View
0
Download
0
Category
Preview:
Citation preview
BS 11200:2014
Crisis management and good practice
Aufbau eines Krisenmanagementsystems
Mai 2017
Dr. Holger Kaschner
Whitepaper
2017|03
ACG Automation Consulting Group GmbH
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
www.acg-bcm.de 2 / 8
Inhalt
Auf einen Blick: BS 11200:2014 2
Die Herausforderung 3
Leitfrage 4
Inhalt von BS 11200:2014 4
Stärken 5
Schwächen 5
Investitionen/Kosten/Einsparpotenzial bei Verfahren gem. BS 11200:2014 6
Implementierung des BS 11200:2014 6
Fazit 7
Über ACG 8
Competence Center Business Continuity & Crisis Management 8
http://www.acg-bcm.de
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
3 / 8 www.acg-bcm.de
Auf einen Blick: BS11200:2014
Die Herausforderung
Elementarereignisse, Stromausfälle, Streiks bei Outsourcing-Partnern, anderweitige Un-
terbrechungen der Lieferkette oder Cyber-Attacken – die Risiken sind für Unternehmen,
Verwaltungen, Behörden und sogar gemeinnützige Institutionen so zahlreich wie nie.
Deshalb ist es für Organisationen aller Art unabdingbar, eine Widerstandsfähigkeit ge-
genüber ungeplanten Ereignissen und Krisen zu entwickeln. Eine solche Resilienz fällt
nicht vom Himmel. Einerseits hilft eine agile Organisationstruktur dabei, erfolgreich zu
bleiben. Andererseits muss das Vertrauen der wesentlichen Stakeholder bewahrt wer-
den. Daher müssen Menschen, Informationen, Prozesse und Produkte genauso ge-
schützt werden, wie sonstige materielle und immaterielle Werte. Dafür gibt es Manage-
ment Systeme, beispielsweise für (Information) Security, IT Service Continuity und Busi-
ness Continuity.
Diese Präventionsmaßnahmen setzen an den Ursachen von Risiken an und puffern die
Wirkungen der meisten ungewollten Ereignisse ab. Da Risiken aber nur in den seltens-
ten Fällen mit wirtschaftlich vertretbarem Aufwand vollständig eliminiert werden kön-
nen, bleiben Restrisiken. Wenn diese schlagend werden, sind zwei Dinge gefragt: Kri-
senmanagement und Krisenkommunikation.
http://www.acg-bcm.de
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
www.acg-bcm.de 4 / 8
Leitfrage
Sollte ein Unternehmen oder eine Behörde das Krisenmanagement am britischen Stan-
dard BS 11200:2014 ausrichten oder einen eigenen Ansatz entwickeln?
Inhalt von BS 11200:2014
Der BS 11200:2014 formuliert den Anspruch, Prinzipien und Good Practices für Krisen-
management zu setzen. Er richtet sich an das Top Management und Mitarbeiter der
Krisenorganisation eines Unternehmens bzw. einer Behörde, unabhängig von deren
Größe. Der Standard gibt Hilfestellungen zu verschiedenen Herausforderungen rund
um das Management von Krisen. Dazu zählen unter anderem zunächst ein Grundver-
ständnis dieser Herausforderungen zu entwickeln, die Krisenmanagementfähigkeit
durch Trainings und Übungen zu entwickeln sowie in Krisen wirkungsvoll zu kommuni-
zieren.
Er umfasst acht Kapitel, drei Abbildungen und zwei Tabellen, die sich auf 36 Seiten
(davon 29 inhaltliche) verteilen.
Sein Aufbau erinnert an ISO-Standards:
1. Scope
Was will der Standard?
2. Glossar
Welche Begrifflichkeiten und Definitionen legt er zugrunde?
3. Grundprinzipien des Krisenmanagements
Was sind Krisen und wie entstehen sie?
4. Aufbau der Krisenmanagementfähigkeit
Wie kann ein Rahmen für einen Krisenmanagementprozess aussehen und welche
Phasen besitzt er typischerweise?
5. Führung in Krisensituationen
Wie unterscheidet sich Führung in Krisensituationen von Führungssituationen im
Alltag?
6. Strategische Entscheidungsfindung
Warum ist es so schwierig und gleichzeitig wichtig, in Krisensituationen gute Ent-
scheidungen zu treffen?
7. Krisenkommunikation
Wie kann sich eine Organisation auf die Tücken in der Kommunikation unter Druck
mit unterschiedlichsten Zielgruppen vorbereiten?
8. Trainings, Übungen und Lessons learned
Was muss trainiert, geübt oder überprüft werden?
http://www.acg-bcm.de
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
5 / 8 www.acg-bcm.de
Stärken
Der Standard beschreibt die Aspekte, die für erfolgreiches Krisenmanagement wesent-
lich sind. Dazu zählen unter anderem die Hinweise zu
klarer Führung
Krisenkommunikation
Entscheidungsfindungsprozess
Aufbau- und Ablauforganisation (z. B. Alarmierungsprozess für den Krisenstab)
Organisationen, die bereits ein Informationssicherheits- oder Business Continuity Ma-
nagement System betreiben, finden im BS 11200:2014 orientierten Krisenmanagement
zahlreiche Schnittstellen und Anknüpfungspunkte. Wiedererkennungswert besitzt der
britische Standard auch insofern, als dass er das Rad nicht neu erfindet: Das Glossar
arbeitet wo immer möglich mit Begriffsdefinitionen aus ISO-Standards, z. B. ISO 9000,
ISO 22301, ISO 31000). Anschaulich ist beispielsweise die Gegenüberstellung der Merk-
male, die ein Vorkommnis entweder zu einem Incident oder einer Krise machen.
