BSI/200-4/05 Besondere Aufbauorganisation

BSI/200-4/05 Besondere Aufbauorganisation

Beispiel verschiedener Rollen in einer BAO

Strategische Ebene

• legt die Ziele und Prioritäten in der Bewältigung fest

Taktische Ebene

• analysiert die Lage, beschließt dahingehend Maßnahmen und überwacht, ob diese umgesetzt wurden und wirksam sind

Operative Ebene

• setzt die beschlossenen Maßnahmen um und meldet den Erfolg oder die Wirkung der umgesetzten Maßnahmen an die taktische Ebene

Die Institution sollte in der BAO einen Stab als zentrales Führungsgremium der Bewältigung definieren

• Der Stab lenkt, koordiniert und unterstützt die Bewältigung
• Ferner sollte er an die relevanten Parteien den Fortschritt der Notfallbewältigung kommunizieren.

Verantwortung und Zuständigkeit für strategische Entscheidungen in Notfällen bleibt bei der Institutionsleitung

• Der Stab unterstützt die Institutionsleitung, indem er
  • Lösungen entwickelt
  • alle Tätigkeiten hierzu koordiniert

Zielsetzungen des Stabes

• zeitkritische Geschäftstätigkeiten schnellstmöglich wiederaufgenommen werden,
• weitere Auswirkungen des Schadensereignisses von der Institution abgewendet werden sowie
• eine effektive und effiziente Zusammenarbeit sowie Kommunikation zwischen allen betroffenen Organisationseinheiten, der Institutionsleitung sowie Einsatzkräften, Behörden, Medien und anderen Parteien möglich ist.

Die Institutionsleitung sollte dem Stab angemessene Befugnisse übertragen

damit er seine Ziele erreichen kann

• Entscheidungsbefugnisse
• Finanzbefugnisse

Abhängig von seinen Befugnissen kann der Stab auf der strategisch-taktischen oder nur auf der taktischen Ebene agieren.

BCB erarbeiten einen Vorschlag für die allgemeinen Aufgaben des Stabes

Der Vorschlag kann sich an folgender Liste orientieren:

• Lage feststellen, beurteilen und fortschreiben
• einzuleitende Maßnahmen abstimmen und darüber entscheiden
• Arbeitsaufträge an unterstützende Einheiten, z. B. Bewältigungsteams, erteilen (Aufgabenmanagement)
• umgesetzte Maßnahmen auf deren Wirksamkeit überprüfen und, falls erforderlich, korrigierende Maßnahmen einleiten
• interne und externe NuK-Kommunikation sowie Öffentlichkeitsarbeit (z. B. Pressestelle) steuern
• an die Institutionsleitung oder andere Zuständige eskalieren, falls die Situation die Grenzen der eigenen Zuständigkeit übersteigt

Rollen in einem Stab

Zur operativen Bewältigung eines Notfalls sollten Notfallbewältigungsteams aufgebaut werden

• Da auf diese auch im Krisenfall zurückgegriffen werden kann, werden sie in diesem Standard als Bewältigungsteams bezeichnet.

Bewältigungsteams

• erhalten ihre Arbeitsaufträge aus dem Stab
• setzen die technischen, baulichen oder organisatorischen Maßnahmen zur Notfallbewältigung um

Im Vorfeld festgelegte Bewältigungsteams haben gegenüber ad hoc zusammengestellten Teams drei Vorteile:

• Sie können anhand von Trainings und Übungen auf verschiedene Notfallszenarien vorbereitet werden
• Sie können im Notfall aufgrund des Trainingseffekts in der Regel schneller und zielgerichteter agieren
• Die Kommunikationswege zwischen Stab und Bewältigungsteams können im Vorfeld festgelegt und erprobt werden

Leitenden der Bewältigungsteams

• Berichten während der Notfallbewältigung dem Stab in regelmäßigen Abständen
• Dazu sammeln sie Informationen vor Ort und leiten diese an den Stab weiter
• Darüber hinaus koordinieren und kontrollieren sie, ob die vom Stab angeordneten Maßnahmen vor Ort umgesetzt werden und wirksam sind

In der Praxis haben sich die folgenden Bewältigungsteams bewährt

• IT
• Personal
• Gebäudeverwaltung
• NuK-Kommunikation

Es ist empfehlenswert, diese institutionsspezifisch durch weitere Bewältigungsteams zu ergänzen

