ForumBCM
ForumBCM
Breadcrumbs

Notfallszenarien

Dieser Bereich listet alle Notfallszenarien mit einigen weiteren Informationen auf. Die Notfallszenarien werden gruppiert angezeigt. Dank der Gruppierung, welche Sie durch einen Klick auf das - bzw. + Symbol ein- und ausklappen können, lassen sich einzelne Notfallszenarien besser finden.

Folgende Gruppen stehen für Notfallszenarien zur Auswahl:

  • Zeitkritische Prozesse

  • IKT - Notfallmanagement (Unternehmen)

  • IKT - Notfallmanagement (Dienstleister)

  • Sonstige Notfall-Szenarien

Bei Auswahl der Gruppe 'IKT-Notfallmanagement (Dienstleister)' wird der Reiter Risikomanagement am Notfallszenario ausgeblendet.

Bei Auswahl der Gruppe 'Sonstige Notfall-Szenarien’ wird die Ansicht des Notfallszenarios um die Zeile 'Untergruppe’ erweitert, in der per Dropdown die Werte 'Notfallmanagement gem. BSI-Standard 200-4' oder 'Notfallrelevante Sachverhalte der UVV' (oder auch keine Angabe) eingegeben werden können.

Sie können ein Notfallszenario direkt aus der Übersicht per Button Notfallszenario anlegen erstellen, oder auch aus Vorschlägen über den Button Vorschläge anzeigen übernehmen. Beachten Sie hierzu den Abschnitt „Umgang mit Vorschlägen“.


image2025-11-17_10-12-29.png

Abbildung: Ansicht Notfallszenarien

Werden Notfallszenarien aus den Vorschlägen übernommen, so übernimmt ForumBCM automatisch auch ggf. zugehörige Notfallpläne in die Anwendung.

Notfallszenario anlegen

Beispiel an einem Notfallszenario der Gruppe 'Zeitkritischer Prozess':

Die Felder Bezeichnung, Gruppe, Art, Verantwortung und Beschreibung stehen am Anfang der Notfallszenario-Maske. Die übrigen Felder sind zur besseren Übersicht in Reitern zusammengefasst.

image2025-11-17_10-0-2.png

Abbildung: Notfallszenario - Zeitkritischer Prozess

Reiter 'Risikomanagement'

Im Reiter Risikomanagement sind die Gefährdungen an erster Stelle wählbar, gefolgt von der Risikoanalyse und dem Bereich zu weiteren Risiken.

Das Modellieren von weiteren Risiken ist möglich, wenn in den Einstellungen von ForumBCM das Erfassen von Risiken im Funktionsbereich aktiviert wurde.

Bei der Erstellung bzw. der Bearbeitung eines Szenarios können verschiedene Verknüpfungen vorgenommen werden. Ein Notfallszenario wird üblicherweise mit den Gefährdungen verknüpft, auf denen es aufbaut. Darunter versteht sich bspw. Höhere Gewalt, Kriminelle Ereignisse oder Technische Störungen. 

Über die Schaltfläche aus Gefährdungen wählen... können die Gefährdungen bequem dem Szenario zugeordnet werden. Die Bestätigung der Auswahl erfolgt über die Schaltfläche Übernehmen. Der Gefährdungskatalog gemäß BSI-Grundschutzkompendium steht neben ursächlichen Gefährdungen ebenso zur Auswahl, wenn Sie in der Anwendung ForumNSR das BSI-Grundschutzkompendium als Standard nutzen.

image2025-11-17_10-23-55.png

Abbildung: Neues Szenario anlegen - Zuordnung der Gefährdungen

Risikoanalyse: Sofern sich an einem Notfallszenario, zum Beispiel durch einen Ausfall von Systemen, eine besondere Gefährdung ergibt, sind diese Szenarien einer Risikoanalyse (Risk Impact Analyse → RIA) zu unterziehen. Zu jedem Notfallszenario kann eine eine RIA angelegt und durchgeführt werden.

