Bitte beachten Sie: Diese archivierte Version des BaSiGo-Wikis wird nicht mehr aktualisiert. Das BaSiGo-Wiki wurde im Rahmen des BMBF-Forschungsprojektes 'Bausteine für die Sicherheit von Großveranstaltungen' (BaSiGo) entwickelt und stellt den Stand zum Projektende im Juni 2015 dar.

Sicherheitsbausteine/Notfallplanung/Betriebliches Kontinuitätsmanagement (BCM): Unterschied zwischen den Versionen

Aus BaSiGo - Bausteine für die Sicherheit von Großveranstaltungen
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „{{DISPLAYTITLE:Betriebliches Kontinuitätsmanagement (BCM)}} Der Eintritt eins Stör- oder Schadenfalles stellt für Unternehmen eine vielseitige Belastung da…“)
 
 
(26 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Betriebliches Kontinuitätsmanagement (BCM)}}
{{DISPLAYTITLE:Betriebliches Kontinuitätsmanagement (BCM)}}
==Hinführung zum Thema==
Der Eintritt eines Stör- oder Schadenfalles stellt für Unternehmen eine umfassende Belastung dar. Dies ist für Veranstaltungen und Veranstalter nicht anders als für andere Industriebereiche. Im Gegensatz aber zu anderen Industrien, in denen das Kontinuitätsmanagement ein regelmäßiger Teil des allgemeinen Managementprozesses ist, reduziert sich die Betrachtung von Ereignissen im Rahmen der Sicherheitsplanung für Veranstaltungen häufig auf die Bewältigung von Notfällen, die im Rahmen der Risikoanalyse als mögliches Szenario akzeptiert wurden. Das Betriebliches Kontinuitätsmanagement (BCM) beschäftigt sich jedoch auch mit den sogenannten „worst cases“ – als Mittel zur Erkennung von Anfälligkeiten und Schwachstellen. Darüber hinaus beschäftigt sich die Kontinuitätsplanung insbesondere mit der Frage des Geschäfts (=Veranstaltungs-)fortbestandes trotz eines eingetretenen Schadens sowie der Rückkehr zur Normalität.


Der Eintritt eins Stör- oder Schadenfalles stellt für Unternehmen eine vielseitige Belastung dar. Dies ist für Veranstaltungen und Veranstalter nicht anders als für andere Industriebereiche. Im Gegensatz zu anderen Industrien, in denen die Kontinuitätseinplanung eine regelmäßiger Teil des Managementprozesses ist, reduziert sich die Betrachtung im Rahmen von Veranstaltungen häufig auf die [[Notfallplanung]].
==Einleitung==
Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung negativer Ereignisse wie Schäden / Notfällen und / oder Krisen. Dies gilt auch für Veranstaltungen.
Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch negative Ereignisse abzufedern – basierend auf dem Grundgedanken: „Sicherheit bedeutet, Schäden bewältigen zu können“. Es geht also um die Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens / einer Veranstaltung trotz des Eintritts eines negativen Ereignisses.


==Betriebliches Kontinuitätsmanagement==
Kontinuitätsmanagement ist ein ganzheitlicher Prozess,
* der potentielle Bedrohungen für eine Organisation  / Veranstaltung und
* deren Einfluss auf die Geschäftstätigkeit identifiziert
* mit dem Ziel, eine organisationale Widerstandsfähigkeit aufzubauen
* mit der Fähigkeit, schnell auf Ereignisse zu reagieren [1].


Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung etwaiger Krisen aufgrund von Schadensereignissen oder Betriebsstörungen. Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch Störereignisse abzufedern – basierend auf dem  Grundgedanken : „Sicherheit bedeutet, Schäden bewältigen zu können“.
Im Gegensatz zum [[Sicherheitsbausteine/Sicherheitsbeurteilung|Risikomanagement]] besteht die Aufgabe des Kontinuitätsmanagements nicht in der
Minimierung der Eintrittswahrscheinlichkeit, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden (präventive Schadenbewältigung).
Deshalb ist die zugrunde liegende Fragestellung nicht, ob ein Schaden eintritt, sondern welche Auswirkungen er hat, wenn er eintritt.
Beispiel: Das Eintreten eines Stromausfalls auf einem Veranstaltungsgelände wird nicht im Hinblick auf die Frage geprüft, wie wahrscheinlich der Stromausfall ist, sondern welche Konsequenzen es hat, sollte der Strom ausfallen - d.h., wie relevant der Stromausfall ist. Basierend hieruas wird entzschieden, ob Maßnahmen getroffen werden müssen, die Auswirkungen eines Stromausfalles zu minimieren. Die Relevanz eines Stromausfalles einer Tagesveranstaltung ohne Bühnenprogramm ist eine andere als die anderer Veranstaltungen mit Bühnenprogramm oder in der Dukelheit stattfindend - während die Eintrittswahrscheinlich grundsätzlich gleich bleibt.  


Es geht also um den Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens / einer Veranstaltung trotz des Eintritts eines Stör- oder Schadenfalles.
Eine Betrachtung von Worst Case Szenarien wird in der Praxis jedoch häufig gescheut, da diese fälschlicherweise als Eingeständnis mangelnder Sicherheit interpretiert werden. Insbesondere die Worst Case Szenarien sind aber ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und helfen,
Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.


Kontinuitätsplanung ist ein ganzheitlicher Prozess,
{| class="wikitable"
|-
|style="width: 7em"|Beispiel 1
| '''Praxisbeispiel''' Das Szenario „Zusammenbruch einer Bühne“ wird aufgrund der geringen Eintrittswahrscheinlichkeit bzw. der Tatsache, dass ein eintrittswahrscheinlicher Bühnenzusammenbruch niemals im Rahmen einer Genehmigung akzeptiert werden würde, regelmäßig nicht im Rahmen der Notfallplanung vorbereitet – die Maßnahmen des allgemeinen Sicherheitsmanagements (z.B: Abnahmen des Fliegenden Baus, Einhaltung der Vorgaben des Baubuchs incl. Nebenbestimmungen) gelten als ausreichend, um dieses Szenario als „nicht eintrittswahrscheinlich“ zu beurteilen.
Eine Betrachtung dieses Szenarios als „worst case scenario“ kann jedoch helfen, grundlegende Fragen zu beantworten, z.B.
* Bedeutet der Zusammenbruch einer Bühne (eines Fahrgeschäftes etc.)  das Ende der Veranstaltung?
* Welche Voraussetzungen müssen gegeben sein, um die Veranstaltung im Zusammenhang mit einem solchen Ereignis zu beenden (Verletzte? Schwerverletzte? Tote? Totalausfall der Struktur?)
* Sind – über die Abwicklung des konkreten Ereignisses im Rahmen des Notfallmanagements hinaus – Maßnahmen, Rollen und Verantwortlichkeiten geklärt?
* Gibt es Dokumente und / oder Prozedere hierzu bei den anderen Organisationen?
* Gibt es Prozedere zum Thema Öffentlichkeitsarbeit aber auch zur internen Abarbeitung eines solchen Ereignisses?


* der potentielle Bedrohungen für eine Organisation und deren Einfluss auf die Geschäftstätigkeit
Die Fragen, die sich in der Abarbeitung eines solchen Worst Case Scenarios ergeben, sind vielfältig und können hilfreichen Aufschluss geben über die allgemeine Fähigkeit der Organisation, mit Stör- und Schadenereignissen, insbesondere auch ungeplanten, umzugehen. Darüber hinaus ergibt sich die Notwendigkeit, über angegliederte Prozesse (Pressearbeit / interne Strukturen) zu sprechen und Entscheidungen im Hinblick auf das eigene Sicherheitsbedürfnis zu treffen.
* einen Rahmen identifiziert, eine organisationale Widerstandsfähigkeit aufzubauen mit der Fähigkeit, schnell auf Ereignisse zu reagieren (Business Continuity Institute)
|}


