Wohin im Dschungel der Gesetze, Normen und Begriffe?

Jens Washausen

Wiki Commons

In den vergangenen Jahren wurden Themen des Risiko­managements und des Schutzes kritischer Infrastrukturen (KRITIS) bereits aus unterschiedlichen Perspektiven betrachtet. Nicht anders erging es dem Autor in diversen Gesprächen mit Verantwortlichen für das Risikomanagement in den verschiedensten Industrieunternehmen, auch bei KRITIS-Betreibern. Die Vielfalt der Funktionen der Gesprächspartner ist so groß wie die Unterschiedlichkeit der Herangehensweisen.

Und bereits zu Beginn der Diskussionen wird es haarig. Braucht KRITIS ein besonderes, spezielles Risikomanagement? Ist der Kern das Notfall-Management oder das Krisenmanagement? Ist Krisenmanagement nicht nur eine Eskalationsstufe des Notfall-Managements? Ist Risikomanagement eventuell das Gleiche wie Business Continuity Management? Wenn nicht, wer ist Teil von was?

Es ist davon abzuraten, dies als eine ausschließlich akademische Diskussion abzutun. In der Konsequenz können, je nach der Antwort, die Zuständigkeiten und Verantwortlichkeiten sehr unterschiedlich aussehen.

In diesem Modell ist die Regelorganisation des Unternehmens oder der Organisation für das Notfall-Management und die Krisen­organisation für das Krisenmanagement zuständig. In einigen Konzepten wird auch nach wie vor von der besonderen Aufbau- und Ablauforganisation gesprochen. Ein in die Jahre gekommener Begriff, der aber sehr gut deutlich macht, dass es Prozesse und eine Organisation braucht. Nicht alles, was alt ist, muss unbedingt schlecht sein.

Die Entscheidung des Managements, unter welcher „Headline“ und damit auch unter welcher betrieblichen Zuständigkeit man sich der Vorsorgethematik nähern möchte, hat weitreichende Bedeutung. Und die ist zuerst einmal juristischer Natur. 

Den Organschaften der Unternehmen und Organisationen geht es pflichtgemäß zunächst um zwei Aufgaben:

  1. Ausschluss eines Organisationsverschuldens und
  2. Sicherstellung der nachhaltigen Entwicklung.

Zum ersten Punkt: Die Gretchenfrage ist hier „Wie muss ich als Vorstand oder Geschäftsführer meiner Verpflichtung zum Risikomanagement nachkommen?“ Welche Auflagen erteilt der Gesetzgeber bezüglich der Dokumentation und Organisation? Welches sind die Merkmale für ausreichend und für vorbildlich? Die Compliance-Anforderungen basieren vor allem auf dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ­(KonTraG) von 1998 und der sich daraus für Aktiengesellschaften, KGaA und große GmbHs ergebenden Rechtspraxis. Gefordert werden die regelmäßige Risikoanalyse und Risikoaggregation. 

Geprüft werden das Bestehen und der Betrieb eines Risikomanagementsystems. Wenn nun also geprüft wird, sollte für alle klar sein, welche Vorschrift oder Vorgabe geprüft wird. Zu den gesetzlichen Vorschriften gehören zum Beispiel die BSI-Kritisverordnung (BSI-KritisV) für Betreiber kritischer Infrastrukturen und für die Allgemeinheit auch das IT-Sicherheitsgesetz. Für den Finanzsektor existieren mit Basel I bis III, MaRisk und Solvency I und II sehr stringente weitere Vorgaben.

Wohin im Dschungel der Gesetze, Normen und Begriffe?
Quelle: © J. Washausen

Vorgaben für die Struktur von Risikomanagementsystemen sind in allgemeinverbindlichen Gesetzen fast ausschließlich für die Sicherheit der ITK-Systeme zu finden. Wonach soll man sich also richten? Da helfen scheinbar nur die Normen weiter. Zuvorderst ist die ISO 31000 zu nennen, die jedoch nur das Rahmenwerk für das Risikomanagement beschreibt. Man kann sich nicht danach zertifizieren. Da hilft schon eher die Österreichische Norm Serie ONR 4900x weiter.

Zum zweiten Punkt: Die Aufgabenstellung, das eigene Unternehmen bzw. die eigene Organisation nachhaltig positiv zu entwickeln, impliziert die Frage, was im Zentrum unserer Aufmerksamkeit und Vorgehensweise stehen sollte. Das Risiko oder das Geschäft? Der Autor bevorzugt die Fokussierung auf das Geschäft. Deshalb lautet unsere Empfehlung, betriebliches Risikomanagement in Form eines Business Continuity Managements (BCM) aufzusetzen.

