig die Ereignismeldung einzustufen und eine Entscheidung zu fällen

• Dies verkürzt die Zeitspanne, die bis zum Beginn der Bewältigung verstreicht.

Um sicherzustellen, dass die BAO unverzüglich alarmiert werden kann, müssen die notwendigen organisatorischen und technischen Voraussetzungen geschaffen und dokumentiert werden

• Ein zentraler Punkt, der gemeinsam mit den Rolleninhabenden und der Institutionsleitung abgestimmt werden muss, ist die Erreichbarkeit der BAO innerhalb und außerhalb der üblichen Geschäftszeiten
• Analog zu dem beschriebenen Vorgehen für die zentrale(n) Meldestelle(n) sollten entsprechende Rufbereitschaften der BAO eingerichtet werden
• Für Zeiten, in denen eine Erreichbarkeit der BAO nicht garantiert ist, sollten Risikoübernahmen durch die Institutionsleitung herbeigeführt werden.

Im Ernstfall sollte die Benachrichtigung der Rolleninhabenden der BAO kurz und präzise sein

• Diskussionen und längere Ausführungen zur Lage sollten bei der Alarmierung vermieden werden
• Zum einen könnten zu viele Informationen die zu alarmierende Person verwirren
• Zum anderen würde die Alarmierung unnötig verzögert
• Detaillierte Informationen werden in der ersten Lagebesprechung für alle Anwesenden gemeinsam vorgestellt und besprochen

Der Alarmierungs- und Eskalationsprozess sollte organisatorisch regeln,

• wie die BAO innerhalb und außerhalb der üblichen Geschäftszeiten erreicht wird,
• welche Personen durch die zentrale Entscheidungsinstanz alarmiert werden,
• welche weiteren Personen durch die zuerst alarmierten Personen alarmiert werden,
• welche Kommunikationskanäle hierzu eingesetzt werden sowie * welche Informationen vermittelt werden.

In der Nachricht sollte klar erkennbar sein, welche nächsten Schritte die alarmierte Person unternehmen muss, beispielsweise sich im Stabsraum oder in einer virtuellen Arbeitsumgebung, z. B. Telefonkonferenz, einzufinden

• Die alarmierte Person muss dem Aufruf zeitnah folgen
• Falls weitere Personen die Alarmierung entgegennehmen könnten, z. B. Haushaltsmitglieder, die den Anruf auf dem privaten Telefon entgegennehmen können, so sollten diese für den Umgang mit empfangenen Alarmmeldungen sensibilisiert werden.

Je nach Größe der BAO kann es zeitaufwändig sein, alle Rolleninhabenden einzeln persönlich zu benachrichtigen, z. B. mittels eines manuellen Telefonanrufs

• Zur Unterstützung der Alarmierung kann es sinnvoll sein, eine Alarmierungssoftware oder eine Alarm-App einzusetzen
• Diese IT-Anwendungen ermöglichen es, auf Knopfdruck die zur Bewältigung erforderlichen Personen zu benachrichtigen
• Sofern eine Alarmierungssoftware eingesetzt wird, muss diese auch im Notfall oder in der Krise verfügbar sein

Neben der Alarmauslösung bieten die IT-Anwendungen zur Alarmierung oft wichtige Zusatzfunktionen, z. B.:

• eine Alarmnachverfolgung,
• eine automatische Benachrichtigung der Stellvertretenden bei Nicht-Erreichbarkeit oder
• die Möglichkeit, dass die alarmierten Personen der Stabsleitung den erwarteten Zeitpunkt des Eintreffens im Stabsraum mitteilen können, falls dies der nächste Schritt ist

Der definierte Eskalations- und Alarmierungsprozess sollte visualisiert und im Notfallhandbuch dokumentiert werden

• Dafür kann z. B. die Abbildung 24 angepasst werden
• Diese ist auch in den Hilfsmitteln zum BSI-Standard 200-4 hinterlegt

Dokumentierte Vorgaben und begleitende Maßnahmen stellen sicher, dass die definierten Meldewege wie vorgesehen eingehalten werden

• Als begleitende Maßnahme müssen Meldestellen und Kommunikationswege organisationsweit bekannt gegeben werden
• Dazu können z. B. Aushänge oder andere Informationsmaterialen genutzt werden

Die Notfallkarte in den Hilfsmitteln stellt ein mögliches Beispiel dafür dar

• Des Weiteren sollten Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeitenden geplant und veranlasst werden, um eine schnelle Alarmierung und Eskalation zu gewährleisten

Festlegung der Methoden und Regeln für die Stabsarbeit (R)

Konstituierung und Auflösung der BAO (R)

Konstituierung und Auflösung der BAO (AS)

Festlegung eines Zusammenarbeitsmodells (AS)

Festlegung der Arbeitsbedingungen (AS)

Protokollierung (AS)

Festlegung besonderer Befugnisse (AS)

Erstellung eines Verhaltenskodexes (AS)

Schulung der BAO

Lagebeobachtung und -visualisierung

Festlegung eines Stabsraums

Ausstattung des Stabsraums

Freigabe durch die Institutionsleitung

Allgemeine Regelungen zur Kommunikation

Interne Kommunikation

Externe Kommunikation