Bundesamt für Sicherheit in der Informationstechnik

M 6.114 Erstellung eines Notfallkonzepts

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Verantwortlich für Umsetzung: Notfallbeauftragter

Ein Notfallkonzept dient der Umsetzung der Notfallstrategie und beschreibt die geplante Vorgehensweise, um die für das Notfallmanagement gesetzten Ziele zu erreichen. Das Notfallkonzept umfasst die Gesamtheit der im Notfallmanagement-Prozess erstellten Dokumente. Es besteht aus den zwei wesentlichen Komponenten Notfallvorsorgekonzept und Notfallhandbuch. Damit werden die beiden wesentlichen Aufgaben des Notfallmanagements widergespiegelt, die Robustheit der Geschäftsprozesse zu stärken, um die Wahrscheinlichkeit eines Schadensereignisses zu verringern, und die Behörde bzw. das Unternehmen optimal auf die Bewältigung eines Notfalls oder einer Krise vorzubereiten, um die Schadensauswirkungen zu minimieren. Das Notfallvorsorgekonzept beschreibt die vorliegenden Rahmenbedingungen und beinhaltet alle bei der Konzeption anfallenden Informationen, die nicht zur direkten Bewältigung eines Notfalls beitragen. Die direkt für die Bewältigung eines Notfalls benötigten Informationen wie beispielsweise Kontaktinformationen oder Handlungsanweisungen sind im Notfallhandbuch beschrieben.

Jede konkrete Vorsorgemaßnahme muss sich letztlich auf das Notfallkonzept zurückführen lassen. Aus diesem Grund muss dieses sorgfältig geplant und umgesetzt werden. Die einzelnen, im Folgenden kurz angerissenen Aspekte werden ausführlich im BSI-Standard 100-4 Notfallmanagement behandelt.

Voraussetzung für die Erstellung eines Notfallkonzeptes sind grundlegende Kenntnisse über die Institution bzw. den festgelegten Geltungsbereich des Notfallmanagements und ein tiefgreifendes Verständnis der Geschäftstätigkeit. Die benötigten Informationen, zu denen die Stammdaten und eine Übersicht über die Geschäftsprozesse zählen, sind dem Notfallmanagement bereitzustellen. Die Geschäftsprozessübersicht sollte auch die Informationen über Abhängigkeiten zwischen Prozessen enthalten sowie die Informationen, welche Geschäftsprozesse zur Herstellung der Hauptprodukte oder der Erbringung von Hauptdienstleistungen der Institution benötigt werden. Ausgelagerte Prozesse sind ebenfalls in der Geschäftsprozessübersicht zu berücksichtigen, wie auch Zulieferer, Kooperationspartner und Outsourcing-Dienstleister bei den Abhängigkeiten.

Einer der ersten Schritte bei der Konzeption ist es, die Auswirkungen von Geschäftsunterbrechungen zu untersuchen, die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen zu ermitteln sowie die benötigten Wiederanlaufzeiten festzulegen.

Hierzu sollte eine Business Impact Analyse (BIA) durchgeführt werden. Es gibt verschiedene Methoden, um die benötigten Ergebnisse zu ermitteln. Dafür ist eine für die Institution angemessene Methode zur Durchführung der BIA auszuwählen, Parameter für die gewählte Methode zu setzen und die Entscheidungen zu dokumentieren.

Die Erfahrung hat gezeigt, dass Methoden, die auf aufwendigen numerischen Betrachtungen beruhen, häufig einen unverhältnismäßig hohen Aufwand erzeugen. Ein pragmatischer Ansatz, der sich gerade für kleine Institutionen eignet, ist beispielsweise, in einem Workshop in Zusammenarbeit mit den Verantwortlichen die relevanten Prozesse zu ermitteln, zu klassifizieren bzw. zu priorisieren.

Die gewählte Methode zur Durchführung einer BIA sollte mindestens folgende Arbeitsschritte enthalten:

  • Es ist zu analysieren und zu bewerten, wie sich eine Unterbrechung von Geschäftsprozessen oder Wertketten auf die Behörde bzw. das Unternehmen auswirken und wie sich Schäden während dieser Zeit entwickeln können.
  • Für die Geschäftsprozesse sind die Wiederanlaufparameter zu identifizieren bzw. festzulegen. Dazu zählen:
    • die Verfügbarkeitsanforderung, die den Übergang von Störung zu Notfall kennzeichnet,
    • die maximal tolerierbare Ausfallzeit,
    • die Wiederanlaufzeit,
    • das Wiederanlaufniveau und
    • der maximal zulässige Datenverlust.

