Übungen IT-Krisenmanagement
-
Bei einer Übung gilt es, sich vom Tagesgeschäft zu unterscheiden und in kurzer Zeit die gewünschten Reaktionen und Verhaltensweisen auszulösen. Um jedes Zögern zu verhindern, muss der Auslöser so massiv sein, dass die Akteure gezwungen sind, schnell zu handeln. Des Weiteren dient eine Übung auch dazu, handelnde Personen und Kapazitäten an ihre Leistungsgrenzen zu führen, um Schwächen aufzudecken und Probleme zu entlarven.
Als Faustformel, basierend auf Erfahrungswerten, sollte alles "dreimal so schlimm / intensiv" sein, als es im normalen Krisenfall auftreten würde. Ein Szenario muss jedoch auch unter dieser Prämisse stets plausibel sein. Dabei orientiert es sich an realen Lagen, die aber nur unter ganz bestimmten Konstellationen ("Übungskünstlichkeiten") möglich wären. Oftmals wird jedoch in der Öffentlichkeit der Fehler gemacht, von diesen Szenarien auf echte Lagen zu schließen.
-
Manchmal soll ein ganz bestimmtes Szenario, der Umgang mit einer speziellen Situation oder einem bestimmten Auslöser geübt werden. (z. B. Reaktion auf eine Bombendrohung, Maßnahmen bei Malwarebefall)
In der Regel werden aber erst die Ziele einer Übung konkretisiert. Um diese Ziele zu erreichen, werden mögliche Geschichten als Auslöser gefunden, die das gewünschte Verhalten veranlassen sollen (zum Beispiel Überprüfen der Kommunikationsbeziehungen, Krisenreaktionsmechanismen etc.). Das Szenario ist somit die Geschichte als "Verpackung" um das Ziel oder das gewünschte Verhalten herum, das dieses anstößt, plausibilisiert oder erklärt.
-
Szenarien sollen als Hilfsmittel dazu dienen, sich in der künstlichen Konstellation einer Übung in eine bestimmte Situation hineinzuversetzen (Immersion). Szenarien sollen den Teilnehmern einen konkreten Fall anbieten, über dessen Lösung sie nachdenken und mit notwendigen Maßnahmen reagieren müssen.
Es ist zu unterscheiden, ob das Szenario und die Einspielungen Teil der Übung sind (Lagefeststellung aus Einzelbeiträgen, Reaktion auf eingespielte Ereignisse, etc.) oder ob sie als Hilfsmittel nur dazu dienen, die Gesamtsituation darzustellen, aber andere Dinge geübt werden sollen.
Beispiel: Das Szenario ist ein "Stromausfall", Übungsziel ist jedoch, die Kommunikationsbeziehungen und deren Einsatzbereitschaft zu überprüfen. Dabei kann der Auslöser in eine kurze Geschichte "verpackt" werden, in diesem Fall jedoch ist die Ursache des Ausfalls eigentlich unerheblich, da es um die Konsequenzen geht. Für die Übungsteilnehmer ist es jedoch verständlicher, wenn man einen Grund für den Stromausfall anbietet, wie etwa Blitzschlag, Brandstiftung, Verkehrsunfall mit Tanklastzug oder Ähnliches.
-
Je nach Zielsetzung gibt es unterschiedliche Arten von Übungen. Dazu gehören:
- technisch orientierte Übungen wie Notfallplantests (Evakuierungen, Wiederanläufe, Stromausfälle etc.) (siehe BSI-Standard 100-4)
Kommunikationsübungen, bei denen die Optimierung des Informationsflusses und -austauschs zwischen den Beteiligten im Mittelpunkt steht. (Beispiel: Cyber Europe 2010)
In dieser Kategorie gibt es Spezialisierungen wie beispielsweise:- Kommunikationsüberprüfungen: Hier wird unter anderem überprüft, ob Kontaktverzeichnisse stimmen und die Kontaktaufnahme mit den richtigen Ansprechpartnern im Krisenfall klappt
- Alarmierungsübungen: Hier werden beispielsweise die Reaktionszeiten im Ernstfall überprüft <COMCHECK und ALEX>
- Planbesprechungen, bei denen Verfahren und Inhalte nur "am grünen Tisch" durchdacht und diskutiert werden (Beispiel: Cyber Atlantic 2011)
- Stabsarbeitsübungen von Krisenstäben ("Stabsrahmenübungen"), in denen die Krisenstäbe eine eingespielte Lage feststellen sowie notwendige Maßnahmen diskutieren, planen und entscheiden, jedoch ohne dass diese Entscheidungen tatsächlich umgesetzt werden (Beispiel: LÜKEX 2011)
- volle Übungen, in denen vom Entscheider im Stab bis hin zum Sanitäter und Experten vor Ort alle Beteiligten ihre Rolle wie im "scharfen Einsatz" spielen (zum Beispiel Katastrophenschutzübungen, Eisenbahnunfall, Tunnelevakuierung, etc.). Diese Art von Übung ist oft nur mit großem Aufwand und hohem Ressourceneinsatz zu realisieren.
-
Übungen bieten die Chance, in einer sicheren Umgebung und ohne die Konsequenzen einer echten Krise, Lücken, Schwächen und Fehler aufzudecken, um so an der Verbesserung der Notfallvorsorge zu arbeiten. Bei Übungen sind Fehler ausdrücklich erlaubt, denn diese dienen der Weiterentwicklung und Optimierung von Abläufen, Prozessen, Maßnahmen und Entscheidungen.
Damit dienen Übungen in erster Linie der "Verbesserung und Weiterentwicklung des Systems", dem "trainieren, überprüfen und kontrollieren" sowie zur "Entwicklung neuer Konzepte".
Wichtiger Teil jeder Übung ist zudem der Effekt der Sensiblisierung, für das Übungsthema, für Vorgehensweisen und Prozesse sowie für die Organisation von Abläufen und Zuständigkeiten. -
Grundsätzlich ist jede Übung ein Erfolg, wenn sich alle Beteiligten in der Vorbereitung und der Durchführung der Übung auf das Szenario einlassen und ernsthaft darauf reagieren.
Eine Übung ist zum Scheitern verurteilt, wenn das Szenario so unplausibel ist, dass die Übenden es nicht akzeptieren und dagegen arbeiten.In der geschützten Umgebung der Übung dürfen Fehler gemacht werden, dürfen Verfahren und Prozesse getestet werden und nicht wie gedacht funktionieren. Dies festzustellen ist Voraussetzung dafür, Prozesse, Abläufe, Entscheidungswege und Maßnahmen zu optimieren und anzupassen, damit sie in einer echten Krise funktionieren und Fehler nicht mehr gemacht werden. Insofern ist bereits die Tatsache, dass geübt wird und entsprechende Erkenntnisse gewonnen werden können als Erfolg zu werten.
Eine besondere Rolle bei großen Übungen spielt die Vorbereitungsphase, in der alle Aspekte der Übungsdurchführung und der sich daraus ergebenden Probleme ausführlich durchdacht und diskutiert werden. Diese Auseinandersetzung mit der Materie sowie die Ableitung sofortiger Maßnahmen stellen bereits einen enormen Mehrwert da. Frei nach Dwight D. Eisenhower: "Plans are worthless, but planning is everything".