Im Gegensatz zum Risikomanagement besteht die Aufgabe des Kontinuitätsmanagement nicht in der Minimierung der Eintrittswahrscheinlichkeit des Gefahrenrisikos, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden (präventive Schadenbewältigung). Deshalb ist die zugrunde liegende Fragestellung nicht,
==Kontinuitätsmanagement für Veranstaltungen==


'''ob ein Schaden eintritt, sondern wie dieser beschaffen ist und welche Auswirkungen er hat, wenn er eintritt.'''
Ziel des Kontinuitätsmanagements ist der Aufbau resilienter Systeme, die im Falle eines Schadeneintrittes nicht kollabieren, sondern in einen anderen Betriebsmodus wechseln können (auch bei einem noch so spektakulären Ereignis ist es wichtig, dass das Büro besetzt bleibt, dass regelmäßige Abläufe aufrechterhalten werden, dass Ansprechbarkeit gegeben ist etc.).
Hierzu ist es nötig, Anfälligkeiten aufzuzeigen – das heisst, es ist zu prüfen welche Relevanz ein Ereignis hat (ein Stromausfall am Nachmittag hat in Bezug auf die Sicherheitsbeleuchtung eine geringere Relevanz als ein Stromausfall am Abend).
Anfälligkeiten sind vielfältig und nicht immer direkt zu erkennen - Faktoren, die eine Veranstaltung anfällig machen können, sind z.B.
* Erstmalige Veranstaltung: es besteht (noch) kein Vertrauensverhältnis zwischen Veranstalter und Behörden – Ereignisse werden ggf. negativer bewertet und sanktioniert als es bei einem vertrauensvollen Miteinander der Fall wäre.
* Erschöpftes Budget: auf kurzfristige Änderungen kann nicht mehr adäquat reagiert werden, Entscheidungen werden nur noch auf der Grundlage des Budgets getroffen (z.B. bei der Auswahl von Dienstleistern)
* Vulnerables Publikumsprofil z.B. durch die Anwesenheit vieler mobilitätseingeschränkter Menschen
* Fehlende sichere Bereiche: fehlen für das „Szenario“ Unwetter z.B. adäquate Unterstellmöglichkeiten, ist die Veranstaltung anfällig für einen früheren Veranstaltungsabbruch.
* Unbekannte Besucherzahlen: ist bis zum Veranstaltungstag selbst nicht bekannt, wie viele Besucher die Veranstaltung besuchen werden, kann dies dazu führen, dass getroffenen Maßnahmen entweder zu gering (Anfälligkeit des Sicherheitsmanagements und der Notfallplanung) oder zu hoch sind (finanzielle Anfälligkeit)


Eine solche Betrachtung von Worst Case Szenarien wird in der Praxis häufig gescheut, da diese häufig als vermeintliches Eingeständnis mangelnder Sicherheit fehlinterpretiert werden. Insbesondere die Worst Case Szenarien sind aber ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und helfen, Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.
Ein Aufdecken dieser Anfälligkeiten kann helfen, einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadenbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Fortführung des Unternehmens / der Veranstaltung sicherstellt (vgl. BS 25999; ISO 22301; [5], S. 62).