Zusätzlich empfiehlt es sich, die maximal zulässige Wiederherstellungszeit bzw. den maximal zulässigen Notbetrieb festzulegen.

  • Die Geschäftsprozesse sind für den Wiederanlauf zu priorisieren. Eine Einteilung in Wiederanlaufklassen kann sinnvoll sein. Dabei ist jedoch zu beachten, dass die Prioritäten und die Wiederanlaufzeiten wirtschaftlich und mit den gegebenen finanziellen und personellen Ressourcen realisierbar sein müssen. Gegenseitige Abhängigkeiten der Geschäftsprozesse sind zu beachten. Es ist festzulegen, welche Geschäftsprozesse als kritisch für die Institution eingestuft und damit in die weitere Betrachtung für die Konzeption einbezogen werden.
  • Mindestens für die kritischen Geschäftsprozesse sind die benötigten Ressourcen für den Normalbetrieb und den Notbetrieb zu erheben sowie der Abhängigkeitsgrad des jeweiligen Geschäftsprozesses von den Ressourcen zu bestimmen. Werden Single-Points-of-Failure identifiziert, so sind diese besonders zu kennzeichnen. Mit Single-Points-of-Failure werden Ressourcen bezeichnet, deren Ausfall einen Komplettausfall von Geschäftsprozessen verursachen würde. Es empfiehlt sich, diese einer schnellen Maßnahmenüberprüfung zuzuführen.
  • Für die Ressourcen ist die Kritikalität zu beurteilen und die Verfügbarkeitsanforderung sowie die Wiederanlauf- bzw. Wiederherstellungszeit festzulegen.

Der Notfallbeauftragte koordiniert und führt mit Unterstützung der Notfallkoordinatoren die BIA durch. Wesentliche Ansprech- und Interviewpartner bei der Durchführung der BIA sind die Geschäftsprozess- und Ressourcenverantwortliche. Die Ergebnisse der BIA sind schriftlich zu dokumentieren und durch die Institutionsleitung zu bestätigen.

Detaillierte Informationen für eine mögliche Methode zur Durchführung einer Business Impact Analyse ist im BSI-Standard 100-4 Notfallmanagement enthalten.

Um die Ursachen von möglichen Geschäftsprozessunterbrechungen zu finden, ist eine Risikoanalyse durchzuführen. Es sind die Ziele und eine geeignete Methode zur Durchführung der Risikoanalyse festzulegen und zu dokumentieren. Bei der Durchführung der Risikoanalyse kann es hilfreich sein, die bei der BIA identifizierten Auswirkungen von Ausfällen miteinzubeziehen und umgekehrt. Ergebnis der Risikoanalyse ist die Aufstellung der wesentlichen Risiken für die Kontinuität der Geschäftsprozesse und die kritischen Ressourcen der Institution (siehe BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz). Für jedes identifizierte Risiko ist zu entscheiden, welche Risikostrategien zur Reduzierung der Auswirkung, Verringerung der Eintrittswahrscheinlichkeit und Minimierung der Ausfallzeit eingesetzt werden sollen.

Um aus den allgemeinen Zielen, dem identifizierten Schutzbedarf und der Risikobewertung den Bedarf ableiten, konkrete Schutzmaßnahmen und Wiederanlaufstrategien festlegen zu können, ist die Erhebung des Ist-Zustandes der kritischen Geschäftsprozesse und deren unterstützenden Ressourcen sinnvoll. Durch den Vergleich der in der BIA festgelegten Soll-Werte für Wiederanlauf und Wiederherstellung sowie dem initial festgelegtem Risikoappetit (Risikoakzeptanzniveau) der Institution mit den aktuell realisierten Wiederanlaufmaßnahmen und Schutzmaßnahmen, werden die vorhandenen Lücken für den Wiederanlauf und die Risikobehandlung identifiziert.