Möchten Sie weitere Risiken erfassen, muss in den Einstellungen der Bereich 'Erfassung weiterer Risiken' aktiviert sein.

image2025-11-17_14-27-49.png

Abbildung: Einstellungen - Erfassung weiterer Risiken


Für weitere Informationen siehe dazu den Abschnitt unter Risikoanalyse.

Reiter 'Verknüpfungen'

Im Reiter der Verknüpfungen bekommen wir zugeordnete Geschäftsprozesse und deren verknüpfte Anwendungen angezeigt. Der Bereich der verknüpften Anwendungen ist standardmäßig zugeklappt und kann über das Dreieckssymbol geöffnet werden. Im Auswahldialog zur Zuordnung von Geschäftsprozessen zu Notfallszenarien werden zudem die zeitkritischen Geschäftsprozesse zuerst (oben) angezeigt.

Zusätzlich ist das manuelle verknüpfen zu weiteren IKT-Assets möglich.

image2025-11-17_10-15-9.png

Abbildung: Notfallszenario - Verknüpfungen

Reiter 'Auswirkungen'

In diesem Reiter können Sie betroffene Organisationseinheiten als auch die betroffenen Ressourcen angeben.

Falls die Auswahl einer betroffenen Organisationseinheit erfolgt ist, dann wird das Szenario nur in den Notfallhandbüchern der gewählten Organisationseinheiten ausgegeben.

image2025-11-17_10-57-6.png

Abbildung: Notfallszenario - Auswirkungen

Sofern im Punkt „Betroffene Organisationseinheiten“ keine Einträge hinterlegt sind, wird das Szenario und der zugehörige Notfallplan als allgemeingültig (d.h. für alle Organisationseinheiten) betrachtet. Letztere erscheinen sowohl in der Druckversion des unternehmensweiten Notfallhandbuchs als auch in den Handbüchern für gewählte Organisationseinheiten.

Reiter 'Notfallpläne'

Im Reiter 'Notfallpläne' kann ein bereits angelegter Notfallplan ausgewählt werden bzw. neu angelegt werden. Eine Mehrfachauswahl ist hier über die Listenauswahl möglich.

image2025-11-17_11-7-19.png

Abbildung: Notfallszenario - Notfallpläne

Reiter 'Übungen'

Im Reiter 'Übungen' kann ein bereits angelegte Übung ausgewählt werden bzw. neu angelegt werden.

Die Option, Übungen zuzuordnen, ermöglicht es, den eventuell eintretenden Notfall zu üben und die Ergebnisse der Übungen wiederum in die Planung einfließen zu lassen. Somit wird eine optimale Vorbereitung auf die jeweiligen Notfallszenarien ermöglicht. 

image2025-11-17_11-9-10.png

Abbildung: Notfallszenario - Übungen


Ein Notfallszenario kann nach Fertigstellung durch eine Freigabe mit Wiedervorlage versehen werden. Weitere Information zur Freigabe finden Sie unter der Rubrik Umgang mit der Freigabe.


Risikoanalyse

Vereinfachte Risikoanalyse: In der vereinfachten Risikoanalyse wird der Fokus auf die Eintrittswahrscheinlichkeit und das Schadenspotential gerichtet. Die entsprechenden Hilfstexte zu den Einstellungen sind über das ? aufrufbar und in den Einstellungen der Risikokriterien zu hinterlegen.

