Üben für den Notfall

Ist Senior Manager bei der Ibcol Technologies und Consulting AG. Ist Senior Manager im selben Unternehmen, Risikomanager nach ONR 49000/ISO31000 sowie Experte für Krisenmanagement, Notfall- und Evakuierungsorganisation, ERM und BCM Schon lange vor den BCM-Empfehlungen der Schweizerischen Bankiervereinigung aus dem Jahre 2007 galt die Notfallplanung bei den meisten Banken als Good Practice. Viele Institute gehen heute deutlich über den von der Eidgenössischen Bankenkommission (EBK) als verbindlich betrachteten aufsichtsrechtlichen Mindeststandard hinaus. Neben einer Business-Impact- Analyse (BIA) haben sie auf der Basis der Risikoanalyse auch konkrete Kontinuitätspläne zur besseren Reaktion auf mögliche Geschäftsunterbrüche entwickelt. Doch erst wenn solche Pläne auf ihre Wirksamkeit getestet und in ihrer Anwendung geübt worden sind, helfen diese im Notfall, die Situation zu meistern. Oft zeigt sich jedoch, dass das Thema «Notfallübung» auch im Bankenumfeld stiefmütterlich behandelt wird. Ziele und Nutzen Mit Tests und Übungen wird die Umsetzung von Business-Continuity-Plänen geprüft und dadurch die Fähigkeit der Organisation zur Bewältigung von Notfällen verbessert. Externe Experten können dabei das interne Projektteam zielgerichtet unterstützen. Professionell organisierte und durchgeführte Belastungstests helfen unter anderem: - Die BCM-Planung bedarfsgerecht zu gestalten und damit Ressourcen sinnvoller einzusetzen. - Planungsdefizite zu identifizieren, wodurch Abläufe effizienter und verlässlicher werden. - Vertrauen bei Aufsichtsbehörden, Geschäftspartnern, Rating-Agenturen, Kunden und sonstigen Anspruchsgruppen zu erhöhen. - Das Sicherheitsbewusstsein und die Sensibilität für Not- und Krisenfälle zu steigern. Die konkrete Umsetzung Für Tests und Übungen liefern die Guideline PD 25666:2010 der britischen Normungsorganisation BSI oder der BSI-Standard 100-4 des deutschen Bundesamts für Sicherheit in der Informationstechnik vor allem Definitionen von Begriffen, Rollen und Prozessen, sie stellen aber keine konkrete Anleitung für deren Durchführung bereit. Verschiedene Arten von Reviews, Tests und Übungen lassen sich jeweils mit unterschiedlich grossem Aufwand durchführen. Zweck, Umfang und Zielsetzung sollten genau festgelegt sein. Reviews bieten sich für die theoretische Überprüfung existierender Business-Continuity-Pläne auf Konsistenz und Vollständigkeit an. Geeignete Prüfkriterien sollten vorab genau definiert werden, zum Beispiel die Konformität mit gängigen BCM-Normen oder internen Anforderungen. Tests dienen dem praktischen Überprüfen und Validieren von Funktionen und technischen Einrichtungen. Der Aufwand variiert je nach Umfang und Zweck. Das Übungsprogramm Übungen haben primär das Trainieren von Abläufen zum Ziel. Die Sensibilisierung der Teilnehmer für Notfälle wird gesteigert, das Verständnis der eigenen Rolle in der Notfallbewältigung gefördert. Grundsätzlich sollten Übungen dazu dienen, Probleme aufzuspüren und zu eliminieren, bevor ein Ereignis eintritt. Folgende Übungsarten lassen sich unterscheiden: Table Top Exercises: Diese «Walkthroughs» eignen sich dazu, Beteiligte einer organisatorischen Einheit mit den Business-Continuity-Plänen vertraut zu machen. Sie gehen deutlich über den theoretischen Charakter eines Reviews hinaus. Die Teilnehmenden werden zum Beispiel mit einem simulierten Notfallszenario konfrontiert und diskutieren dann in Arbeitsgruppen die Bewältigung dieses Notfalls unter Einbezug des betroffenen Plans. Funktions- oder Vollübungen: Oft als Kombination von praktischen Tests und simulierten Übungen angelegt, können sie in Umfang und Inhalt sehr komplex sein. Überprüft und getestet werden hier Abläufe und Prozesse für bestimmte Funktionen oder grössere Organisationseinheiten. Beispiele hierfür sind umfangreiche Failover-Tests von IT-Services oder die Verlagerung einzelner Geschäftsfunktionen an Ausweichstandorte. Kritische Erfolgsfaktoren Voraussetzung für den Erfolg jeder Übungen ist die Wahl eines realistischen Szenarios. So sind Flugzeugabstürze und terroristische Bedrohungen in der Schweiz zwar möglich, werden aber eher als extrem unwahrscheinlich, das heisst realitätsfremd wahrgenommen. Das Szenario sollte direkten Bezug zur eigenen Organisation und deren Arbeitsprozesse haben, damit sich die Übungsteilnehmer gut in die Situation hineinfühlen können. Erfolgskritisch sind ferner das Management Commitment sowie die aktive Teilnahme aller Personen, die im Ereignisfall zu den Entscheidungsträgern zählen. In der Praxis haben sich kurzweilige Übungen bewährt, die durch ausserbetriebliche BCM-Spezialisten durchgeführt und moderiert werden. Nicht selten berichten die Teilnehmer derartiger Übungen, die Sicht der externen Krisenmanagementexperten hätte sie aus der Betriebsblindheit herausgerissen und für Notfallszenarien sensibilisiert. Gerade durch die Teilnahme von Personen aus Linienfunktionen, die ansonsten im operativen Tagesgeschäft stecken, verankern sich Lerneffekte in der Unternehmenskultur und runden dadurch den BCM-Lifecycle ab. Ein Übungsreport mit Empfehlungen und Folgemassnahmen ist daher absolutes Muss, damit die daraus gezogenen Erkenntnisse auch umgesetzt werden. Gut gewappnet durch die Krise Banken müssen nicht nur im Kontext grosser Krisen - etwa einer Pandemie oder schweren Naturkatastrophe -, sondern auch bei einem weiträumigen Stromausfall oder einem Brand im IT-Rechenzentrum ihren Betrieb aufrechterhalten können. Sie brauchen dazu einerseits eine interne Krisenorganisation, die sich im Ereignisfall von operativen Aufgaben lösen und voll und ganz der Notfallbewältigung widmen kann. Andererseits müssen verlässliche und erprobte Checklisten und Pläne zur Verfügung stehen, die es diesem Krisenstab erlauben, die Notsituation effizient zu bewältigen, kritische Bankenprozesse frühzeitig zu schützen oder bei Unterbruch zeitgerecht wiederherzustellen. Viele Banken haben sich in den letzten Jahren auf solche Situationen vorbereitet und die dazu erforderlichen BCM-Planungen durchgeführt. Was diese Pläne in der Wirklichkeit taugen, zeigen regelmässige Tests und Übungen. Tipps für NotfalltestsFür grösstmöglichen Nutzen sorgen diese praxisbewährten Tipps:- Übungen kurzweilig gestalten- Realistische Szenarien verwenden- Teilnehmende umfassend briefen- Neutrale Beobachter hinzuziehen- Feedback der Teilnehmenden einholen Harmen Frobeen, Urs Cipolat