'''Praxisbeispiel'''
Während sich die [[Sicherheitsbausteine/Sicherheitsbeurteilung|Risikoanalyse]] für Veranstaltungen oftmals nur auf die Veranstaltung selbst konzentriert, werden im Rahmen des Kontinuitätsmanagements potentielle Anfälligkeiten auch in der eigenen Organisation oder in der Zusammenarbeit mit Stakeholdern (z.B. externen Dienstleistern) gesucht. Insbesondere Aspekte des Transports und der Logistik sind häufig vernachlässigte potentielle Schwachstellen mit hoher Auswirkung auf die Gesamtveranstaltung.
Zu betrachten sind regelmäßig alle Bereiche des Sicherheitsmanagement (vgl. [7], S. 254; nach Yones 2007):


''Während ein worst case Szenario „Flugzeugabsturz in einem Veranstaltungsgelände“ sicherlich wenig Spielraum für die zeitnahe Wiederherstellung des Normalbetriebs der Veranstaltung bietet und von keinem der regelmäßig Beteiligten als vorzuplanendes Szenario bewertet werden würden, stellt sich die Frage bei einem Szenario „Zusammenbruch einer Bühne“ deutlich differenzierter. Obwohl es sich um ein eher seltenes Ereignis handelt, lassen sich anhand eines solchen Szenarios doch grundlegende Fragen beantworten, z.B.
'''Technologie'''
 
* baulich-technische Infrastrukturen,
* bedeutet der Zusammenbruch einer Bühne (eines Fahrgeschäftes etc.)  das Ende der Veranstaltung?
* Welche Konsequenzen müssten gegeben sein, um die Veranstaltung zu beenden (Verletzte? Schwerverletzte? Tote?)
* Sind – über die Abwicklung des konkreten Schadens im Rahmen der -> Notfallplanung hinaus – Maßnahmen, Rollen und Verantwortlichkeiten geklärt?''
 
Die Fragen, die sich in der Abarbeitung eines solchen Szenarios ergeben, sind vielfältig und können hilfreichen Aufschluss geben über die Fähigkeit der Organisation, mit Stör- & Schadenereignisses, insbesondere auch ungeplanten umzugehen.
 
==Kontinuitätsmanagement für Großveranstaltungen==
 
Ziel der Kontinuitätsplanung ist der Aufbau resilienter Systeme, die im Falle eines Schadeneintritts nicht kollabieren, sondern in einen anderen Betriebsmodus wechseln können (auch bei einem noch so spekatulären Stör- oder Schadenereignisses ist es wichtig, dass das Büro besetzt bleibt, dass regelmäßige Abläufe aufrechterhalten werden etc.).
Hierzu ist es nötig, potentielle Gefahren für die Organisation und die Veranstaltung und deren Relevanz zu identifizieren und darauf basierend einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadensbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Sicherung des Unternehmens oder der Veranstaltung sicherstellt (vgl. BS 25999; ISO 22301; ESTALL 2012, 62).
Betriebliche Kontinuität für Großveranstaltungen betrifft dabei alle vier Bereiche des Sicherheitsmanagement, (KEMP (2010, 254 nach YONES 2007)
 
===Technologie===
* baulich-technische Infrastrukturen  
* zur Verfügung stehendes Werkzeug,
* zur Verfügung stehendes Werkzeug,
* technische Redundanzen und Reparaturkapazitäten.
* technische Redundanzen und Reparaturkapazitäten,
* Aspekte des Transports und der Logistik, die zumeist bei vielen Veranstaltungsereignissen potentielle Schwachstellen mit hoher Auswirkungen auf die Gesamtveranstaltungen sind.  
* Transports und Logistik.  
 
===Personen===


* Ausbildung
'''Personen'''
* klare Definition organisationaler Rollen
* Ausbildung,
* Flexibilität von Befehlsketten
* klare Definition organisationaler Rollen,
* bereits im Vorfeld erfasste persönliche Handlungsfähigkeiten und Reaktionskapazitäten einzelner Mitarbeiter, Praxiserfahrung, kommunikative Kompetenzen, Psychologie, Fähigkeit zur Antizipation und Informationsverarbeitung  
* Flexibilität von Befehlsketten,
* persönliche Handlungsfähigkeiten und Reaktionskapazitäten einzelner Mitarbeiter, Praxiserfahrung, kommunikative Kompetenzen, Psychologie, Fähigkeit zur Antizipation und Informationsverarbeitung  