Dies hat aus der Sicht unserer Erfahrungen zwei entscheidende Vorteile:

  1. Es erübrigt sich sinnvollerweise die Diskussion bezüglich der Unterscheidung oder Integration von Notfall- und Krisen­management. Es geht ausschließlich darum, sensible und kritische Geschäftsprozesse zu identifizieren, Wirkmechanismen von Risikopotenzialen zu verstehen und abzuschätzen und effektive Prozesse für die Bewältigung eintretender Szenarien und die Wiederherstellung der Geschäftsprozesse bereit zu halten.
  2. Der aus methodologischer Sicht mindestens gleichwertige Vorteil besteht darin, und dies werden erfahrene Risiko- und Security-Manager sicherlich einräumen, dass es psychologisch viel einfacher erscheint, Führungskräfte für das Thema Erhalt der Geschäftsfähigkeit zu gewinnen, als für die Handhabung des eher negativ anmutenden Clusters Risiken. Die Diskussion über Risiken ist schon dadurch schwierig, weil die Relevanz von Risiken allzu oft wegen einer angeblich zu vernachlässigend geringen Eintrittswahrscheinlichkeit geleugnet wird. 

Welche Vorschriften und Normen stehen für diesen Ansatz zur Verfügung? Das Kontinuitätsmanagement war, historisch betrachtet, lange eine militärische Begrifflichkeit und über weite Strecken auch „nur“ IT-fokussiert. In jüngster Vergangenheit erfolgte die Adaptierung auf größere Strukturen und Organisationseinheiten. Meilensteine waren der US-amerikanische Sarbanes-Oxley Act in 2002 und der britische Civil Contingencies Act im Jahre 2004.

Mit der Standardisierung und Normung ist es jedoch nicht so einfach. International gelten die ISO 22301, in den USA die NFPA 1600, in Australien und Neuseeland die BCM Better Practice ­Guidelines, in Großbritannien die BS 7799:2002 und in Österreich die ÖNORM A7799. Die Auswahl ließe sich fortsetzen. Aus Sicht der Sicherheit der Prozesse in der Informationstechnology sind die ISO 17799 und die ISO 27001 zu ergänzen. Für die Auswahl eines Systems ist unter Umständen nicht unbedingt der Sitz der Gesellschaft entscheidend.

Unternehmen und Organisationen, die global präsent und auf dem internationalen Parkett tätig sind, sei empfohlen, sich auch mit dem „Good Practice Guide“ des englischen Business Con­tinuity Institute sowie den „Joint Standards“ des Business Con­tinuity Institutes (USA) sowie des Disaster Recovery Institute International (UK) zu befassen.

Die Verschiebungen zwischen den geostrategischen Polen USA, Volksrepublik China und Russland, der bevorstehende Brexit und latente Probleme in der Entwicklung der Europäischen Union lassen nicht erwarten, dass europäische Normsysteme in nächster Zukunft große weltweite Durchsetzungskraft und Akzeptanz entwickeln werden.

Nicht nur für Global Player empfiehlt der Autor einen Blick in die amerikanische NFPA 1600. Sie ist beneidenswert klar strukturiert und verständlich. Im Gegensatz zu dem deutschen und europäischen Durcheinander von Qualitätsmanagement, Business Continuity, besonderen Vorschriften und Normen für IT-Security und KRITIS, haben wir es hier mit einer konsistenten Agenda zu tun:

In Chapter 3    finden Sie Definitions

in Chapter 4     Program management

in Chapter 5     Planning

                           – Vision, mission, goals

                           – Risk assessment, BIA

                           – Ressource needs assessment

                           – Crisis management

                           – Inclusion of stakeholders

in Chapter 6     Implementation

                           – Emergency operations and response plan

                           – Continuity and recovery plan

in Chapter 7     Training and education

in Chapter 8     Exercises and tests und

in Chapter 9     Program maintenance and improvement.[]

Darüber hinaus werden in den Anhängen eine Reihe nützlicher Tools und Informationen bereitgestellt. Besondere Erwähnung verdienen der Annex B Self-Assessment for Conformity und der Annex C Small Business Preparedness Guide.

Egal, für welches Normensystem Sie sich letztlich entscheiden, wir empfehlen, das Projekt von Beginn an durchzuplanen.

Sowohl im klassischen Risikomanagement als auch im Betrieblichen Kontinuitätsmanagement (oder BCM) sind das Risiko Assessment und die Business Impact Analyse die analytischen Stationen auf dem Wege zur Entwicklung der Strategie. Hier geht es zuerst einmal um die Definition der kritischen Geschäftsprozesse, deren Ausfall nicht akzeptable Wirkungen auf die Organisation oder das Unternehmen haben würde. 

