“Was sol­len wir denn noch alles machen?” hören wir ger­ne und oft auf die Fra­ge, ob es denn bereits ein belast­ba­res Not­fall­ma­nage­ment in einer Orga­ni­sa­ti­on gibt. Und ja, es stimmt, Ein­füh­rung und Betrieb kos­ten Zeit und Ner­ven aller Betei­lig­ten. Und dar­an betei­ligt sind zahl­rei­che Rol­len / Funk­tio­nen in einer Orga­ni­sa­ti­on. Ein Not­fall­be­auf­trag­ter dient der Koor­di­na­ti­on, Über­wa­chung und Kon­trol­le. Er oder sie ist aber nicht dafür zustän­dig, Not­fall­ma­nage­ment allei­ne ein­zu­füh­ren, damit der Rest der Orga­ni­sa­ti­on nichts damit zu tun hat. Übri­gens ein weit ver­brei­te­ter Irr­tum, der auch bei den Funk­tio­nen Daten­schutz­be­auf­trag­ter und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter häu­fig anzu­tref­fen ist.

Orga­ni­sa­ti­ons­weit gilt es, Pro­zes­se und Struk­tu­ren zu erfas­sen und zu ana­ly­sie­ren im Hin­blick auf die Kri­ti­k­ali­tät für die wich­tigs­ten Geschäfts­pro­zes­se der Orga­ni­sa­ti­on. Im Anschluss sind mög­li­che Risi­ken für die­se kri­ti­schen Pro­zes­se zu iden­ti­fi­zie­ren und nach Ein­tritts­wahr­schein­lich­keit und Scha­dens­hö­he zu bewer­ten. Im nächs­ten Schritt gilt es, tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men zu iden­ti­fi­zie­ren und ein­zu­füh­ren, die hel­fen kön­nen, die Ein­tritts­wahr­schein­lich­keit und Scha­dens­hö­he zu mini­mie­ren (Not­fall­vor­sor­ge). Hier­bei kann ein vor­han­de­nes ISMS (Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem) auf Basis des BSI IT-Grund­schutz, der ISO 27001, von CISIS12 oder der Arbeits­hil­fe sehr gut unter­stüt­zen. Für ver­blei­ben­de Risi­ken wer­den danach Not­fall­plä­ne / Wie­der­an­lauf­plä­ne ent­wi­ckelt und regel­mä­ßig erprobt (Not­fall­be­hand­lung).  Für all das sind Mit­ar­bei­ter aus vie­len Berei­chen der Orga­ni­sa­ti­on und Zeit not­wen­dig

Und wofür das Gan­ze? Gutes und wirk­sa­mes Not­fall­ma­nage­ment / Busi­ness Con­ti­nui­ty Manage­ment hilft,

• Aus­fall­zei­ten kri­ti­scher Geschäfts­pro­zes­se zu ver­kür­zen bzw. zu ver­mei­den,
• im Ernst­fall schnell reagie­ren und damit den poten­ti­el­len Scha­den redu­zie­ren zu kön­nen,
• struk­tu­rier­te Vor­ge­hens­wei­sen und Ver­ant­wort­lich­kei­ten für die Bewäl­ti­gung sol­cher Vor­fäl­le zu schaf­fen und damit schnell reagie­ren zu kön­nen,
• das not­wen­di­ge Bewusst­sein in der Orga­ni­sa­ti­on für das The­ma zu schaf­fen,
• die eige­ne Orga­ni­sa­ti­on und deren Abläu­fe bes­ser zu ver­ste­hen und zu opti­mie­ren (Über­gang in das Pro­zess­ma­na­ga­ment),
• vor­han­de­ne recht­li­che Auf­la­gen (KRITIS, NIS1 / NIS2, IT-Sicher­heits­ge­setz, Kre­dit­we­sen usw.) oder Anfor­de­run­gen von Auf­trag­ge­bern zu erfül­len,
• Haf­tungs­ri­si­ken zu redu­zie­ren,
• bes­se­re Ver­si­che­rungs­kon­di­tio­nen für Poli­cen zu Elek­tro­nik­aus­fall, Cyber­ri­si­ken etc. zu erhal­ten und
• als Orga­ni­sa­ti­ons­lei­tung nachts ruhi­ger schla­fen zu kön­nen 🙂