• Es können Bewältigungsteams in den zeitkritischsten Organisationseinheiten etabliert werden, die das Kerngeschäft repräsentieren
• Genaue Zusammenstellung der Bewältigungsteams nochmals an die konkrete Wiederanlauf- und Geschäftsfortführungsplanung anpassen

Der festgelegte Aufbau der BAO sowie die Rollenbesetzung müssen von der Institutionsleitung freigegeben werden

• Um der Institutionsleitung einen Gesamtüberblick über die BAO zu ermöglichen, ist es hilfreich, diese schematisch zu beschreiben
• Hierzu kann ein Schaubild, wie oben dargestellt, erstellt werden
• Anhand von Rollenkarten können zusätzlich die jeweiligen Aufgaben und Zuständigkeiten jeder Rolle im Detail vorgestellt werden.

Schulungen

Unter anderem durch Schulungen kann sichergestellt werden, dass die Rolleninhabenden fachlich geeignet sind

• Gleichzeitig sollte geklärt werden, ob die Personen mental in der Lage sind, in besonderen Stresssituationen zu arbeiten

Bewältigungsteams sollten mit geeignetem Personal besetzt werden

• In der Praxis hat es sich bewährt, dazu auf die fachlich qualifizierten Mitarbeitenden aus den entsprechenden Ressourcenkategorien zurückzugreifen und die Teams mit hinreichenden Vertretungen zu versehen

Verpflichtungen

• Auf jeden Fall ist es empfehlenswert, die Mitarbeitenden im Einzelnen und die Personalvertretung im Allgemeinen zu beteiligen
• da die Mitgliedschaft in einem Bewältigungsteam meistens mit entsprechenden Verpflichtungen (Bereitschaftszeiten, Arbeit an freien Tagen etc.) einhergeht

Mindestens folgende Angaben sollten aufgenommen werden:

• Zeitpunkt und Ort des Ereignisses
• meldende Person oder Stelle
• eventuell betroffene Personen, Bereiche oder Prozesse
• mögliche Ursache oder Auslöser
• bereits ergriffene Sofortmaßnahmen
• die aktuellen Auswirkungen

Ersteinschätzung eines Schadensereignisses am bzw. im Ge­bäude

Ersteinschätzung eines Schadensereignisses in der IT

Ersteinschätzung eines Schadensereignisses beim Personal

Ersteinschätzung eines Schadensereignisses bei Dienstleis­tungsunternehmen

Zentrale Entscheidungsinstanz

Die Einstufung und Entscheidung, ob es sich bei dem Schadensereignis um eine Störung, einen Notfall oder eine Krise handelt, muss durch eine zentrale Entscheidungsinstanz getroffen werden

• Verhindert zeitaufwändige Abstimmungen oder unklare Entscheidungsbefugnisse und ermöglicht so eine schnelle Entscheidungsfindung

Dies ist von hoher Bedeutung

• da die Entscheidung über das Ereignis weitreichende Auswirkungen auf das weitere Geschehen der Bewältigung hat
• Stellt sich heraus, dass ein Schadensereignis als Störung bewertet wurde, es sich aber um einen Notfall handelt, ist wahrscheinlich wertvolle Zeit verloren gegangen

Entscheidungsinstanz muss

• geschult
• erfahren
• und befugt sein

Geschult bedeutet

• Sachkenntnis, um entscheiden zu können, was eine Störung, was ein Notfall und was eine Krise ist
• Alarmierungsprozess kennen
• Überblick über die Institution

In den meisten Fällen liegen zu einem Schadensereignis nur eingeschränkte Informationen vor

• Auch dann sollte diese Entscheidungsinstanz entscheidungsfreudig sein.

Übungen und Tests

• realitätsnahe, praktische Erfahrungen sammeln
• Entscheidungskriterien verbessern
• Fehleinschätzungen vermeiden

Befugnisse

Die zentrale Entscheidungsinstanz muss befugt sein

• eigenständig die Ereignismeldung einzustufen
• eine Entscheidung zu fällen

Dies verkürzt die Zeitspanne, die bis zum Beginn der Bewältigung verstreicht.