Denen, die sich mit dieser Aufgabenstellung zum ersten Mal auf den Weg machen, raten wir, in Bezug auf die zu erwartenden Ausfallrisiken auf eine monetäre Bewertung zu verzichten und statt dessen qualitative Einschätzungen vorzunehmen. Leichter tun sich Unternehmen und Organisationen hingegen mit den so genannten kritischen Ausfallzeiten. Sie sind das Maß zur Bestimmung der Abhängigkeit eines Geschäftsprozesses von einem anderen Prozess oder Ressourcen bzw. Elementen der Infrastruktur.

In der Vergangenheit wurde in BCM-Projekten immer wieder auf die Verifizierung der Kategorie Ausfallzeitpunkt verzichtet. Die Praxis lehrt, dass die Anforderungen von betrieblichen Prozessen an ihre unterstützenden Prozesse mit der Zeit variieren können. Das trifft insbesondere dann zu, wenn wir es mit saisonalen Produktions- und Absatzschwankungen zu tun haben. Das Kontinuitätsmanagement konzentriert sich sehr deutlich auf die Wiederherstellung der Funktionsfähigkeit aller Geschäftsprozesse. Deshalb spielen die Prognose bzw. die Festlegung der Limits der Wiederanlauf- und Wiederbeschaffungszeiten eine zentrale Rolle unter den Ergebnissen der Business Impact Analyse.

Zurück zu der Frage, wie die Dokumentation und die Organisation im Unternehmen und Organisationen ausschauen müssen, damit das Management kein Organisationsverschulden trifft. Entscheiden Sie sich, die Aufgabe ISO- und EN-konform zu erledigen, werden Sie den schon vorhandenen Managementsystemen mindestens ein weiteres hinzufügen. Der Aufwand ist beträchtlich: ein Managementbeauftragter, interne Audits mit Vorlaufarbeiten, Management Attention in der Geschäftsleitung, Zertifizierungen usw.

Dieser Irrsinn ist seit Jahren zu beklagen. Damit kein Irrtum aufkommt: Der Autor ist ein ausgesprochener Verfechter der Standards. Es sei aber die Frage gestattet, warum wir für jedes Thema ein eigenes Managementsystem erstellen und benutzen müssen. Die Themen Risikoanalyse, Prozesse, Organisation und kontinuierlicher Verbesserungsprozess gibt es schon in der ISO 9001. Warum müssen wir das für die IT-Security, Umweltmanagement und das Kontinuitätsmanagement separat aufsetzen und pflegen? 

Wer sich in seinem BCM-Projekt gut organisiert und strukturiert, wird wenig Mühe damit haben, diese wichtigen Themen in einem integrierten Managementsystem zusammenzuführen. Alles andere ist auf Dauer unter betriebswirtschaftlichen Aspekten nicht mehr zu vermitteln. Auch der Gesetzgeber und die Beraterbranche müssen das ermöglichen und ihren Beitrag dazu leisten. 


[1]  Quelle: National Fire Protection Association, https://www.nfpa.org/codes-and-standards/all-codes-and-standards/list-of-codes-and-­standards/detail?code=1600



Mehr zu den Themen:

Verwandte Artikel

Ausfall von Wasserversorgung und Abwasser­entsorgung als KRITIS-Schadensfall

Ausfall von Wasserversorgung und Abwasser­entsorgung als KRITIS-Schadensfall

Die derzeitige Corona-Pandemieschadenslage hat Krisen-/Verwaltungsstäben der öffentlichen Hand und auch Notfallstäben von Unternehmen gezeigt, dass eine mangelhafte Vorbereitung auf den Ernstfall einer schweren Schadenslage gravierende...

Vorbereitungsgrad der öffentlichen Verwaltung

Vorbereitungsgrad der öffentlichen Verwaltung

Die Rolle der öffentlichen Verwaltungen in der deutschen Sicherheitsarchitektur steht selten im Fokus der Betrachtung. Den Verantwortlichen aus dem Innern der öffentlichen Verwaltungen ist diese Aufgabe jedoch durchaus bewusst: Zumindest die...

Wer hilft, wenn nichts mehr geht?

Wer hilft, wenn nichts mehr geht?

Vorräte für den Notfall anzulegen ist in Deutschland nicht wirklich populär. Dies zeigte sich deutlich bei der Vorstellung der „Konzeption Zivile Verteidigung“ durch den damaligen Bundesinnenminister De Maizière im Jahr 2016. Die...

:

Photo

Definition KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende…