Im Rahmen einer Risikoanalyse kann unter Umständen eine sehr große Anzahl an möglichen Risiken in Betracht gezogen werden. Für die weitere Behandlung der identifizierten Risiken ist es jedoch wenig praktikabel, jedes einzelne identifizierte Risiko gesondert zu behandeln. Daher sollten die relevanten Risiken gruppiert werden. Hierfür bieten sich zwei Strategien an:

• Sie fassen alle Risiken zusammen, die auf einen Prozess wirken,
• Sie gehen von den Ressourcen aus, beispielsweise dem Personal oder einem technischen System wie einer Produktionsanlage, und gruppieren die Risiken entsprechend.

In der Praxis hat es sich bewährt, einem Notfallplan eine überschaubare Anzahl von Risikoszenarien zugrunde zu legen. Beispiele für solche Szenarien sind:

• der Ausfall zentraler Computersysteme,
• der Zusammenbruch der Netzinfrastruktur,
• die Zerstörung wichtiger Gebäude,
• der Wegfall wichtiger Lieferanten oder
• ein erheblicher Ausfall von Mitarbeitern.

Szenario-Technik erleichtert realistische Notfallvorsorge

Mit Hilfe der Szenario-Technik können Sie analysieren, welche Auswirkungen solche Vorfälle auf die Geschäftsprozesse haben können. Dabei sollten Sie den Ablauf eines Notfalls plastisch durchdenken. Bedenken Sie nicht nur extrem negative Entwicklungen ("Worst-Case"-Szenarien). Auch möglicherweise weniger gravierende oder sogar positive Auswirkungen können wertvolle Hinweise für die zu entwickelnden Notfallkonzepte liefern. Da dieses Verfahren sehr aufwändig ist, sollten Sie maximal 15 Notfallszenarien beschreiben und den Schwerpunkt auf solche Szenarien legen, die hohe und realistische Risiken enthalten (= hohes Schadensausmaß, nicht zu geringe Eintrittswahrscheinlichkeit).

Welche Risikoszenarien für ein Unternehmen wichtig sind, hängt von dessen besonderen Bedingungen ab. Unternehmen in der Nähe großer Flüsse müssen über die Folgen von Überschwemmungen nachdenken, wer direkt in der Einflugschneise eine Flughafens angesiedelt ist, ist möglicherweise auch stärker von möglichen Unfällen im Luftverkehr betroffen. Überlegen Sie sich, welche Risikoszenarien für Ihr Unternehmen oder Ihre Behörde besonders relevant sind.

Beispiel

In der Business Impact Analyse der RECPLAST GmbH wurden die Prozesse IT-Wartung und Server-Betrieb als kritisch, bzw. hoch kritisch bewertet. Diese Prozesse stützen sich im Wesentlichen auf das Knowhow der zuständigen Mitarbeiter sowie die zu Wartungszwecken eingesetzten IT-Systeme und Kommunikationsnetze. In der Beschreibung von Notfallszenarien wurde daher versucht, die Folgen eines Ausfalls der erforderlichen IT-Systeme zu beschreiben. Dieser könnte beispielsweise durch Stromausfälle, Hochwasser, Brände in Serverräumen, fehlerhafte Softwaresysteme oder Attacken aus dem Internet verursacht worden sein. In einem weiteren Szenario wurden die Folgen eines gravierenden Ausfalls der Knowhow-Träger, zum Beispiel aufgrund einer Pandemie oder eines Streiks, analysiert.