Embed Size (px)
Citation preview
Wirtschaftsgrundschutz
Standard 2000-3 des BfV/BSI/ASW
Aufbau und Betrieb eines Notfall- und
Krisenmanagementsystems
März 2017
Dr. Holger Kaschner
Whitepaper
2017|01
ACG Automation Consulting Group GmbH
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
www.acg-bcm.de 2 / 8
Inhalt
Auf einen Blick: BfV/BSI/ASW 2000-3 3
Die Herausforderung 3
Leitfrage 4
Inhalt von BfV/BSI/ASW 2000-3 4
Aufbau 4
Stärken: viele 5
Schwächen: einige 5
Investitionen, Betriebskosten und Einsparpotenzial 6
Implementierung 6
Fazit 7
Competence Center Business Continuity & Crisis Management 8
Über ACG 8
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
3 / 8 www.acg-bcm.de
Auf einen Blick: BfV/BSI/ASW 2000-3
Die Herausforderung
Elementarereignisse, Stromausfälle, Streiks bei Outsourcing-Partnern, anderweitige Un-
terbrechungen der Lieferkette oder Cyber-Attacken – die Risiken sind für Unternehmen,
Verwaltungen, Behörden und sogar gemeinnützige Institutionen so zahlreich wie nie.
Deshalb ist es für Organisationen aller Art unabdingbar, eine Widerstandsfähigkeit ge-
genüber ungeplanten Ereignissen und Krisen zu entwickeln. Eine solche Resilienz fällt
nicht vom Himmel. Einerseits hilft eine agile Organisationstruktur dabei, erfolgreich zu
bleiben. Andererseits muss das Vertrauen der wesentlichen Stakeholder bewahrt wer-
den. Daher müssen Menschen, Informationen, Prozesse und Produkte genauso ge-
schützt werden, wie sonstige materielle und immaterielle Werte. Dafür gibt es Manage-
ment Systeme, beispielsweise für (Information) Security, IT Service Continuity und Busi-
ness Continuity. Diese Präventionsmaßnahmen setzen an den Ursachen von Risiken an
und puffern die Wirkungen der meisten ungewollten Ereignisse ab. Da Risiken aber nur
in den seltensten Fällen mit wirtschaftlich vertretbarem Aufwand vollständig eliminiert
werden können, bleiben Restrisiken. Wenn diese schlagend werden ist schnell die Re-
putation der Organisation bedroht und zwei Dinge gefragt: Krisenmanagement und Kri-
senkommunikation.
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
www.acg-bcm.de 4 / 8
Leitfrage
Sollte eine Organisation ihr Krisenmanagementsystem am Wirtschaftsgrundschutz
Standard 2000-3 ausrichten oder einen eigenen Ansatz entwickeln?
Inhalt von BfV/BSI/ASW 2000-3
Der Standard 2000-3 erhebt den Anspruch, ein Reaktionsmanagement für Ereignisse zu
beschreiben, die vom regulären Betrieb abweichen. Dabei unterscheidet er zwischen
Vorfall-, Notfall- und Krisenmanagement. Der Schwerpunkt des Standards liegt auf letz-
terem.
Er ergänzt die Wirtschaftsgrundschutzstandards 2000-1 Einführungsdokument und
2000-2 Aufbau und Betrieb eines Sicherheitsmanagementsystems.
Er umfasst sieben Kapitel, zwölf Abbildungen und acht Tabellen, die sich auf 48 Seiten
(davon mehr als 40 inhaltliche) verteilen.
Aufbau
Der Standard ist klar strukturiert:
1. Einleitung
Präambel und Einordnung
2. Anforderungen an ein Notfall- und Krisenmanagementsystem
Was gehört zu einem so genannten Reaktionsmanagement?
3. Notfallmanagement
Was sind die Ziele von Notfallmanagement und welche Organisationsformen gibt
es? Welche Art von Dokumentation gehört dazu?