Die Funktion ist standardmäßig inaktiv und muss für die Verwendung in den Einstellungen der Anwendung global aktiviert werden.

image2025-11-17_14-29-43.png

Abbildung: Vereinfachte Risikoanalyse aktivieren


Aktivieren Sie die vereinfachte Risikoanalyse, steht Ihnen in bereits durchgeführten und bestehen Risikoanalysen die bekannte Checkliste und die vereinfachte Bewertung zur Verfügung. Einen entsprechenden Hinweis bekommen Sie zur Löschung angezeigt:

image2022-1-13_14-35-48.png

Eine bestehende Checkliste können Sie über die Schaltfläche Checkliste entfernen löschen.


image2022-1-13_15-20-31.png

Abbildung: Vereinfachte Risikoanalyse am Szenario Vandalismus

Wird der Funktionsbereich Vereinfachte Risikoanalyse genutzt, müssen Sie bei inaktivem Funktionsbereich Erfassung von Risiken die Einstellungen der Risikokriterien konfiguriert und freigeben werden, um diese innerhalb der Anwendung zu verwenden.

image2022-1-20_8-40-56.png

Abbildung: Hinweis auf fehlende Parameter in Einstellungen

Risikoanalyse mit Checkliste und Scoring

Die Risikoanalyse mit Scoring bietet die Möglichkeit, verschiedene Kenngrößen des Szenarios zu klassifizieren und schlägt auf dieser Grundlage einen passenden Testturnus für das betreffende Szenario vor. Nachdem zu dem Szenario eine solche Risikoanalyse angelegt wurde, werden Ihnen in der Detailansicht die wichtigsten Daten angezeigt.

image2025-11-17_11-45-58.png

Abbildung: Notfallszenario - Risikoanalyse mit Scoring

Über die Bezeichnung, wie in der vorherigen Abbildung zu erkennen, gelangen Sie in die detaillierte Aufschlüsselung aller Werte des Rankings und können diese auch anpassen.

Ein zum Szenario angelegtes Ranking kann nicht im Szenario gelöscht oder ausgetauscht werden. Dafür muss immer das Ranking geöffnet werden. Dann ist ein Löschen möglich. Anschließend kann ein neues Ranking zum Szenario angelegt werden.

image2018-9-21_14-48-19.png

Abbildung: Einzelansicht Ranking

Zeitkritische Aktivitäten müssen nach MaRisk AT 7.3 mindestens im jährlichen Turnus oder anlassbezogen geübt werden.

Notfallpläne und Übungen

Auf der Basis des Rankings ist es ggf. erforderlich, dem Szenario einen Notfallplan und / oder eine Übung hinzuzufügen. Folgen Sie dafür einfach den Bearbeitungsmasken. Die Risikobewertung (Notfallranking) wird dazu genutzt, einen Turnus für die Übungen zu empfehlen.

Die Empfehlungen aus unserem Vorschlag im Grundlagendokument Kriterien zur Risikoanalyse und -bewertung:

  • Bis 50 Punkte wird ein dreijähriger Übungsrhythmus empfohlen

  • Ab 51 bis 70 Punkte wird ein jährliche Übungsrhythmus empfohlen

  • Über 71 Punkte wird ein halbjährlicher Übungsrhythmus empfohlen

Diese Werte sind natürlich individuell zu prüfen und anzupassen.

Anlegen eines Risikos

Über die Schaltfläche Risiko anlegen...können Sie ein neues Risiko anlegen bzw. im Bearbeitungsmodus ein bereits angelegtes Risiko über die Schaltfläche Risiken kopieren von... auswählen.

image2025-11-17_11-18-43.png

Abbildung: Anlegen eines Risikos

Bitte geben Sie dem Risiko eine aussagekräftige Bezeichnung um eine weitere Bearbeitung in ForumBCM zu erleichtern. Die Herkunft wird bei der Bearbeitung aus einer Prüfungsfrage bereits vorgegeben. Bitte vergessen Sie nicht eine Verantwortung zu hinterlegen und gegebenenfalls Bedrohungen zu zuordnen.

Für die Auswahl von Bedrohungen steht in der Maske ein Auswahldialog zur Verfügung.

Bewertung

Analog zur Methodik in ForumISM sind hier eine Schwachstellen- und Bedrohungsanalyse durchzuführen und Eintrittswahrscheinlichkeit und Schadenspotential  des Abweichungsrisikos zu bewerten. Der Umgang mit dem Risiko bzw. Restrisiko (nach Maßnahmen) ist zu dokumentieren. Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltfläche "Berechnen" die Eintrittswahrscheinlichkeit berechnen lassen. Bitte hinterlegen Sie eine entsprechende Begründung für Ihre Entscheidung.

