BS 11200:2014

Crisis management and good practice

Aufbau eines Krisenmanagementsystems

Mai 2017

Dr. Holger Kaschner

Whitepaper

2017|03

ACG Automation Consulting Group GmbH

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

www.acg-bcm.de 2 / 8

Inhalt

Auf einen Blick: BS 11200:2014 2

Die Herausforderung 3

Leitfrage 4

Inhalt von BS 11200:2014 4

Stärken 5

Schwächen 5

Investitionen/Kosten/Einsparpotenzial bei Verfahren gem. BS 11200:2014 6

Implementierung des BS 11200:2014 6

Fazit 7

Über ACG 8

Competence Center Business Continuity & Crisis Management 8

http://www.acg-bcm.de

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

3 / 8 www.acg-bcm.de

Auf einen Blick: BS11200:2014

Die Herausforderung

Elementarereignisse, Stromausfälle, Streiks bei Outsourcing-Partnern, anderweitige Un-

terbrechungen der Lieferkette oder Cyber-Attacken – die Risiken sind für Unternehmen,

Verwaltungen, Behörden und sogar gemeinnützige Institutionen so zahlreich wie nie.

Deshalb ist es für Organisationen aller Art unabdingbar, eine Widerstandsfähigkeit ge-

genüber ungeplanten Ereignissen und Krisen zu entwickeln. Eine solche Resilienz fällt

nicht vom Himmel. Einerseits hilft eine agile Organisationstruktur dabei, erfolgreich zu

bleiben. Andererseits muss das Vertrauen der wesentlichen Stakeholder bewahrt wer-

den. Daher müssen Menschen, Informationen, Prozesse und Produkte genauso ge-

schützt werden, wie sonstige materielle und immaterielle Werte. Dafür gibt es Manage-

ment Systeme, beispielsweise für (Information) Security, IT Service Continuity und Busi-

ness Continuity.

Diese Präventionsmaßnahmen setzen an den Ursachen von Risiken an und puffern die

Wirkungen der meisten ungewollten Ereignisse ab. Da Risiken aber nur in den seltens-

ten Fällen mit wirtschaftlich vertretbarem Aufwand vollständig eliminiert werden kön-

nen, bleiben Restrisiken. Wenn diese schlagend werden, sind zwei Dinge gefragt: Kri-

senmanagement und Krisenkommunikation.

http://www.acg-bcm.de

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

www.acg-bcm.de 4 / 8

Leitfrage

Sollte ein Unternehmen oder eine Behörde das Krisenmanagement am britischen Stan-

dard BS 11200:2014 ausrichten oder einen eigenen Ansatz entwickeln?

Inhalt von BS 11200:2014

Der BS 11200:2014 formuliert den Anspruch, Prinzipien und Good Practices für Krisen-

management zu setzen. Er richtet sich an das Top Management und Mitarbeiter der

Krisenorganisation eines Unternehmens bzw. einer Behörde, unabhängig von deren

Größe. Der Standard gibt Hilfestellungen zu verschiedenen Herausforderungen rund

um das Management von Krisen. Dazu zählen unter anderem zunächst ein Grundver-

ständnis dieser Herausforderungen zu entwickeln, die Krisenmanagementfähigkeit

durch Trainings und Übungen zu entwickeln sowie in Krisen wirkungsvoll zu kommuni-

zieren.

Er umfasst acht Kapitel, drei Abbildungen und zwei Tabellen, die sich auf 36 Seiten

(davon 29 inhaltliche) verteilen.

Sein Aufbau erinnert an ISO-Standards:

1. Scope

Was will der Standard?

2. Glossar

Welche Begrifflichkeiten und Definitionen legt er zugrunde?

3. Grundprinzipien des Krisenmanagements

Was sind Krisen und wie entstehen sie?

4. Aufbau der Krisenmanagementfähigkeit

Wie kann ein Rahmen für einen Krisenmanagementprozess aussehen und welche

Phasen besitzt er typischerweise?

5. Führung in Krisensituationen

Wie unterscheidet sich Führung in Krisensituationen von Führungssituationen im

Alltag?

6. Strategische Entscheidungsfindung

Warum ist es so schwierig und gleichzeitig wichtig, in Krisensituationen gute Ent-

scheidungen zu treffen?

7. Krisenkommunikation

Wie kann sich eine Organisation auf die Tücken in der Kommunikation unter Druck

mit unterschiedlichsten Zielgruppen vorbereiten?

8. Trainings, Übungen und Lessons learned

Was muss trainiert, geübt oder überprüft werden?

http://www.acg-bcm.de

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

5 / 8 www.acg-bcm.de

Stärken

Der Standard beschreibt die Aspekte, die für erfolgreiches Krisenmanagement wesent-

lich sind. Dazu zählen unter anderem die Hinweise zu

klarer Führung

Krisenkommunikation

Entscheidungsfindungsprozess

Aufbau- und Ablauforganisation (z. B. Alarmierungsprozess für den Krisenstab)

Organisationen, die bereits ein Informationssicherheits- oder Business Continuity Ma-

nagement System betreiben, finden im BS 11200:2014 orientierten Krisenmanagement

zahlreiche Schnittstellen und Anknüpfungspunkte. Wiedererkennungswert besitzt der

britische Standard auch insofern, als dass er das Rad nicht neu erfindet: Das Glossar

arbeitet wo immer möglich mit Begriffsdefinitionen aus ISO-Standards, z. B. ISO 9000,

ISO 22301, ISO 31000). Anschaulich ist beispielsweise die Gegenüberstellung der Merk-

male, die ein Vorkommnis entweder zu einem Incident oder einer Krise machen.