4. Krisenmanagement
Was sind die Ziele von Krisenmanagement und welche Organisationsformen gibt es
(auch für Konzerntöchter)? Welche Art von Dokumentation gehört dazu? Wie ver-
läuft der Führungsprozess?
5. Krisenkommunikation
Wie lässt sich Krisenkommunikation vorbereiten?
6. Übungsprogramm
Welche Formate sind geeignet, um ein Krisenmanagementsystem auf Herz und Nie-
ren zu testen?
7. Infrastruktur des Notfall- und Krisenmanagements
Welche Voraussetzungen muss eine Institution in infrastruktureller und technischer
Hinsicht schaffen, damit sie ein wirksames Krisenmanagement aufsetzen kann?
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
5 / 8 www.acg-bcm.de
Stärken: viele
Der Standard enthält viele Aspekte, die für ein erfolgreiches Krisenmanagement we-
sentlich sind. Dazu zählen Hinweise zu
• Vorgehensweisen für das unmittelbare Krisenmanagement und bei dessen Vorbe-
reitung
• der Vorbereitung von Krisenkommunikation
• der Vorbereitung von Übungen
• der Konzeption einer Aufbauorganisation und von Prozessen
• Prozessen und Dokumentationen im Sinne einer schriftlich fixierten Ordnung
Insbesondere das Übungskapitel ist im Vergleich zum seinem Gegenstück des Stan-
dards BSI 100-4 deutlich schlüssiger. Die Empfehlungen zur Zusammensetzung eines
(Kern-)Krisenstabs sind zweckmäßig und entsprechen gängigen Good Practices.
Im Vergleich zu anderen Standards liest sich BfV/BSI/ASW 2000-3 recht flüssig. Dies liegt
zum einen an den hervorgehobenen Schlagworten, und zum anderen an den zahlrei-
chen Abbildungen, die den reinen Text auflockern. Auch wenn das darin beschriebene
Prozessmodell noch nicht gänzlich ausgereift wirkt, gibt es eine gute Orientierung zu
den einzelnen Schritten. Die Abbildungen sind überwiegend sehr anschaulich und hel-
fen auch fachfremden Lesern, sich schnell zurecht zu finden. Der Standard verweist auf
andere BSI-Standards und ist zu diesen grundsätzlich kompatibel.
Schwächen: einige
Das Ziel des Standards wird nicht ganz klar. Einerseits trägt er den Titel „Aufbau und
Betrieb eines Notfall- und Krisenmanagementsystems“. Andererseits wird der Manage-
mentsystemcharakter nur teilweise deutlich. Während Managementsysteme üblicher-
weise Komponenten beinhalten, die auch und vor allem im Regelbetrieb – das bedeu-
tet, außerhalb akuter Krisensituationen – eine wirksame Steuerung durch unterschiedli-
che Gremien sowie eine kontinuierliche Verbesserung gewährleisten, sind diese Ele-
mente bei BfV/BSI/ASW 2000-3 nur schwach ausgeprägt.
Sie können zwar aus dem Prozessmodell indirekt abgeleitet werden, auch Hinweise zu
Steuerungsgremien und –rollen fehlen. Daher geht es bei der die Anwendung des Stan-
dards nicht ohne Erfahrung sowohl mit Krisenorganisationen, als auch mit Manage-
mentsystemen bzw. Prozessmodellen.
Der Standard gibt zahlreiche konkrete Hinweise zur Krisenstabsarbeit, hält diesen De-
taillierungsgrad aber nicht durch. Beispielsweise fallen beim Punkt „Verfahren zum
Schichtwechsel und zur Lageübergabe“ die Umsetzungshinweise im Vergleich zu ande-
ren Aspekten der Krisenstabsarbeit knapp aus.
Ein Glossar, das gerade bei derart spezifischen Themenstellungen wesentlich und aus
internationalen Standards bekannt ist, fehlt.