Sollten Änderungen an der Schwachstellen- bzw. Bedrohungseinstufungen vorgenommen werden, müssen eventuell hinterlegte Begründungen ebenfalls geändert werden.

image2021-9-17_14-31-4.png

Abbildung: Bewertung eines Risikos

Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

matrix_eintrittswahrscheinlichkeit.png

Abbildung: Matrix Eintrittswahrscheinlichkeit

Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung automatisch hinterlegt.

Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, wird gemäß den Einstellungen vom System die Risikoklasse und Risikokategorie bestimmt.

Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:

    1 - niedrig (Die Schadenswirkung ist minimal)

    2 - mittel (Die Schadenswirkung ist gering)

    3 - hoch (Die Schadenswirkung ist beträchtlich)

    4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)

Umgang mit dem Risiko / Restrisiko

Wurde eine Bewertung des Risikos durchgeführt, bestehen verschiedene Optionen im Umgang mit dem Risiko. Diese Auswahl hat einen Einfluss auf die Bewertung das Restrisikos. 

Auch für das verbleibende Restrisiko kann eine Handlungsempfehlung ausgesprochen werden, wenn sich beispielsweise zu einem Risiko keine (wirtschaftlich / organisatorisch) sinnvollen Maßnahmen zur Minimierung festlegen lassen oder das Restrisiko trotz getroffener Maßnahmen noch sehr hoch ist.

image2021-8-5_14-16-21.png

Abbildung: Umgang mit dem Risiko

Risiko

nicht bearbeitet

Es ist kein Umgang mit dem Risiko definiert.

akzeptieren

Die Risikobewertung wird automatisch in die Restrisikobewertung übernommen.

Es sind keine weiteren Maßnahmen notwendig.

behandeln

Durch verschiedene Maßnahmen können die Risikowerte minimiert werden.

vermeiden

Das Risiko kann vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.

übertragen

Risiken können zum Beispiel an eine Versicherung übertragen werden.

Kopierfunktion von Risiken

Über die Schaltfläche Risiken kopieren kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.

image2025-11-17_11-49-1.png

Abbildung: Anischt Risikobewertung

Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Maßnahme am Risiko

Im Reiter Bewertung können Sie Risiken durch Maßnahmen(1) durch das Betätigen der Schaltfläche "Maßnahme anlegen..." minimieren. Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Bitte denken Sie an die Vergabe der Verantwortung(3) und die Einstufung des Status(4). Das Risiko ist bereits übernommen und weitere Risiken können hinzugefügt werden(5). Über die Schaltfläche "Auswahl bearbeiten"(6) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen. Über die Dropdown-Listen kann die Auswahl zur Risikoreduktion und den zu erwartenden Kosten(7) getroffen werden, auch hier kann eine Begründung optional hinterlegt werden.

image2021-9-17_14-45-29.png

Abbildung: Anlegen einer Maßnahme

Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.

Status 

Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:

Status

Bedeutung

vorgesehen

Die Maßnahme ist geplant.

in Bearbeitung

Die Maßnahme ist in Bearbeitung.

in Prüfung

Die Maßnahme ist in Prüfung.

implementiert

Die Maßnahme ist fertig bearbeitet.

verworfen

Die Maßnahme wurde verworfen.

Freigabe

Die neue Maßnahme können Sie zum Abschluss "Freigeben" und es wird automatisch eine Wiedervorlage erstellt. Die Freigabe mit Wiedervorlage sollte in den Einstellungen von ForumBCM für Maßnahmen aktiv sein.

Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Maßnahmen zur Risikobehandlung alle in ForumBCM angelegten Maßnahmen angezeigt.

image2021-9-17_14-47-23.png

Abbildung: Freigabe der Maßnahme