Weiterer Vorteil: Der Standard ist vergleichsweise knapp gehalten und enthält trotzdem

alles Wesentliche.

Schwächen

Während ISO-Standards in der Regel um die 100 Euro kosten, verlangt die British Stan-

dard Institution 190 britische Pfund (95 britische Pfund für ihre Mitglieder. Eine

deutschsprachige Fassung gibt es nicht, so dass der Leser zwingend des Englischen

mächtig sein muss. Das macht den 2016 von Bundesamt für Verfassungsschutz (BfV),

dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem ASW Bundes-

verband gemeinsam herausgegebenen Standard 2000-3 „Aufbau und Betrieb eines

Notfall- und Krisenmanagementsystems“ zu einer Alternative. Dieser ist komplett auf

Deutsch und kostenfrei per Download verfügbar.

Ferner enthält der BS 11200:2014 Widersprüche. Je nach Kapitel empfiehlt der Stan-

dard entweder, auf szenariospezifische Krisenpläne zu verzichten – oder diese auszuar-

beiten. Das verwirrt nicht nur den Laien.

Darüber hinaus hat er zwei weitere Nachteile, die allerdings die meisten Standards ha-

ben:

1. Er regelt zwar das „Was“, erklärt aber nur teilweise das „Wie“. Dazu muss eine Orga-

nisation in der Regel entweder auf Fachbücher, die Weiterbildung von Mitarbeitern

oder externe Unterstützung in Form von Beratern zurückgreifen.

2. Daneben verweist er an wichtigen Stellen auf andere Standards, beispielsweise

beim so wichtigen Aspekt Trainings, Tests und Übungen.

Diese Verweise sind übrigens nicht immer aktuell, da die International Organization for

Standardization (ISO) mittlerweile einen eigenen Standard für Tests und Übungen auf-

gesetzt hat (ISO 22398:2015). Eine Zertifizierung des Krisenmanagements nach BS

11200:2014 ist nicht möglich.

http://www.acg-bcm.de

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

www.acg-bcm.de 6 / 8

Investitionen/Kosten/Einsparpotenzial bei Verfahren gem. BS

11200:2014

Ein Krisenmanagementsystem kann entweder erfahrungsbasiert eingerichtet werden

oder orientiert an einem Standard wie dem BS 11200:2014 beziehungsweise dem BfV/

BSI/ASW 2000-3. Keine der Varianten bringt gegenüber den anderen signifikante Ein-

sparpotenziale mit sich. Auch hier geht es nicht ohne die üblichen Investitionen in Auf-

bauorganisation, Ablauforganisation und Infrastruktur. Der Standard selbst äußert sich

nicht zu den zu erwartenden zeitlichen Aufwänden, Investitionen und Betriebskosten.

In der Praxis lassen sich nachstehende Investitionen und Kostentreiber draus ableiten.

Tabelle 1: Kosten und Einsparpotenziale

Implementierung des BS 11200:2014

Wichtig ist die Erkenntnis, dass die Gliederung des Standards keine Checkliste zur Im-

plementierung darstellt. Auch Prioritäten lassen sich daraus nicht ableiten. Stattdessen

muss jede Organisation den Standard und seine Vorgaben interpretieren und auf die

eigenen Bedarfe anpassen. Auch dies ist für einen Standard absolut typisch. Aufgrund

der fehlenden Zertifizierungsfähigkeit ist der Spielraum zur Interpretation jedoch deut-

lich größer als bei der Implementierung eines Business Continuity Management Sys-

tems (BCMS) nach ISO 22301 oder eines Information Security Management Systems

(ISMS) nach ISO 27001. Das ist Fluch und Segen zugleich, da Krisenmanagement- und

Organisationsexperten diesen Spielraum zu nutzen wissen, Einsteiger indes konkretere

Hilfestellungen benötigen.

Pe

rson

alk

oste

n

Vergütung von Bereitschaftszeiten

Aufbau zusätzlicher Rollen für den Aufbau/Betrieb des Krisenmanagementsystems

(z.B. eines Incident & Crisis Managers)

ggfs. Überstunden für Teilnehmer an Übungen oder in Ernstfällen

...

Sa

ch

ko

sten

Konzeption und Implementierung der Krisenorganisation inkl. Aufbau- und Ablaufor-

ganisation

Ausstattung der Krisenstabsräume/Lagezentren am Haupt- sowie Ausweichstandort

Beratungskosten (z.B. bei Konzeption, Implementierung, Training, Übungen, Ad-hoc-

Beratung in Krisen, Medienmonitoring, Lobbying/Stakeholdermanagement, ...)

ggfs. Alarmierungstool oder Krisenmanagementtool

...

http://www.acg-bcm.de

Aufbau eines Krisenmanagementsystems nach BS 11200:2014

7 / 8 www.acg-bcm.de

In der Praxis hat sich losgelöst von einem bestimmten Standard in vielen Fällen folgen-

de Priorisierung bewährt:

Abbildung 1: Implementierung einer Krisenorganisation

Zunächst wird die Aufbauorganisation, sprich die Besetzung des Krisenstabs, festge-

legt. Für diesen müssen Alarmierungs- und Entscheidungsverfahren entwickelt werden

(Ablauforganisation). Ob der Krisenstab seine Aufgaben erfolgreich wahrnehmen kann,

steht und fällt damit, dass diese Verfahren funktionieren – sie müssen getestet werden.

Der Krisenstab wird in den meisten Organisationen aus Personen bestehen, die sich

aus dem beruflichen Alltag zwar kennen, aber noch nicht unter dem besonderen Druck

einer Krisensituation und womöglich nicht in klar definierten Rollen- und Kompetenz-

modellen zusammengearbeitet haben. Dies muss der Krisenstab als Ganzes trainieren

und üben. Eine häufige Erkenntnis aus derartigen Trainings und Übungen ist, dass für

effektive Krisenstabsarbeit bestimmte Infrastrukturen und Hilfsmittel nützlich sind.

Dann wird die Einrichtung eines Krisenstabsraums zu einer sinnvollen Option.

Fazit

Auch wenn der BS 11200:2014 verschiedentlich Optimierungspotenzial aufweist und es

vermutlich nicht ganz ohne erfahrene Krisenberater geht: Er ist neben dem Standard

2000-3 „Aufbau und Betrieb eines Notfall- und Krisenmanagementsystems“ des BfV/

BSI/ASW aktuell die strukturierteste Leitplanke, die eine Organisation für die Konzepti-

on und den Aufbau eines Krisenmanagements finden kann. Insgesamt ist er für den

Aufbau eines Krisenmanagements deutlich nützlicher als sonstige verfügbare Stan-

dards oder Werke, wie zum Beispiel der deutsche Standard BSI 100-4 Notfallmanage-

ment des BSI sowie diverse Fachbücher. Diese vermitteln oft den Eindruck, Krisenma-

nagement sei nichts anderes als eine Sonderform von Business Continutiy Manage-

ment oder eine untergeordnete Teildisziplin von Krisenkommunikation. Ergo: Eine Or-

ganisation kann nichts falsch machen, wenn sie ihr Krisenmanagement am BS

11200:2014 ausrichtet.

http://www.acg-bcm.de

Competence Center Business Continuity & Crisis Management

Wir sind Spezialisten für Business Continuity Management und Krisenmanagement bei

Betreibern Kritischer Infrastrukturen. Unsere Berater verfügen über langjährige Pra-

xiserfahrung aus Linien- und Beratungstätigkeit – auch in den Nachbardisziplinen Infor-

mationssicherheits-, IT Service Continuity und Incident Management. Das Umsetzen

der Anforderungen des IT-Sicherheitsgesetzes (ITSiG) sowie der Vorgaben aus MaRisk,

VAG, MaGo (VA) und Co. gehört für uns zum täglichen Geschäft.

Wir subsumieren den Umgang mit Risiken unter dem Schlagwort Resilienz. Gerade bei

Cyber-Attacken ist Resilienz nur möglich, wenn ISM, BCM, ITSCM, Incident- und Krisen-

management reibungslos ineinander greifen. Genau das stellt der Top-Down-Ansatz

unseres Vorgehensmodells sicher.

Das ACG-Vorgehen ist prüfungs- und praxiserprobt.

Der ACG-Ansatz ist methodisch und technisch offen.

ACG arbeitet effizient und transparent.

Wir zeigen Lösungen auf, Sie entscheiden, gemeinsam setzen wir Ihre Entscheidung

um. Ausführliche Informationen finden Sie unter www.acg-bcm.de.

Über ACG

Die ACG Automation Consulting Group GmbH ist eine inhabergeführte Beratungsgesell-

schaft für Organisation und IT. Seit Unternehmensgründung im Jahr 1985 haben wir

uns auf Betreiber kritischer Infrastrukturen konzentriert. In gut 30 Jahren haben wir bei

mehr als 180 Kunden weit über 1.800 Projekte erfolgreich durchgeführt und sind Rah-

menvertragspartner vieler namhafter Institute.

Kontakt:

Dr. Holger Kaschner

E-Mail: hkaschner@acg-gmbh.de

Telefon: +49 69 66 565 161

Herausgeber:

ACG Automation Consulting Group GmbH

Lyoner Straße 11a

60528 Frankfurt am Main

Telefon: +49 69 66 565 0

E-Mail: info@acg-gmbh.de

Internet: www.acg-gmbh.de

Whitepaper

2017|03

ACG Whitepaper 2017|03

Copyright © ACG 2017.

Alle Rechte vorbehalten.

http://www.acg-bcm.demailto:hkaschner@acg-gmbh.demailto:hkaschner@acg-gmbh.dehttp://www.acg-gmbh.de