.shock - stock.adobe.com
Diese 4 Phasen des Notfallmanagements sollten Sie kennen
Die vier Phasen für das Notfallmanagement kann Organisationen bei der Planung für alle Arten von Notfällen helfen. Wir erklären die einzelnen Phasen und zu ergreifende Maßnahmen.
Früher oder später werden Organisationen jeder Größe mit widrigen Ereignissen konfrontiert. Notfallmanager müssen für alle Arten von potenziellen Gefahren und die damit verbundenen Risiken planen, von Hochwasserschäden bis hin zu Cyberangriffen. Sie müssen auch versuchen, neu auftretende Risiken zu minimieren und auf neue Bedrohungen zu reagieren.
Notfälle können jederzeit eintreten, und es können zwei oder mehr Notfälle gleichzeitig passieren. Zu wissen, welche Maßnahmen vor, während und nach einem Notfall zu ergreifen sind, kann Unternehmen, Zeit, Geld und - in einigen Fällen - Menschenleben retten.
Das BSI hat hierfür einige Leitfäden und Richtlinien entwickelt und stetig aktualisiert. Einige neue Leitfäden fügen Phasen hinzu oder konsolidieren sie, oder gehen sogar zu Einsatzbereichen anstelle von Phasen. Einige Gemeinden und Unternehmen strukturieren ihre Notfallmanagementpläne jedoch immer noch nach der Vier-Phasen-Struktur, da diese nach wie vor einen soliden Rahmen für Aktivitäten bietet, die sicherstellen, dass die Organisation auf die Bewältigung eines Notfalls, die Schadensbegrenzung und die Wiederherstellung nach einem Notfall vorbereitet ist.
Einige Phasen können gleichzeitig ablaufen. So kann beispielsweise das Reparieren eines Gebäudes sowohl als Reaktion als auch als Wiederherstellungsmaßnahme betrachtet werden. Diese Phasen sind nicht immer sequenziell.
Risiken mindern, Notfälle verhindern, Auswirkungen verringern
Die Phase der Risikominderung/Vorbeugung beim Notfallmanagement ist ein fortlaufender Prozess. Organisationen müssen stets prüfen, wie sie die Auswirkungen eines eintretenden Notfalls verringern oder Wege finden können, um bestimmte Notfälle gänzlich zu verhindern.
Im Gegensatz zur zweiten Phase des Notfallmanagements – das Vorbereitet-sein, was sehr effektiv ist und Mitarbeiter und Beteiligte darauf vorbereitet, auf einen Notfall zu reagieren, wenn dieser eintritt - zielt die Schadensbegrenzung darauf ab, die Auswirkungen eines eingetretenen Notfalls zu verringern. Es wird ständig nach Möglichkeiten gesucht, Vorfälle zu verhindern, und wenn sie nicht vermieden werden können, werden Maßnahmen ergriffen, um ihre Auswirkungen zu minimieren.
Die Arten von Gefahren, mit denen Unternehmen konfrontiert werden können, fallen laut Ready.gov im Allgemeinen in drei Kategorien: vom Menschen verursachte, technologische oder natürliche Gefahren. Organisationen können einer oder mehreren dieser Bedrohungen gleichzeitig ausgesetzt sein. Zu den Bedrohungen, die zu Notfällen führen können, gehören folgende:
- Cyberangriffe und andere Vorfälle von Datenverlusten, unabhängig davon, ob sie böswillig, versehentlich oder durch Fahrlässigkeit verursacht wurden.
- Naturkatastrophen, einschließlich Wirbelstürme, Überschwemmungen, und Tornados.
- Brände, ob natürlich oder böswillig, zum Beispiel durch Brandstiftung.
- chemische Notfälle
- Diebstahl
- Pandemien
Bei physischen Bedrohungen für Einrichtungen oder Personal, wie Unwetter, ist sicherzustellen, dass Personal, Eigentum und Einrichtungen geschützt sind. Befindet sich die Einrichtung einer Organisation beispielsweise in einer sturmgefährdeten Gegend, sollten Sie nach Möglichkeiten suchen, die Einrichtungen vor Wind, Wasser oder Feuer zu schützen.
Nach Angaben des Anbieters von Software für das Gebäudemanagement AkitaBox können Unternehmen Inspektionen ihrer Gebäude durchführen, um herauszufinden, wie sie ihre Einrichtungen besser schützen können. Richten Sie Sicherheitsmaßnahmen ein, um die Einrichtungen zu überwachen und sicherzustellen, dass nur befugte Personen Zugang zu ihnen haben, um die Wahrscheinlichkeit externer bösartiger Bedrohungen, wie eines Diebstahls, zu verringern.