Weiterer Vorteil: Der Standard ist vergleichsweise knapp gehalten und enthält trotzdem
alles Wesentliche.
Schwächen
Während ISO-Standards in der Regel um die 100 Euro kosten, verlangt die British Stan-
dard Institution 190 britische Pfund (95 britische Pfund für ihre Mitglieder. Eine
deutschsprachige Fassung gibt es nicht, so dass der Leser zwingend des Englischen
mächtig sein muss. Das macht den 2016 von Bundesamt für Verfassungsschutz (BfV),
dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem ASW Bundes-
verband gemeinsam herausgegebenen Standard 2000-3 „Aufbau und Betrieb eines
Notfall- und Krisenmanagementsystems“ zu einer Alternative. Dieser ist komplett auf
Deutsch und kostenfrei per Download verfügbar.
Ferner enthält der BS 11200:2014 Widersprüche. Je nach Kapitel empfiehlt der Stan-
dard entweder, auf szenariospezifische Krisenpläne zu verzichten – oder diese auszuar-
beiten. Das verwirrt nicht nur den Laien.
Darüber hinaus hat er zwei weitere Nachteile, die allerdings die meisten Standards ha-
ben:
1. Er regelt zwar das „Was“, erklärt aber nur teilweise das „Wie“. Dazu muss eine Orga-
nisation in der Regel entweder auf Fachbücher, die Weiterbildung von Mitarbeitern
oder externe Unterstützung in Form von Beratern zurückgreifen.
2. Daneben verweist er an wichtigen Stellen auf andere Standards, beispielsweise
beim so wichtigen Aspekt Trainings, Tests und Übungen.
Diese Verweise sind übrigens nicht immer aktuell, da die International Organization for
Standardization (ISO) mittlerweile einen eigenen Standard für Tests und Übungen auf-
gesetzt hat (ISO 22398:2015). Eine Zertifizierung des Krisenmanagements nach BS
11200:2014 ist nicht möglich.
http://www.acg-bcm.de
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
www.acg-bcm.de 6 / 8
Investitionen/Kosten/Einsparpotenzial bei Verfahren gem. BS
11200:2014
Ein Krisenmanagementsystem kann entweder erfahrungsbasiert eingerichtet werden
oder orientiert an einem Standard wie dem BS 11200:2014 beziehungsweise dem BfV/
BSI/ASW 2000-3. Keine der Varianten bringt gegenüber den anderen signifikante Ein-
sparpotenziale mit sich. Auch hier geht es nicht ohne die üblichen Investitionen in Auf-
bauorganisation, Ablauforganisation und Infrastruktur. Der Standard selbst äußert sich
nicht zu den zu erwartenden zeitlichen Aufwänden, Investitionen und Betriebskosten.
In der Praxis lassen sich nachstehende Investitionen und Kostentreiber draus ableiten.
Tabelle 1: Kosten und Einsparpotenziale
Implementierung des BS 11200:2014
Wichtig ist die Erkenntnis, dass die Gliederung des Standards keine Checkliste zur Im-
plementierung darstellt. Auch Prioritäten lassen sich daraus nicht ableiten. Stattdessen
muss jede Organisation den Standard und seine Vorgaben interpretieren und auf die
eigenen Bedarfe anpassen. Auch dies ist für einen Standard absolut typisch. Aufgrund
der fehlenden Zertifizierungsfähigkeit ist der Spielraum zur Interpretation jedoch deut-
lich größer als bei der Implementierung eines Business Continuity Management Sys-
tems (BCMS) nach ISO 22301 oder eines Information Security Management Systems
(ISMS) nach ISO 27001. Das ist Fluch und Segen zugleich, da Krisenmanagement- und
Organisationsexperten diesen Spielraum zu nutzen wissen, Einsteiger indes konkretere
Hilfestellungen benötigen.
Pe
rson
alk
oste
n
Vergütung von Bereitschaftszeiten
Aufbau zusätzlicher Rollen für den Aufbau/Betrieb des Krisenmanagementsystems
(z.B. eines Incident & Crisis Managers)
ggfs. Überstunden für Teilnehmer an Übungen oder in Ernstfällen
...