Eine Zertifizierung ist nach BfV/BSI/ASW 2000-3 nicht möglich.
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
www.acg-bcm.de 6 / 8
Investitionen, Betriebskosten und Einsparpotenzial
Ein Krisenmanagementsystem kann entweder erfahrungsbasiert eingerichtet werden
oder orientiert an einem Standard wie dem BS 11200:2014 beziehungsweise dem BfV/
BSI/ASW 2000-3. Keine der Varianten bringt gegenüber den anderen signifikante Ein-
sparpotenziale mit sich. Auch hier geht es nicht ohne die üblichen Investitionen in Auf-
bauorganisation, Prozesse und Infrastruktur.
Der Standard selbst äußert sich nicht zu den zu erwartenden zeitlichen Aufwänden, In-
vestitionen und Betriebskosten. In der Praxis leiten sich jedoch unten stehende Investi-
tionen und Kostentreiber aus den Anforderungen ab.
Tabelle 1: Kosten und Einsparpotenziale
Implementierung
Jede Organisation muss den Standard und seine Vorgaben interpretieren und auf die
eigenen Bedürfnisse anpassen. Dies ist für einen Standard absolut typisch. Aufgrund
der fehlenden Zertifizierungsfähigkeit ist der Spielraum zur Interpretation jedoch deut-
lich größer als bei der Implementierung anderer BSI-Standards (zum Beispiel IT-
Grundschutz) oder eines Business Continuity Management Systems (BCMS) nach ISO
22301:2012. Das ist Fluch und Segen zugleich, da Experten für Managementsysteme
diesen Spielraum zu nutzen wissen, Einsteiger in das Thema indes jedoch konkretere
Hilfestellungen benötigen.
Pe
rson
alk
oste
n
• Aufbau zusätzlicher Rollen für den Aufbau/Betrieb des Krisenmanagementsystems
(z.B. eines Incident & Crisis Managers, der im Regelbetrieb das Managementsystem
steuert)
• Vergütung von Bereitschaftszeiten für Mitglieder der Krisenorganisation
• ggfs. Überstunden für Teilnehmer an Übungen oder in Ernstfällen
• …
Sa
ch
ko
sten
• Konzeption und Implementierung der Krisenorganisation inkl. Aufbauorganisation
und Prozesse
• Ausstattung der Krisenstabsräume/Lagezentren am Haupt- sowie Ausweichstandort
• Beratungskosten (z.B. bei Konzeption, Implementierung, Training, Übungen, Ad-hoc-
Beratung in Krisen, Medienmonitoring, Lobbying/Stakeholdermanagement,..)
• ggfs. Alarmierungstool oder Krisenmanagementtool
• ...
Wirtschaftsgrundschutz Standard 2000-3 des BfV/BSI/ASW
7 / 8 www.acg-bcm.de
In der Praxis hat sich – losgelöst von einem bestimmten Standard –folgende Priorisie-
rung schon oft bewährt:
Abbildung 1: Implementierung einer Krisenorganisation
Zunächst wird die Aufbauorganisation, sprich die Besetzung des Krisenstabs, festge-
legt. Für diesen müssen Alarmierungs- und Eskalationsverfahren entwickelt werden
(Prozesse). Ob der Krisenstab seine Aufgaben erfolgreich wahrnehmen kann, steht und
fällt damit, dass diese Verfahren funktionieren, d. h. sie müssen getestet werden. Der
Krisenstab besteht oftmals aus Personen, die sich aus dem beruflichen Alltag zwar ken-
nen, aber noch nicht unter dem besonderen Druck einer Krisensituation (und womög-
lich nicht in klar definierten Rollen- und Kompetenzmodellen) zusammengearbeitet ha-
ben. Daher ist der Führungsprozess besonders wichtig. Diesen muss der Krisenstab als
Ganzes trainieren und üben. Eine häufige Erkenntnis aus derartigen Trainings und
Übungen ist, dass für effektive Krisenstabsarbeit bestimmte Infrastrukturen und Hilfs-
mittel hilfreich sind. Dann wird die Einrichtung eines Krisenstabsraums zu einer sinn-
vollen Option, ebenso wie unter Umständen die Anschaffung eines Alarmierungs- oder
gar Krisenmanagementtools.