Richten Sie für Daten und Netzwerke umfassende Cybersicherheitskontrollen ein, um Datenlecks oder -löschungen besser zu verhindern, und implementieren Sie Maßnahmen wie Multifaktor-Authentifizierung und Zero-Trust-Netzwerke. Schließen Sie alle Lücken in der Netzwerksicherheit durch Firewalls, VPNs, Datenverschlüsselung oder andere Methoden und ziehen Sie externe oder Cloud-Dienste für die Storage oder Datensicherung in Betracht.
Um die Schwachstellen des gesamten Unternehmens zu ermitteln, sollten Sie Risikobewertungen für Daten und Infrastruktur durchführen, um alle Bedrohungen zu beurteilen und Pläne zu deren Beseitigung zu implementieren. Anhand dieser Bewertungen können Sie festlegen, welche Maßnahmen zu ergreifen sind.
Unternehmen können die Risikominderung und das Risikomanagement auch an Drittanbieter delegieren oder das Risiko durch Versicherungspolicen abdecken. Mit Hilfe von Analysen der Auswirkungen auf den Geschäftsbetrieb lässt sich auch feststellen, wie störend ein Ereignis oder ein Notfall sein könnte, so dass sich die Unternehmen besser darauf vorbereiten können.
Bereiten Sie sich auf unvermeidbare Ereignisse vor
Ganz gleich, wie viel Geld, Zeit und Mühe eine Organisation in die Risikominderung investiert, es gibt einige Bedrohungen, die sie nicht vermeiden kann. Hier kommt die Bereitschaft (vorbereitet sein) ins Spiel.
Um auf Notfälle vorbereitet zu sein, sollten Sie detaillierte Pläne für den Umgang mit den jeweiligen Bedrohungen erstellen, einschließlich delegierter Zuständigkeiten und Maßnahmen, die im Notfall zu ergreifen sind. Planen Sie für alle Arten von Vorfällen und überprüfen Sie diese Pläne regelmäßig und aktualisieren Sie sie, wenn sich die Geschäftsanforderungen ändern oder die Bedrohungen sich weiterentwickeln. Auch die Rechts- und Finanzabteilungen sollten darauf vorbereitet sein, mit den Folgen eines Vorfalls umzugehen.
Es ist auch wichtig, die Ressourcen zu ermitteln, die für eine sichere und effiziente Reaktion auf einen Notfall zur Verfügung stehen. Dazu können Pläne gehören, wie man sich mit den örtlichen Strafverfolgungsbehörden, Ersthelfern oder internen Abteilungen, die bei der Bewältigung eines bestimmten Notfalls helfen können, koordiniert. Um für alle Fälle gerüstet zu sein, sollten Sie außerdem sicherstellen, dass die Kontaktdaten regelmäßig aktualisiert werden. Ressourcen wie Notstromaggregate, Feuerlöscher und Grundrisspläne sollten ebenfalls für eine Reaktion zur Verfügung stehen.
Delegieren Sie die Zuständigkeiten je nach Art des Notfalls und dokumentieren Sie die Unterschiede zwischen den einzelnen Rollen je nach Art des Notfalls. Zum Beispiel hat das IT-Personal bei einem Ransomware-Angriff eine ganz andere Rolle als bei einem Brand. Erstellen Sie Kommunikationspläne für den Umgang mit den Medien oder der Öffentlichkeit. Delegieren Sie außerdem Kommunikationsverantwortlichkeiten, um Mitarbeiter, die Öffentlichkeit und Interessengruppen über einen Notfall oder Vorfall auf dem Laufenden zu halten.
Da kein guter Plan ohne Übung auskommt, sollten Sie in dieser Phase Übungen und Simulationen für einen bestimmten Notfall durchführen. Übungen bieten die Möglichkeit, verbesserungswürdige Bereiche zu identifizieren und ermöglichen es den Organisationen, diese Pläne zu verfeinern. Tabletop-Übungen können auch dazu beitragen, dass die Mitarbeiter ihre Rollen besser verstehen und wissen, wie sie in einem tatsächlichen Notfall mit ihren Aufgaben umgehen sollen.
Die IT-Abteilung sollte auch Backups und Wiederherstellungen testen und sicherstellen, dass die RTOs und RPOs erreicht werden können.
Bevor ein Vorfall eintritt, ist auch der beste Zeitpunkt, um Teams für Business Continuity und Disaster Recovery (BC/DR) zusammenzustellen, die den Betrieb wiederherstellen und dafür sorgen, dass es höchstens zu einer minimalen Unterbrechung des Geschäftsbetriebs aufgrund eines Vorfalls kommt. Halten Sie aktualisierte und detaillierte Disaster-Recovery-Pläne bereit und proben Sie diese; bereiten Sie bei Bedarf Ausweichstandorte vor.
