Skip to main content
Skip table of contents

Notfallszenarien

Dieser Bereich listet alle Notfallszenarien mit einigen weiteren Informationen auf. Die Notfallszenarien werden gruppiert angezeigt. Um die jeweiligen Notfallszenarien schneller finden zu können, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie durch einen Klick auf das - bzw. + Symbol ein- und ausklappen können, lassen sich einzelne Notfallszenarien besser finden.

  • Zeitkritische Geschäftsprozesse
  • IT-Notfallmanagement
  • Notfallmanagement gemäß BSI-Standard 200-4
  • Notfall-relevante Sachverhalte der UVV

Durch einen Klick auf das

Symbol neben der jeweiligen Bezeichnung können Sie die Ansicht aufklappen, und sich genauere Informationen zu den Szenarien anzeigen lassen.


Abbildung: Ansicht Notfallszenarien

ForumBCM bietet auch für die Notfallszenarien eine Vielzahl von Vorschlägen, welche Sie übernehmen können. Beachten Sie hierzu den Abschnitt „Übernehmen von Vorschlägen“.

Werden Notfallszenarien aus den Vorschlägen übernommen, so übernimmt ForumBCM automatisch auch ggf. zugehörige Notfallpläne in die Anwendung.


Notfallszenario anlegen

Bei der Erstellung bzw. der Bearbeitung eines Szenarios können verschiedene Verknüpfungen vorgenommen werden. Ein Notfallszenario wird üblicherweise mit den Gefährdungenverknüpft, auf welchen es aufbaut. Darunter versteht sich bspw. Höhere Gewalt, Kriminelle Ereignisse oder Technische Störungen. Weiterhin können die betroffenen Prozesse, Orga-Einheiten, Anwendungen, Infrastrukturprojekte bzw. Systeme angegeben werden.

Die Felder Bezeichnung und Verantwortung stehen am Anfang der Notfallszenario-Maske. Ebenfalls kann die Art und die Gruppe des Szenarios bestimmt werden. Die übrigen Felder sind zur besseren Übersicht in  Reitern zusammengefasst. In den weiteren Reitern sind Auswirkungen, Maßnahmen und die Übungen zum Szenario zu bearbeiten.


Abbildung: Ansicht Reiter Allgemein, Verknüpfungen und Notfallpläne

Im Reiter Allgemein sind die Gefährdungen in der Ansicht an die erste Stelle gelangt, gefolgt von der Risikoanalyse, der Gruppe sowie der Art. Im Reiter der Verknüpfungen bekommen wir zugeordnete Geschäftsprozesse und deren verknüpfte Anwendungen angezeigt. Der Bereich der verknüpften Anwendungen(1) ist standardmäßig zugeklappt und kann über das Dreieckssymbol geöffnet werden. Im Auswahldialog zur Zuordnung von Geschäftsprozessen zu Notfallszenarien werden zudem die zeitkritischen Geschäftsprozesse zuerst (oben) angezeigt.

Zusätzlich ist das manuelle verknüpfen zu weiteren Schutzobjekten möglich.

Gefährdung

Über die Schaltfläche aus Liste wählen können die Gefährdungen bequem dem Szenario zugeordnet werden. Die Bestätigung der Auswahl erfolgt über die Schaltfläche Übernehmen. Der Gefährdungskatalog gemäß BSI-Grundschutzkompendium steht neben ursächlichen Gefährdungen ebenso zur Auswahl, wenn Sie in der Anwendung ForumNSR das BSI-Grundschutzkompendium als Standard nutzen.


Abbildung: Neues Szenario anlegen - Zuordnung der Gefährdungen

Risikoanalyse

Zu jedem Notfallszenario kann eine Risc Impact Analyse (RIA) angelegt und durchgeführt werden.

Vereinfachte Risikoanalyse

Für die Bewertung von Notfallszenarien wird eine vereinfachte Risikobewertung mittels Eintrittswahrscheinlichkeit und Schadenspotential zur Verfügung gestellt. Die Funktion ist standardmäßig inaktiv und muss für die Verwendung in den Einstellungen der Anwendung global aktiviert werden.

Abbildung: Aktivierung der vereinfachten Risikoanalyse

Aktivieren Sie die vereinfachte Risikoanalyse, steht Ihnen in bereits durchgeführten und bestehen Risikoanalysen die bekannte Checkliste und die vereinfachte Bewertung zur Verfügung. Einen entsprechenden Hinweis bekommen Sie zur Löschung angezeigt:

Eine bestehende Checkliste können Sie über die Schaltfläche Checkliste entfernen löschen.

In der vereinfachten Risikoanalyse wird die Betrachtung auf die Eintrittswahrscheinlichkeit und das Schadenspotential gerichtet. Die entsprechenden Hilfstexte zu den Einstellungen sind über das ? aufrufbar und in den Einstellungen der Risikokriterien zu hinterlegen.