Fazit
BfV/BSI/ASW 2000-3 ist besonders geeignet für Organisationen, die nationale Lösungen
(BSI-Standards) gegenüber international bewährten Ansätzen (ISO-Standards) bevorzu-
gen. Unternehmen mit internationalisierten Lieferketten sind beim BS 11200 vermut-
lich besser aufgehoben. BfV/BSI/ASW 2000-3 hat auf Managementsystemebene seine
Schwächen. Ebenso enthält er terminologische Stilblüten aus dem Generalstab Preu-
ßens beziehungsweise der Reichswehr, die allerdings im Zusammenhang mit dem The-
ma Übungen auch heute noch verbreitet sind („Stabsrahmenübungen“).
Dessen ungeachtet bietet er die beste Orientierung, die es aktuell in standardähnlicher
Form zum Thema Krisenmanagement in deutscher Sprache gibt. Denn: BfV/BSI/ASW
2000-3 ist eher eine Good Practice Guideline als ein echter Standard. Auch Krisenma-
nagement-Einsteiger finden sich gut darin zurecht. Eine Organisation macht nichts
falsch, wenn sie ihr Krisenmanagement daran ausrichtet.
Competence Center Business Continuity & Crisis Management
Wir sind Spezialisten für Business Continuity Management und Krisenmanagement bei
Betreibern Kritischer Infrastrukturen. Unsere Berater verfügen über langjährige Pra-
xiserfahrung aus Linien- und Beratungstätigkeit – auch in den Nachbardisziplinen Infor-
mationssicherheits-, IT Service Continuity und Incident Management. Das Umsetzen
der Anforderungen des IT-Sicherheitsgesetzes (ITSiG) sowie der Vorgaben aus MaRisk,
VAG, MaGo (VA) und Co. gehört für uns zum täglichen Geschäft.
Wir subsumieren den Umgang mit Risiken unter dem Schlagwort Resilienz. Gerade bei
Cyber-Attacken ist Resilienz nur möglich, wenn ISM, BCM, ITSCM, Incident- und Krisen-
management reibungslos ineinander greifen. Genau das stellt der Top-Down-Ansatz
unseres Vorgehensmodells sicher.
• Das ACG-Vorgehen ist prüfungs- und praxiserprobt.
• Der ACG-Ansatz ist methodisch und technisch offen.
• ACG arbeitet effizient und transparent.
Wir zeigen Lösungen auf, Sie entscheiden, gemeinsam setzen wir Ihre Entscheidung
um. Ausführliche Informationen finden Sie unter www.acg-bcm.de.
Über ACG
Die ACG Automation Consulting Group GmbH ist eine inhabergeführte Beratungsgesell-
schaft für Organisation und IT. Seit Unternehmensgründung im Jahr 1985 haben wir
uns auf Betreiber kritischer Infrastrukturen konzentriert. In gut 30 Jahren haben wir bei
mehr als 180 Kunden weit über 1.800 Projekte erfolgreich durchgeführt und sind Rah-
menvertragspartner vieler namhafter Institute.
Kontakt:
Christoph Müller
E-Mail: [email protected]
Telefon: +49 69 66 565 163
Herausgeber:
ACG Automation Consulting Group GmbH
Erlenstraße 2
60325 Frankfurt am Main
Telefon: +49 69 66 565 0
E-Mail: [email protected]
Internet: www.acg-gmbh.de
Whitepaper
2017|01
ACG Whitepaper 2017|01
Copyright © ACG 2020
Alle Rechte vorbehalten.
