Notfallmanagement Resilienz in Organisationen schaffen

„Krise ist ein produktiverZustand, man muss

ihm nur den Beigeschmack der Katastrophe nehmen.“

Max Frisch

2

3OSYSCON GmbH 2018

Organisationen in der modernen Welt

4OSYSCON GmbH 2018

Warum Notfallmanagement

Ausfallszenarien

Ausfall Gebäude/ Infrastruktur Ausfall IT

Ausfall Personal Ausfall Dienstleister

• Stromausfall• Bombendrohung• Hochwasser• Rohrbruch

• Personalausfall• Insolvenz• Ausfall

Infrastruktur

• Längerer Systemausfall

• Feuer / Wasser• Internet (Cloud-

Dienste)

• Krankheit• Streik• Unfälle / Todesfälle

5

Rechtliche Rahmenbedingungen

6Stand 2018

Weitere Normen und Gesetze

KonTraG

Basel II / III

Verpflichtung zur Einrichtung eines Risikomanagementsystems.

Berücksichtigung operationeller Risiken bei der Eigenkapitalausstattung von Banken.

Aktiengesetz

Garantenpflicht der Vorstände, Schaden von der Gesellschaft abzuwenden.

ISAE 3402

Berücksichtigung operationeller und IT-Risiken bei Versicherungen.

7Stand 2018

Regulatorische Rahmenbedinungen

ManagementsystemeDefinition

Instrument zur systematischen Organisationsführung und Steuerung.

Durch eine Aufbauorganisation (Beauftragte, Koordinatoren) werden, von der Unternehmensleitung, vorgegebene Ziele systematisch mit Hilfe einer Ablauforganisation (Prozesse, Verfahren) erreicht.

Die Zielerreichung wird mit Hilfe von internen Audits, Kennzahlen und regelmäßigen Berichtengemessen.

Die Weiterentwicklung wird durch Anweisungen der Leitung an die Aufbauorganisation vorangetrieben.

04.04.2018 Stand 2018 8

Plan – Do – Check - ActKreislauf eines Managementsystems

Planung und Konzeption

Optimierung und Verbesserung

Erfolgskontrolle und Überprüfung

Umsetzung und Implementierung

04.04.2018 Stand 2018 9

10Stand 2018

Notfallmanagement nach BSI 100-4

Initiierung Konzeption Umsetzung Notfall-bewältigungÜbungen und

Tests Verbesserung

11Stand 2018

Praktische UmsetzungUMRA – Rahmenwerk für die Umsetzung des Notfallmanagements

12Stand 2018

Stufe INotfallmanagement ermöglichen

Initiierung

•Leitlinie

Konzeption

•Business Impact Analyse

•Strategie-entwicklung

Notfallbewältigung

Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan

•Geschäfts-fortführungsplan

•Krisen-kommunikation

Übungen und Tests

•Plan-Review•Alarmierungs-übungen

Verbesserung

•Schulung und Sensibilisierung

13Stand 2018

Stufe II + Stufe IIINotfallprävention und Weiterentwicklung

Initiierung

•Leitlinie

Konzeption

•Business Impact Analyse

•Strategie-entwicklung

•Risikoanalyse•Notfallvorsorge-konzept

Notfallbewältigung

Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan

•Geschäfts-fortführungsplan

•Krisen-kommunikation

Übungen und Tests

•Plan-Review•Alarmierungs-übungen

•Übungsplan•Übungskonzept•Übungsbericht•Drehbücher

Verbesserung

•Schulung und Sensibilisierung

• Interner Audit•Kontinuierliche Verbesserung

14Stand 2018

InitiierungRahmenbedingungen schaffen

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

Leitlinie Zeit

Personal Finanzen

15Stand 2018

Rollen und Verantwortlichkeiten

16Stand 2018

Konzeption

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

Business Impact Analyse Strategieentwicklung

17Stand 2018

Business Impact AnalyseKritische Geschäftsprozesse analysieren und bewerten

Einkauf Lager Produktion Lager Verkauf Service

Wareneingang

Schaden Ressourcen Kritische Termine

4h 24h 96h 144h

niedrig normal hoch Sehr hoch

Sommer Weihnachtsgeschäft

18OSYSCON GmbH 2018

Eskalation eines Notfalls

Störung

Notfall

Krise

Katastrophe

19Stand 2018

Parameter Die Ausfallzeit ist nicht alles

20Stand 2018

Beispiel aus der Praxis

21Stand 2018

Strategieentwicklung

22Stand 2018

Strategieoptionen

Redundante Standorte Ausweichstandorte Telearbeit

Schulung Dienstleister Dokumentation

Backups SLA / CarePacks Redundanz

23Stand 2018

Beispiel RechenzentrumKosten im Vergleich zu den Basiskosten / Wiederherstellungszeiten

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

0h 72h

Act

ive/

Act

ive

Hot

Sta

ndby

War

m S

tand

by

Col

d S

tand

y

24Stand 2018

Die „kleinen“ Lösungen

Backup in die Cloud Mobiles Notfallrechenzentrum

VPN loka

l

25Stand 2018

Umsetzung

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

26Stand 2018

Notfallbewältigung

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

Krisenstab Infrastruktur

27Stand 2018

Krisenstab

KrisenentscheidungsgremiumGeschäftsleitung

Leiter KrisenstabNotfallbeauftragter

Öffentlichkeitsarbeit

Kernteam erweitert

IT-Sicherheit

Physische Sicherheit

Notfallteams

Leiter IT Standort-sicherheit

Recht

Personal Fach-abteilungen

Datenschutz

Infrastruktur IT Recht

28Stand 2018

Infrastruktur

29Stand 2018

Übungen und Tests

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

30Stand 2018

Übungsarten

Bezeichnung Inhalt Beteiligte Frequenz Aufwand

Schreibtischtest Der Notfallbeauftragte geht mit allen Beteiligten das Notfallkonzept am Schreibtisch durch.