Um diese zu schließen, sind in der weiteren Konzeption sinnvolle Maßnahmen zu identifizieren, die die Ausfallsicherheit der kritischen Geschäftsprozesse und deren benötigten Ressourcen erhöhen, einen zeitgerechten Wiederanlauf bzw. Wiederherstellung ermöglichen und somit die Ausfallzeit und den Schaden bei Eintritt eines Notfalls begrenzen. Es empfiehlt sich, verschiedene Strategieoptionen für die Notfallbewältigung, die Geschäftsfortführung und die Wiederherstellung und Wiederanlauf der Ressourcen zu entwickeln, die

  • die festgelegten Anforderungen an die Geschäftsfortführung, den Wiederanlauf und die Wiederherstellung erfüllen,
  • in einem sinnvollen Kosten-Nutzen-Verhältnis stehen,
  • eine aufeinander abgestimmte, übergreifende Gesamtlösung ergeben und
  • dabei auch die wichtigsten Interessengruppen berücksichtigen oder mit einbinden.

Es sind geeignete Strategien auszuwählen und die Entscheidung zu dokumentieren. Dabei sollte auch festgehalten werden, wie die Zusammenarbeit mit Zulieferern, Kooperationspartnern oder Outsourcing-Dienstleistern im Notfall erfolgen soll. IT-Maßnahmen sind gegebenenfalls mit dem Sicherheitsmanagement abzustimmen.

Es ist ein Notfallkonzept bestehend aus Notfallvorsorgekonzept und Notfallhandbuch zu erstellen. Das Notfallvorsorgekonzept enthält alle Informationen, die bei der Konzeption anfallen inklusive der ausgewählten Maßnahmen zur Risikobehandlung und um einen schnellen Wiederanlauf und Wiederherstellung zu ermöglichen. Das Notfallhandbuch enthält die Informationen, die direkt für und bei der Notfallbewältigung benötigt werden. Dazu zählen unter anderem die Geschäftsfortführungspläne, die Wiederanlauf- und Wiederherstellungspläne inklusive Ersatzbeschaffungs- und Ausweichpläne sowie Notfallpläne für Sofortmaßnahmen. Die die Geschäftsfortführungspläne, Wiederanlauf- und Wiederherstellungspläne enthalten sämtliche Informationen, die ein schnelles Aufnehmen eines Notbetriebs ermöglichen und die Wiederherstellung des Normalbetriebs für Prozesse und Ressourcen ermöglichen. Die Pläne sollten die Informationen über die Wiederanlaufzeiten und Prioritäten für die Prozesse und Ressourcen enthalten, sowie verschiedene Wiederanlaufoptionen für verschiedene Schadensereignisse. Notfallpläne für Sofortmaßnahmen sollten unter anderem sicherstellen, dass das Wohlergehen der betroffenen Personen sichergestellt ist.

Je nach Ausprägung der Institution und Integration des Notfallmanagements in das Risikomanagement der Institution, kann das Erstellen eines Krisenstabsleitfadens und eines Krisenkommunikationsplans sinnvoll sein. Der Krisenstabsleitfaden sollte Hilfestellung für die strategische Entscheidungsfindung des Krisenstabs enthalten. Der Krisenkommunikation enthält die Informationen über die Art und Wege der Kommunikation mit den Medien aber auch mit anderen Interessengruppen, Kriterien wann und unter welchen Bedingungen kommuniziert wird und die Kommunikationsstrategie.

Die verschiedenen Notfallpläne müssen aufeinander abgestimmt sein. Jeder Plan sollte die Informationen enthalten

  • wer für das Dokument verantwortlich zeichnet,
  • welchen Geltungsbereich der Plan hat,
  • für welchen Zweck er zu verwenden ist,
  • durch wen, unter welchen Bedingungen und wie der Plan aktiviert wird,
  • wie die Kommunikationslinien für diesen Bereich sind und
  • detailliert was die Aufgaben und Arbeitsschritte zur Bewältigung des Notfalls sind.

In der Gesamtheit der Pläne sollten folgende Informationen enthalten sein:

  • Rollenspezifikationen für die Notfallbewältigung mit Aufgaben, Rechten und Pflichten,
  • Kontaktadressen aller Mitarbeiter mit spezifischen Aufgaben in der Notfallbewältigung sowie von externen Kontaktpersonen wie Kooperationspartner, Dienstleister, Hilfsorganisationen oder Aufsichtsbehörden,
  • Kriterien für die Deeskalation des Notfalls und die Beschreibung der notwendigen Arbeitsschritte und
  • Angaben, wie im Notfall die Lage, Entscheidungen und Aktionen zu protokollieren sind.