Abbildung: Vereinfachte Risikoanalyse am Szenario Vandalismus

Wird der Funktionsbereich Vereinfachte Risikoanalyse genutzt, müssen Sie bei inaktivem Funktionsbereich Erfassung von Risiken die Einstellungen der Risikokriterien konfiguriert und freigeben werden, um diese innerhalb der Anwendung zu verwenden.


Abbildung: Hinweis auf fehlende Parameter in Einstellungen

Risikoanalyse mit Checkliste und Scoring


Aktivieren Sie die vereinfachte Risikoanalyse, steht Ihnen in bereits durchgeführten und bestehen Risikoanalysen die bekannte Checkliste und die vereinfachte Bewertung zur Verfügung. Einen entsprechenden Hinweis bekommen Sie zur Löschung angezeigt:

Eine bestehende Checkliste können Sie über die Schaltfläche Checkliste entfernen löschen.


Die Risikoanalyse mit Scoring bietet die Möglichkeit, verschiedene Kenngrößen des Szenarios zu klassifizieren und schlägt auf dieser Grundlage einen passenden Testturnus für das betreffende Szenario vor. Nachdem zu dem Szenario eine solche Risikoanalyse angelegt wurde, werden Ihnen in der Detailansicht die wichtigsten Daten angezeigt.

Abbildung: Einzelansicht Notfallszenario

Über die Bezeichnung, wie in der vorherigen Abbildung zu erkennen, gelangen Sie in die detaillierte Aufschlüsselung aller Werte des Rankings und können diese auch anpassen.

Ein zum Szenario angelegtes Ranking kann nicht im Szenario gelöscht oder ausgetauscht werden. Dafür muss immer das Ranking geöffnet werden. Dann ist ein Löschen möglich. Anschließend kann ein neues Ranking zum Szenario angelegt werden.


Abbildung: Einzelansicht Ranking

Zeitkritische Aktivitäten müssen nach MaRisk AT 7.3 mindestens im jährlichen Turnus oder anlassbezogen geübt werden.


Notfallplan und Übung

Auf der Basis des Rankings ist es ggf. erforderlich, dem Szenario einen Notfallplan und / oder eine Übung hinzuzufügen. Folgen Sie dafür einfach den Bearbeitungsmasken. Der Fokus liegt dabei auf den zeitkritischen Geschäftsprozessen. Die Risikobewertung (Notfallranking) wird lediglich dazu genutzt, einen Turnus für die Übungen zu empfehlen.

Die Empfehlungen aus unserem Vorschlag im Grundlagendokument Kriterien zur Risikoanalyse und -bewertung:

  • Bis 50 Punkte wird ein dreijähriger Übungsrhythmus empfohlen
  • Ab 51 bis 70 Punkte wird ein jährliche Übungsrhythmus empfohlen
  • Über 71 Punkte wird ein halbjährlicher Übungsrhythmus empfohlen

Diese Werte sind natürlich individuell anpassbar.

Auswirkungen


Sofern im Punkt „Betroffene Organisationseinheiten“ keine Einträge hinterlegt sind, wird das Szenario und der zugehörige Notfallplan als allgemeingültig (d.h. für alle Organisationseinheiten) betrachtet. Letztere erscheinen sowohl in der PDF-Version des unternehmensweiten Notfallhandbuchs als auch in den Handbüchern für gewählte Organisationseinheiten.


Über die Listenansicht stehen Ihnen die in der Anwendung zur Verfügung stehenden Organisationen über eine Listenauswahl zur Verfügung.


Notfallpläne

Im Reiter Notfallpläne kann ein bereits angelegter Notfallplan ausgewählt werden bzw. neu angelegt werden. Eine Mehrfachauswahl ist hier über die Listenauswahl möglich.

Übungen

Im Reiter Übungen kann ein bereits angelegte Übung ausgewählt werden bzw. neu angelegt werden.

Die Option, Übungen zuzuordnen, ermöglicht es, den eventuell eintretenden Notfall zu üben und die Ergebnisse der Übungen wiederum in die Planung einfließen zu lassen. Somit wird eine optimale Vorbereitung auf die jeweiligen Notfallszenarien ermöglicht. 

Ein Notfallszenario kann nach Fertigstellung durch eine Freigabe mit Wiedervorlage versehen werden. Weitere Information zur Freigabe finden Sie unter der Rubrik Umgang mit der Freigabe.

Risikomanagement


Das Modellieren von Risiken ist möglich, wenn in den Einstellungen von ForumBCM das Erfassen von Risiken im Funktionsbereich aktiviert wurde.

