Das Wort kann schon fasst einen falschen Eindruck erwecken: Es ist nicht nur das “Meistern der Krise”.
Das Notfallmanagement soll die Kontinuität des Geschäftsbetriebs bei Notfällen sicherstellen. Es ermöglicht Organisationen bei Störungen von kritischen Geschäftsprozessen angemessen zu reagieren. Notfallmanagement besteht aus 2 großen Teilen:
- Notfallvorsorge
- Notfallbewältigung
Im Grunde ist es aber ein Kreislauf:
Notfallmanagement ist kein Einmal-Job. Es ist ein Kreislauf der dazu führen soll, dass man kontinuierliche Verbesserung des Notfallmanagements erreicht.
- Plan:
Man startet mit der Analyse der vorhandenen oder möglichen Risiken. Darauf aufbauend schaut man sich an, welchen Einfluss diese Risiken auf das Unternehmen haben könnten (Business Impact Analyse – kurz BIA). - Do:
Daraus resultieren dann die Notfallprozesse, die in einem Notfallhandbuch festgehalten werden. Essenziell ist auch, dass man diese Notfallprozesse ALLEN Mitarbeitern lehrt und das Bewusstsein schafft. Nur durch das Wissen um die richtigen Handlungen in einem Notfall (vor allem wer in welcher Form beim Auftreten einer Krise alarmiert werden soll), kann ein Notfallplan in Kraft treten. - Check
Damit dieses Wissen gefestigt wird und geprüft wird, ob es gut verankert ist, muss man Notfallübungen durchführen. Ob alles wirklich passt, weiß man aber meist erst, wenn eine echte Katastrophe eintritt. - Act
Nach jeder Übung und nach jedem Vorfall, geht es darum, die Dinge zu verbessern, die nicht gut funktioniert haben, aber auch jene zu würdigen, die gut funktioniert haben. Damit beginnt der Zyklus wieder von vorne. Vielleicht hat sich herausgestellt, dass die BIA nicht korrekt war und daher Risiken falsch bewertet wurden. Oder es wurden Notfallprozesse nicht gut genug aufgesetzt und verursachten Probleme. Diese Dinge müssen überarbeitet werden und wieder ins Notfallhandbuch einfließen.
Es gibt auch einige Standards zu diesem wichtigen Thema:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standard 100-4 entwickelt. International existiert der ISO-Standard 22301 bzw. im Bereich der IT Security ISO 27013.
Welche Gefahren sollen durch das Notfallmanagement abgedeckt sein?
Es gibt eine lange Liste an möglichen Gefahren. Ich habe hier die wichtigsten zusammengefasst:
Wo also beginnen?
Idealerweise fängt man damit an, sich anzusehen, welche Notfälle in den letzten 5 Jahren schon aufgetreten sind. Da ist die Wahrscheinlichkeit am Höchsten, dass diese wieder auftreten.
Ich gehe in der Regel einen anderen Weg. Im Grunde geht es doch darum, dass der Kunde eines Unternehmens sich ein bestimmtes Produkt oder eine bestimmte Dienstleistung erwartet. Solange ich diese liefern kann, ist alles gut. Für die Erstellung dieses Produktes oder der Dienstleistung brauche ich einen Prozess und “Ressourcen”. Das können Maschinen, Rohstoffe, Menschen, IT-Systeme, Gebäude, usw. sein. Diese Ressourcen muss ich “ersetzen” können in einem Notfall. WELCHER Notfall das ist, ist dabei unerheblich. Ob die Produktionsmaschine wegen ÜBerschwemmung der Halle ausfällt, oder weil ein wichtiger Bauteil defekt ist, spielt keine Rolle. Ich muss die Maschine (oder deren Arbeit/Ergebnis) irgendwie ersetzen.
Natürlich kann man die üblichen “Verdächtigen” schon mal abdecken, oder eine Risikoanalyse machen: Wie wahrscheinlich ist eine Überschwemmung, wenn rundherum kein Fluss ist und auch massiver Regen mich nicht berührt? Brände können in der Regel immer auftreten. Aber selbst automatische Löschanlagen können versagen.
Mein Wahlspruch: Erstens kommt es anders, und zweitens als man denkt…
Daher lieber ein Szenario zu viel, als zu wenig durchspielen.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.