Sicherstellen, dass die BAO unverzüglich alarmiert werden kann

Organisatorischen und technischen Voraussetzungen chaffen und dokumentieren

• Erreichbarkeit der BAO innerhalb und außerhalb der üblichen Geschäftszeiten
• Rufbereitschaften der BAO eingerichtet werden
• Für Zeiten, in denen eine Erreichbarkeit der BAO nicht garantiert ist, sollten Risikoübernahmen durch die Institutionsleitung herbeigeführt werden

Benachrichtigung der Rolleninhabenden solltenkurz und präzise sein

Diskussionen und längere Ausführungen sollten bei der Alarmierung vermieden werden

• Zu viele Informationen verwirren und verzögern die Alarmierung

Detaillierte Informationen

• werden in der ersten Lagebesprechung für alle Anwesenden gemeinsam vorgestellt und besprochen

Alarmierungs- und Eskalationsprozess sollte regeln

• wie die BAO innerhalb und außerhalb der üblichen Geschäftszeiten erreicht wird,
• welche Personen durch die zentrale Entscheidungsinstanz alarmiert werden,
• welche weiteren Personen durch die zuerst alarmierten Personen alarmiert werden,
• welche Kommunikationskanäle hierzu eingesetzt werden sowie
• welche Informationen vermittelt werden.

In der Nachricht sollte klar erkennbar sein

Welche nächsten Schritte die alarmierte Person unternehmen muss

• beispielsweise sich im Stabsraum oder in einer virtuellen Arbeitsumgebung, z. B. Telefonkonferenz, einzufinden

Die alarmierte Person muss dem Aufruf zeitnah folgen

Falls weitere Personen die Alarmierung entgegennehmen könnten, z. B. Haushaltsmitglieder, die den Anruf auf dem privaten Telefon entgegennehmen können, so sollten diese für den Umgang mit empfangenen Alarmmeldungen sensibilisiert werden.

Alarm-Apps

Je nach Größe der BAO kann es zeitaufwändig sein, alle Rolleninhabenden einzeln persönlich zu benachrichtigen, z. B. mittels eines manuellen Telefonanrufs

• Zur Unterstützung der Alarmierung kann es sinnvoll sein, eine Alarmierungssoftware oder eine Alarm-App einzusetzen
• Diese IT-Anwendungen ermöglichen es, auf Knopfdruck die zur Bewältigung erforderlichen Personen zu benachrichtigen
• Sofern eine Alarmierungssoftware eingesetzt wird, muss diese auch im Notfall oder in der Krise verfügbar sein

Zusatzfunktionen

• Alarmnachverfolgung
• automatische Benachrichtigung der Stellvertretenden bei Nicht-Erreichbarkeit
• Möglichkeit, dass die alarmierten Personen der Stabsleitung den erwarteten Zeitpunkt des Eintreffens im Stabsraum mitteilen können

Dokumentation

Der definierte Eskalations- und Alarmierungsprozess sollte visualisiert und im Notfallhandbuch dokumentiert werden

• Dafür kann obige Abbildung angepasst werden
• Diese ist auch in den Hilfsmitteln zum BSI-Standard 200-4 hinterlegt

Dokumentierte Vorgaben und begleitende Maßnahmen stellen sicher, dass die definierten Meldewege wie vorgesehen eingehalten werden

• Als begleitende Maßnahme müssen Meldestellen und Kommunikationswege organisationsweit bekannt gegeben werden
• Dazu können z. B. Aushänge oder andere Informationsmaterialen genutzt werden

Innerhalb des Notfallhandbuchs MÜSSEN

• Sofortmaßnahmen dokumentiert werden
• Die im Notfallhandbuch definierten Sofort­maßnahmen MÜSSEN Regelungen zum Schutz von Leib und Leben beinhalten

Beispiel für Sofortmaßnahmen bei einem Gebäudeausfall

• Hellgrau hinterlegte Zeilen stellen übliche Sofortmaßnahmen der AAO dar
• weiß hinterlegte Zeilen Sofortmaßnahmen des BCM

Festlegung der Methoden und Regeln für die Stabsarbeit (R)

Konstituierung und Auflösung der BAO (R)

Konstituierung und Auflösung der BAO (AS)

Festlegung eines Zusammenarbeitsmodells (AS)

Festlegung der Arbeitsbedingungen (AS)

Protokollierung (AS)

Festlegung besonderer Befugnisse (AS)

Erstellung eines Verhaltenskodexes (AS)

Schulung der BAO

Lagebeobachtung und -visualisierung

Festlegung eines Stabsraums

Ausstattung des Stabsraums

Freigabe durch die Institutionsleitung

Allgemeine Regelungen zur Kommunikation

Interne Kommunikation

Externe Kommunikation