Bundesamt für Sicherheit in der Informationstechnik

M 6.117 Tests und Notfallübungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Verantwortlich für Umsetzung: Notfallbeauftragter

Um die Wirksamkeit von Maßnahmen im Bereich des Notfallmanagements zu überprüfen, müssen regelmäßig Tests und Notfallübungen durchgeführt werden. Dadurch wird die Validität, Handhabbarkeit und Verständlichkeit des Notfallhandbuchs überprüft. Die wesentlichen Ziele sind dabei, Inkonsistenzen in den Notfallplänen oder Mängel in der Planung und Umsetzung von Notfallmaßnahmen aufzudecken sowie effektive und reibungslose Abläufe in einem Notfall zu trainieren. Typische Übungen sind beispielsweise:

  • Funktionstests (z. B. von Stromaggregaten, Klimaanlagen, zentrale Server),
  • Durchführung von Brandschutzübungen,
  • Durchführung einer Alarmierung und Eskalation,
  • Stabsübungen,
  • Stabsrahmenübungen,
  • der Wiederanlauf nach Ausfall von einzelnen Ressourcen oder Geschäftsprozessen
  • Räumung eines Bürogebäudes und Bezug einer Ausweichlokation und
  • Ausfall eines Rechenzentrums und Inbetriebnahme des Ausweichrechenzentrums.

Übungen können dabei als Planreviews oder Planbesprechungen am "grünen Tisch", als Simulation oder als realitätsnahe Ernstfallübungen durchgeführt werden.

Die Planung, Konzeption, Durchführung und Auswertung von Tests und Übungen erfordert finanzielle und personelle Ressourcen. Die Ressourcen müssen von der Institutionsleitung bereitgestellt werden. Rollen müssen festgelegt und Mitarbeiter benannt werden. Die Mitarbeiter, die eine Rolle bei der Planung, Konzeption oder Durchführung von Tests und Übungen übernehmen, sind für ihre Aufgaben zu schulen.

Tests und Übungen müssen geplant werden. Nur so kann ein effektiver und effizienter Einsatz von finanziellen und personellen Mitteln für die Überprüfung aller im Geltungsbereich etablierten Notfallmaßnahmen erreicht werden. Tests und Übungen sind regelmäßig und anlassbezogen bei größeren Änderungen im Bereich des Notfallmanagements durchzuführen. Es ist daher eine Mehrjahresplanung durchzuführen, die garantiert, dass der gesamte Geltungsbereich des Notfallmanagements abgedeckt wird. Dabei sollten verschiedene Arten von Tests und Übungen zum Einsatz kommen, um alle Notfallpläne, Notfallmaßnahmen und die Organisationsstruktur der Notfallbewältigung zu prüfen und zu testen. Diese Grobplanung sollte die Art der geplanten Tests, die Ziele, das grobe Zeitraster und eine Aufstellung der benötigten Ressourcen beinhalten. Eine jährlich durchzuführende Zeitplanung sollte die Grobplanung konkretisieren und die konkreten Übungen festlegen.

Die Grob- wie auch die Detailplanung ist von der Institutionsleitung zu genehmigen und abzuzeichnen.

Für jeden Test und jede Übung sollte ein Test- bzw. Übungskonzept erstellt werden. Dieses legt die Details fest, wie Art, Zeitplan, Ressourceneinsatz, Teilnehmer, verfolgte Ziele und Ablauf. Die Erfahrung zeigt, dass durch Seiteneffekte von Tests und Übungen auch Schadensereignisse ausgelöst werden können. Die Detailplanung ist daher so zu gestalten, dass das Risiko hierfür minimiert wird. Vor Durchführung einer Notfallübung ist das Einverständnis der Behörden- bzw. Unternehmensleitung für die Detailplanung schriftlich einzuholen.

Der Ablauf jedes Tests und jeder Übung ist in einem Protokoll so zu dokumentieren, dass eine Auswertung der Ergebnisse möglich ist. Die Auswertung eines Tests oder Übung ist zu dokumentieren und sollte die Ergebnisse, die Rückmeldungen der Beteiligten sowie der beübten Organisationseinheit und ein Vergleich des Ergebnisses mit den festgelegten Zielen der Übung enthalten. Ergebnisse beinhalten Mängel, Lücken und Vorschläge zur Behebung.

Für die Behebung der erkannten Mängel und Lücken in der Notfallplanung sind Maßnahmen festzulegen, Verantwortliche für die Umsetzung zu benennen und Termine zu setzen. Die zeitgerechte Umsetzung ist durch den Notfallbeauftragten zu kontrollieren.

Prüffragen:

  • Existiert eine Grobplanung, die garantiert, dass alle wesentlichen Pläne und Maßnahmen im Geltungsbereich des Notfallmanagements getestet und beübt werden?

  • Sind im Notfallmanagement ausreichend Ressourcen für die Planung, Konzeption, Durchführung und Auswertung der Tests und Übungen vorhanden?

  • Werden vom Notfallmanagement regelmäßig und anlassbezogen Tests und Notfallübungen verschiedener Art und mit verschiedenen Zielen durchgeführt und dokumentiert?

  • Führen bei Notfallübungen aufgedeckte Mängel und Schwachstellen zu einer Überarbeitung der Notfall-Pläne und Notfallmaßnahmen und wird die Umsetzung kontrolliert?

Stand: 13. EL Stand 2013