Alle Dokumente müssen jeweils durch die Personen zugreifbar, die diese für ihre Aufgaben in der Notfallbewältigung benötigen. Sie müssen für diese verständlich aufbereitet sein. Detailliertere Informationen zum Notfallkonzept sind im BSI-Standard 100-4 Notfallmanagement zu finden.

Gleichzeitig mit der Auswahl der einzelnen Maßnahmen und der Erstellung des Notfallkonzepts sollte die Umsetzungsplanung erfolgen. Dafür ist festzuhalten, in welchem Zeitraum die einzelnen Maßnahmen umzusetzen sind und welche passend kombiniert gemeinsam umgesetzt werden können. Außerdem müssen die Maßnahmen nach der Dringlichkeit der Umsetzung priorisiert werden. Im Umsetzungsplan sollte enthalten sein:

  • Festlegung von Prioritäten (Umsetzungsreihenfolge): Alle Maßnahmen sollten nach Wichtigkeit und Effektivität priorisiert werden. Grundsätzlich sollten Maßnahmen gegen besonders schwerwiegende Risiken vorrangig umgesetzt werden. Können z. B. aus finanziellen Gründen nicht alle Maßnahmen sofort umgesetzt werden, sollten die Maßnahmen mit der größten Breitenwirkung zuerst umgesetzt werden.
  • Bei der Umsetzungsreihenfolge sollten mögliche Zusammenhänge zwischen Maßnahmen berücksichtigt werden.
  • Verantwortlichkeiten: Für jede Maßnahme ist festzulegen, wer für deren Initialisierung, Umsetzung und Kontrolle oder Revision verantwortlich ist.

Bei der Auswahl von Notfallmaßnahmen ist deren Angemessenheit und Wirtschaftlichkeit zu beachten. Die Dokumentation sollte konkrete Angaben über Verantwortlichkeiten und Zuständigkeiten sowie geplante Aktivitäten zur Kontrolle, Revision und Überwachung enthalten. Die Reihenfolge für die Umsetzung offener Aktivitäten ist festzuhalten. Außerdem sind die geplanten bzw. eingesetzten Ressourcen für die Umsetzung der einzelnen Notfallmaßnahmen zu dokumentieren.

Bei der Notfallkonzeption ist die Informationssicherheit zu berücksichtigen. Es ist sicherzustellen, dass im Falle eines Notfalls, bei der Inbetriebnahme und dem Betrieb von Ausweichlösungen und der Wiederaufnahme des Normalbetriebs die Informationssicherheit gewährleistet ist. Dazu gehört unter anderem die Gewährleistung der Vertraulichkeit von Daten (z. B. Zugriffsrechte, Verschlüsselung), Einhaltung der Minimalanforderungen an die Datensicherung und die Einhaltung gesetzlicher Vorgaben (z. B. Archivierung von geschäftsrelevanten Daten). Für alle Notfalllösungen sind Sicherheitskonzepte zu erstellen und Sicherheitsmaßnahmen zu implementieren. Daher ist eine enge Zusammenarbeit mit dem IT-Sicherheitsbeauftragten sicherzustellen.

Ein Notfallkonzept kann vertrauliche Informationen beinhalten, wie z. B. Angaben über Schwachstellen oder Informationen über Schutzmaßnahmen. Solche Informationen können als vertraulicher eingestuft werden und dürfen dann ausschließlich an die zuständigen Personen weitergegeben werden. Das Notfallkonzept sollte daher so gegliedert werden, dass einzelne Teile an den speziellen Adressatenkreis weitergegeben werden können.

Prüffragen:

  • Wurden die kritischen Geschäftsprozesse und Ressourcen identifiziert?

  • Wurden die wichtigsten, relevanten Risiken für die kritischen Geschäftsprozesse und Ressourcen identifiziert und jeweils eine geeignete Risikostrategie ausgewählt?

  • Wurden Kontinuitätsstrategien entwickelt, die einen Wiederanlauf und eine Wiederherstellung der kritischen Geschäftsprozesse in der geforderten Zeit ermöglichen?

  • Ist ein aktuelles Notfallkonzept vorhanden?

  • Wurden Notfallpläne und Maßnahmen entwickelt und implementiert, die eine effektive Notfallbewältigung ermöglichen und einen schnelle Wiederaufnahme der kritischen Geschäftsprozesse?

  • Ist im Notfallkonzept die Informationssicherheit berücksichtigt und wurden entsprechende Sicherheitskonzepte für die Notfalllösungen entwickelt?

Stand: 13. EL Stand 2013