Allgemein

Sofern sich an einem Notfallszenario, zum Beispiel durch einen Ausfall von Systemen, eine besondere Gefährdung ergibt, sind diese Szenarien einer Risikoanalyse zu unterziehen. Über die Schaltfläche Risiko anlegen...können Sie ein neues Risiko anlegen bzw. im Bearbeitungsmodus ein bereits angelegtes Risiko über die Schaltfläche Risiken kopieren auswählen.


Abbildung: Anlegen eines Risikos

Bitte geben Sie dem Risiko eine aussagekräftige Bezeichnung um eine weitere Bearbeitung in ForumBCM zu erleichtern. Die Herkunft wird bei der Bearbeitung aus einer Prüfungsfrage bereits vorgegeben. Bitte vergessen Sie nicht eine Verantwortung zu hinterlegen und gegebenenfalls Bedrohungen zu zuordnen.


Abbildung: Ansicht Allgemein am Risiko eines Notfallszenarios

Für die Auswahl von Bedrohungen steht in der Maske Dropdown Menü zur Verfügung.

Bewertung

Analog zur Methodik in ForumISM sind hier eine Schwachstellen- und Bedrohungsanalyse durchzuführen und Eintrittswahrscheinlichkeit und Schadenspotential  des Abweichungsrisikos zu bewerten. Der Umgang mit dem Risiko bzw. Restrisiko (nach Maßnahmen) ist zu dokumentieren. Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltfläche "Berechnen" die Eintrittswahrscheinlichkeit berechnen lassen. Bitte hinterlegen Sie eine entsprechende Begründung für Ihre Entscheidung.


Sollten Änderungen an der Schwachstellen- bzw. Bedrohungseinstufungen vorgenommen werden, müssen eventuell hinterlegte Begründungen ebenfalls geändert werden.

Abbildung: Bewertung eines Risikos

Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

Abbildung: Matrix Eintrittswahrscheinlichkeit


Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung automatisch hinterlegt.


Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, wird gemäß den Einstellungen vom System die Risikoklasse und Risikokategorie bestimmt.

Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:

    1 - niedrig (Die Schadenswirkung ist minimal)

    2 - mittel (Die Schadenswirkung ist gering)

    3 - hoch (Die Schadenswirkung ist beträchtlich)

    4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)


Umgang mit dem Risiko / Restrisiko

Wurde eine Bewertung des Risikos durchgeführt, bestehen verschiedene Optionen im Umgang mit dem Risiko. Diese Auswahl hat einen Einfluss auf die Bewertung das Restrisikos. 

Auch für das verbleibende Restrisiko kann eine Handlungsempfehlung ausgesprochen werden, wenn sich beispielsweise zu einem Risiko keine (wirtschaftlich / organisatorisch) sinnvollen Maßnahmen zur Minimierung festlegen lassen oder das Restrisiko trotz getroffener Maßnahmen noch sehr hoch ist.


Abbildung: Umgang mit dem Risiko
Risiko
nicht bearbeitetEs ist kein Umgang mit dem Risiko definiert.
akzeptieren

Die Risikobewertung wird automatisch in die Restrisikobewertung übernommen.

Es sind keine weiteren Maßnahmen notwendig.

behandelnDurch verschiedene Maßnahmen können die Risikowerte minimiert werden.
vermeidenDas Risiko kann vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
übertragenRisiken können zum Beispiel an eine Versicherung übertragen werden.

Kopierfunktion von Risiken

Über die Schaltfläche "Risiken kopieren" kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.


Abbildung: Anischt Risikobewertung

Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.


Maßnahme am Risiko

Im Reiter Bewertung können Sie Risiken durch Maßnahmen(1) durch das Betätigen der Schaltfläche "Maßnahme anlegen ..." minimieren. Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Bitte denken Sie an die Vergabe der Verantwortung(3) und die Einstufung des Status(4). Das Risiko ist bereits übernommen und weitere Risiken können hinzugefügt werden(5). Über die Schaltfläche "Auswahl bearbeiten"(6) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen. Über die Dropdown-Listen kann die Auswahl zur Risikoreduktion und den zu erwartenden Kosten(7) getroffen werden, auch hier kann eine Begründung optional hinterlegt werden.


Abbildung: Anlegen einer Maßnahme

Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.


Status 

Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:

StatusBedeutung
vorgesehenDie Maßnahme ist geplant.
in BearbeitungDie Maßnahme ist in Bearbeitung.
in PrüfungDie Maßnahme ist in Prüfung.
implementiertDie Maßnahme ist fertig bearbeitet.
verworfenDie Maßnahme wurde verworfen.

Freigabe

Die neue Maßnahme können Sie zum Abschluss "Freigeben" und es wird automatisch eine Wiedervorlage erstellt. Die Freigabe mit Wiedervorlage sollte in den Einstellungen von ForumBCM für Maßnahmen aktiv sein.

Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Maßnahmen zur Risikobehandlung alle in ForumBCM angelegten Maßnahmen angezeigt.


Abbildung: Freigabe der Maßnahme
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.