Reagieren Sie auf Grundlage Ihrer Planung und der Art des Notfalls
Wenn ein Notfall eintritt, tritt die vorherige Planung in Aktion. Wie eine Organisation auf einen Notfall reagiert, hängt von verschiedenen Faktoren ab, beispielsweise von der Art des Notfalls und seiner Schwere.
Vor allem sollte die Sicherheit bei einem Notfall oberste Priorität haben. Während sich der Vorfall oder der Notfall entwickelt, ist die Sicherheit aller Mitarbeiter zu gewährleisten, dann ist die Situation zu bewerten, um die Prioritäten und das weitere Vorgehen festzulegen.
Nach der Lagebeurteilung sollten die für die Koordinierung der Maßnahmen zuständigen Personen oder Teams mit den Maßnahmen beginnen. Sie sollten auch die Teams einsetzen und mit ihnen über das weitere Vorgehen kommunizieren. Die mit den Notfallmaßnahmen betrauten Personen sollten die Situation weiterhin überwachen und die Maßnahmen entsprechend der Entwicklung des Notfalls anpassen.
Die Kommunikationsteams sollten die Beteiligten über die richtigen Kanäle kontinuierlich über die Situation informieren, um sicherzustellen, dass alle, die betroffen sein könnten, auf dem Laufenden sind. Wenn das Ereignis groß genug ist, um die Aufmerksamkeit der Medien auf sich zu ziehen, müssen möglicherweise auch Medienanfragen bearbeitet werden. Während die Einsatzteams an der Bewältigung der Situation arbeiten, sollten die BC/DR-Teams dafür sorgen, dass der Geschäftsbetrieb so wenig wie möglich gestört wird und eine effiziente und sichere Wiederherstellung gewährleistet ist.
Wiederherstellung und Rückkehr zur Normalität
Die Erholungsphase findet nach dem Eintreten eines Notfalls statt, läuft aber oft teilweise parallel zur Reaktion. Zu den Wiederherstellungsaktivitäten gehören alle Maßnahmen zur Rückkehr zum normalen Betrieb.
Die Sicherheit hat immer oberste Priorität, also stellen Sie sicher, dass es ungefährlich ist, zum normalen Betrieb zurückzukehren. Nach der Bewältigung des Notfalls ist der Schaden zu bewerten, den der Notfall in der Organisation angerichtet hat, um die richtigen Schritte zur Wiederherstellung zu ermitteln. Einige Schäden lassen sich leicht feststellen, wie die strukturellen Schäden eines Sturms, während andere eher abstrakt sind, zum Beispiel die Auswirkungen von Datenverlusten oder Reputationsschäden, die sich auf den Umsatz auswirken können.
Ergreifen Sie die kurzfristigen Maßnahmen, die erforderlich sind, um den Geschäftsbetrieb so weit wie möglich wiederherzustellen, und beginnen Sie mit der Planung einer längerfristigen Wiederherstellung. Zu den kurzfristigen Maßnahmen können technische Maßnahmen wie die Wiederherstellung von Netzwerken gehören, aber auch die Instandsetzung der Infrastruktur, wie die Reparatur von Wänden oder zerbrochenen Fenstern. Aus versicherungstechnischen, rechtlichen und finanziellen Gründen sollten Sie die Schäden dokumentieren und die Kosten aufzeichnen. Dies wird Ihnen bei der Anmeldung von Versicherungsansprüchen helfen.
Die Reaktion auf einen Notfall kann auch rechtliche, geschäftliche oder behördliche Konsequenzen nach sich ziehen, zum Beispiel die Verletzung von Compliance-Vorschriften oder SLAs. Rechts- und Finanzteams sollten sich auf die Bewältigung rechtlicher Probleme vorbereiten und entsprechende Pläne aufstellen. Die Teams für Öffentlichkeitsarbeit und Kommunikation sollten sich während des gesamten Wiederherstellungsprozesses mit den Medien, der Öffentlichkeit, den Mitarbeitern und anderen Beteiligten in Verbindung setzen.
Überprüfen Sie den Vorfall und nutzen Sie ihn als Lernerfahrung, um zu sehen, wo Verbesserungen in den allgemeinen Notfallmanagementplänen vorgenommen werden können. Obwohl sich keine Organisation einen Notfall wünscht, können solche Vorfälle dazu beitragen, dass die Organisationen Verbesserungsmöglichkeiten und weitere Maßnahmen zur Schadensbegrenzung erkennen, die bei Übungen oder anderen Überprüfungen nicht gefunden werden.