Interne Mitglieder der Notfallorganisation

Strukturiertes Durchgehen

Theoretisches Durcharbeiten eines Szenarios mit allen Beteiligten

Alle für das Szenario notwendigen Führungspersonen

Simulation Ein Ausfall wird durch Festlegung simuliert

Alle betroffenen Mitarbeiter und Dienstleister

Livetest Benötigte Ressourcen stehen nicht mehr zur Verfügung (Mitarbeiter beurlauben, Abschaltung Strom, Trennung Netzwerk etc. )

s.o

oft hoch

selten niedrig

31Stand 2018

ÜbungszenarienNotfälle kommen auf leisen Sohlen

Ein Mitarbeiter aus dem Marketing meldet sich um 14 Uhr mit plötzlicher Übelkeit krank. Er hat in der Pause eine Currywurst Pommes in der Kantine verzehrt. Diese war heute im Sonderangebot. Er isst sonst eher immer das vegetarische Gericht aber heute haben alle die Currywurst bestellt.

Eine Email wird vom Abteilungsleiter 3 an den Helpdesk gesendet, mit der Bitte um Überprüfung, ob es sich um einen Trojaner handeln könnte. Im Anhang soll eine Bewerbung sein. Der Abteilungsleiter hat nicht auf den Anhang gedrückt, weil es ihm komisch vorkam, dass eine Bewerbungs-Email von einem Unbekannten direkt an ihn adressiert worden ist.

In der Stadt findet ein großer internationaler Gipfel statt. Es werden mehrere hundert Teilnehmer und mehrere Tausend Demonstranten erwartet. Bereits am ersten Tag kommt es zwischen den Demonstranten und der Polizei zu gewaltsamen Auseinandersetzungen. In der Folge muss die Polizei die Straße, in der die ABC GmbH ihren einzigen Sitz hat, für drei Tage komplett sperren.

32Stand 2018

Übungsablauf Planbesprechung

Der Übungsdurchführende stellt die Lage oder Lageentwicklung vor und gibt ein Zeitlimit für eine Entscheidung.

Die Teilnehmer besprechen die Handlungsoptionen und und stellen sie dem Entscheidungsgremium vor.

Das Entscheidungsgremium wählt eine der Optionen ausund weist die Umsetzung durch den Krisenstab oder dieNotfallteams an.

33Stand 2018

Verbesserung

Initiierung

Konzeption

Umsetzung

Notfallbewältigung

Übungen und Tests

Aufrechterhaltung und Verbesserung

34Stand 2018

Lessons Learned

• Notwendige Dokumentation komplettieren

• Vollständigkeit überprüfen

• Durchführung innerhalb von zwei Wochen nach dem Vorfall

• Teilnahme von allenBeteiligten

• Vorfall diskutieren• Prozess diskutieren• Maßnahmen

Konkrete Ursachenermittlung vor Verursacherermittlung

04.04.2018 Stand 2018

Ishikawa-DiagrammUrsachenermittlung durchführen

Vorfälle können nicht behandelt werden

Führungspersonal kennt Anforderungen nicht

Funktionen inNebenaufgaben

Veraltete Systeme

Beschaffung von Werkzeugen langwierig

Kein Behandlungsprozessdefiniert

Kein Sicherheitskonzept Geringes Sicherheitsbudget

Qualifizierte Mitarbeiteraußerhalb des Besoldungsrahmens

Keine dedizierten Werkzeuge zur Erkennung

Hohe Arbeitsbelastungder Mitarbeiter

Fragen?

36Stand 2018

Vielen Dank für Ihre AufmerksamkeitStefan LorenzGeschäftsführerOSYSCON GmbHMax-Planck-Straße 7-9D- 27721 RitterhudePhone: 04292 / 5625 684 0Mail: sl@osyscon.de

Gerd-Jürgen PeterKey Account Manager ML Consulting Schulung, Service & Support GmbHMax-Planck-Straße 39D- 50858 KölnPhone: 02234 / 92 03 - 261Mail: g.peter@mlgruppe.de

mailto:sl@osyscon.demailto:g.peter@mlgruppe.de

Stefan Lorenz

38OSYSCON GmbH 2018

Geschäftsführer OSYSCON GmbH

Berater IT-Sicherheitsmanagement und Business ContinuityExterner Datenschutzbeauftragter

ZertifizierungenISO 27001 Lead AuditorISO 27001 Lead ImplementerDatenschutzbeauftragter nach DSGVO

StudiumMaster of Business AdministrationMagister Artium Geschichtswissenschaften

��Notfallmanagement „Krise ist ein produktiver�Zustand, man muss�ihm nur den Beigeschmack der Katastrophe nehmen.“Organisationen in der modernen Welt Warum NotfallmanagementRechtliche RahmenbedingungenWeitere Normen und GesetzeRegulatorische RahmenbedinungenManagementsystemePlan – Do – Check - ActNotfallmanagement nach BSI 100-4Praktische UmsetzungStufe IStufe II + Stufe IIIInitiierungRollen und VerantwortlichkeitenKonzeptionBusiness Impact AnalyseEskalation eines Notfalls Parameter Beispiel aus der PraxisStrategieentwicklungStrategieoptionenBeispiel RechenzentrumDie „kleinen“ LösungenUmsetzungNotfallbewältigungKrisenstabInfrastrukturÜbungen und TestsÜbungsartenÜbungszenarienÜbungsablauf PlanbesprechungVerbesserungLessons LearnedIshikawa-DiagrammFragen?Vielen Dank für Ihre AufmerksamkeitStefan Lorenz