Sa
ch
ko
sten
Konzeption und Implementierung der Krisenorganisation inkl. Aufbau- und Ablaufor-
ganisation
Ausstattung der Krisenstabsräume/Lagezentren am Haupt- sowie Ausweichstandort
Beratungskosten (z.B. bei Konzeption, Implementierung, Training, Übungen, Ad-hoc-
Beratung in Krisen, Medienmonitoring, Lobbying/Stakeholdermanagement, ...)
ggfs. Alarmierungstool oder Krisenmanagementtool
...
http://www.acg-bcm.de
Aufbau eines Krisenmanagementsystems nach BS 11200:2014
7 / 8 www.acg-bcm.de
In der Praxis hat sich losgelöst von einem bestimmten Standard in vielen Fällen folgen-
de Priorisierung bewährt:
Abbildung 1: Implementierung einer Krisenorganisation
Zunächst wird die Aufbauorganisation, sprich die Besetzung des Krisenstabs, festge-
legt. Für diesen müssen Alarmierungs- und Entscheidungsverfahren entwickelt werden
(Ablauforganisation). Ob der Krisenstab seine Aufgaben erfolgreich wahrnehmen kann,
steht und fällt damit, dass diese Verfahren funktionieren – sie müssen getestet werden.
Der Krisenstab wird in den meisten Organisationen aus Personen bestehen, die sich
aus dem beruflichen Alltag zwar kennen, aber noch nicht unter dem besonderen Druck
einer Krisensituation und womöglich nicht in klar definierten Rollen- und Kompetenz-
modellen zusammengearbeitet haben. Dies muss der Krisenstab als Ganzes trainieren
und üben. Eine häufige Erkenntnis aus derartigen Trainings und Übungen ist, dass für
effektive Krisenstabsarbeit bestimmte Infrastrukturen und Hilfsmittel nützlich sind.
Dann wird die Einrichtung eines Krisenstabsraums zu einer sinnvollen Option.
Fazit
Auch wenn der BS 11200:2014 verschiedentlich Optimierungspotenzial aufweist und es
vermutlich nicht ganz ohne erfahrene Krisenberater geht: Er ist neben dem Standard
2000-3 „Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems“ des BfV/
BSI/ASW aktuell die strukturierteste Leitplanke, die eine Organisation für die Konzepti-
on und den Aufbau eines Krisenmanagements finden kann. Insgesamt ist er für den
Aufbau eines Krisenmanagements deutlich nützlicher als sonstige verfügbare Stan-
dards oder Werke, wie zum Beispiel der deutsche Standard BSI 100-4 Notfallmanage-
ment des BSI sowie diverse Fachbücher. Diese vermitteln oft den Eindruck, Krisenma-
nagement sei nichts anderes als eine Sonderform von Business Continutiy Manage-
ment oder eine untergeordnete Teildisziplin von Krisenkommunikation. Ergo: Eine Or-
ganisation kann nichts falsch machen, wenn sie ihr Krisenmanagement am BS
11200:2014 ausrichtet.
http://www.acg-bcm.de
Competence Center Business Continuity & Crisis Management
Wir sind Spezialisten für Business Continuity Management und Krisenmanagement bei
Betreibern Kritischer Infrastrukturen. Unsere Berater verfügen über langjährige Pra-
xiserfahrung aus Linien- und Beratungstätigkeit – auch in den Nachbardisziplinen Infor-
mationssicherheits-, IT Service Continuity und Incident Management. Das Umsetzen
der Anforderungen des IT-Sicherheitsgesetzes (ITSiG) sowie der Vorgaben aus MaRisk,
VAG, MaGo (VA) und Co. gehört für uns zum täglichen Geschäft.
Wir subsumieren den Umgang mit Risiken unter dem Schlagwort Resilienz. Gerade bei
Cyber-Attacken ist Resilienz nur möglich, wenn ISM, BCM, ITSCM, Incident- und Krisen-
management reibungslos ineinander greifen. Genau das stellt der Top-Down-Ansatz
unseres Vorgehensmodells sicher.
Das ACG-Vorgehen ist prüfungs- und praxiserprobt.
Der ACG-Ansatz ist methodisch und technisch offen.
ACG arbeitet effizient und transparent.
Wir zeigen Lösungen auf, Sie entscheiden, gemeinsam setzen wir Ihre Entscheidung
um. Ausführliche Informationen finden Sie unter www.acg-bcm.de.
Über ACG
Die ACG Automation Consulting Group GmbH ist eine inhabergeführte Beratungsgesell-
schaft für Organisation und IT. Seit Unternehmensgründung im Jahr 1985 haben wir
uns auf Betreiber kritischer Infrastrukturen konzentriert. In gut 30 Jahren haben wir bei
mehr als 180 Kunden weit über 1.800 Projekte erfolgreich durchgeführt und sind Rah-
menvertragspartner vieler namhafter Institute.
Kontakt:
Dr. Holger Kaschner
E-Mail: hkaschner@acg-gmbh.de
Telefon: +49 69 66 565 161
Herausgeber:
ACG Automation Consulting Group GmbH
Lyoner Straße 11a
60528 Frankfurt am Main
Telefon: +49 69 66 565 0
E-Mail: info@acg-gmbh.de
Internet: www.acg-gmbh.de
Whitepaper
2017|03
ACG Whitepaper 2017|03
Copyright © ACG 2017.
Alle Rechte vorbehalten.
http://www.acg-bcm.demailto:hkaschner@acg-gmbh.demailto:hkaschner@acg-gmbh.dehttp://www.acg-gmbh.deRecommended