===Prozesse===
'''Prozesse'''
* Abläufe der Geschäftstätigkeit und des Besuchermanagements  
* Abläufe der Geschäftstätigkeit und des Besuchermanagements,
* Sicherung und Flexibilität der Produktion
* Sicherung und Flexibilität der Produktion,
* Personalangelegenheiten,  
* Personalangelegenheiten,  
* Datenverarbeitung (z.B. Backups, optionale Zugriffsmöglichkeiten etc.),
* Datenverarbeitung (z.B. Backups, optionale Zugriffsmöglichkeiten etc.),.  
* Risikomanagement sowie Crowd Management-Maßnahmen (FRUIN 2002 [1993]).


===Ökonomie===
'''Ökonomie'''
 
* Budget,
* Budget
* Besitz- sowie Eigentumsverhältnisse von Material, Gelände usw.
* Besitz- sowie Eigentumsverhältnisse von Material, Gelände usw.
* Fragen der Haftung, des Rechtsschutzes und der Versicherung in Bezug auf Größe bzw. Maßstab und Art der Veranstaltung.  
* Fragen der Haftung, des Rechtsschutzes und der Versicherung in Bezug auf Größe bzw. Maßstab und Art der Veranstaltung.
 
==Schadensrelevanzanalyse / Business Impact Analysis (BIA)==
 
Ein wesentlicher erster Schritt in der Kontinuitätsplanung ist die Schadenrelevanzanalyse (Business Impact Analysis) (vgl. BARNES 2011, 166ff.). Hierbei werden quantitative und qualitative Einflussgrößen bestimmt, welche die potentiellen Effekte und Verluste beim Eintritt von Störungen oder Schäden beschreiben.
 
Hierzu gehören im Veranstaltungskontext nicht nur Stör- oder Schadenfälle mit Personenschäden, sondern zum Beispiel auch der Ausfall relevanter Infrastrukturen (Ver-/Entsorgung, Bühnen etc.) oder auch der Ausfall von Personal.
 
Es ist entscheidend, dass sich ein Unternehmen, eine Organisation oder ein Veranstalter die Punkte bewusst macht, an denen sein Projektvorhaben besonders anfällig ist (Veranstaltungen mit nur einer Bühne sind anfälliger in Bezug auf das Szenario „Zusammenbruch einer Bühne“ als Veranstaltungen mit 5 Bühnen, Veranstaltungen mit Kindern sind anfälliger schon für geringe Personenschäden, die im Rahmen anderer Veranstaltungen toleriert werden würden usw). Im Rahmen dieser Überlegungen stellen sich folgende Fragen:


* Was ist der „worst case“?
==Schadenrelevanzanalyse / Business Impact Analysis (BIA)==
* Wer ist beteiligt und wer muss beteiligt werden? (stakeholder)
* Welche Auswirkungen hat das Ereignis? (Konsequenzen und Relevanz)


Die Antworten auf diese Fragen müssen immer individuell gefunden werden.  
Ein wesentlicher erster Schritt im Rahmen des Kontinuitätsmanagements ist die Schadenrelevanzanalyse (Business Impact Analysis) (vgl. [3], S. 166ff.). Hierbei werden quantitative und qualitative Einflussgrößen bestimmt, welche die potentiellen Effekte und Verluste beim Eintritt von Störungen oder Schäden beschreiben.  


'''Praxisbeispiel'''
Hierzu gehören im Veranstaltungskontext nicht nur Notfälle im Hinblick auf mögliche Personenschäden, sondern zum Beispiel auch der Ausfall relevanter Infrastrukturen (Ver-/Entsorgung, Bühnen etc.) oder auch der Ausfall von Personal.


''Auf der großen Zufahrtstrasse zur Veranstaltung kommt es zu einem schweren Unfall verbunden mit einer längeren Sperrung. Die Anreise des Ordnungsdienstes ist betroffen, ein Großteil der Kräfte kann das Veranstaltungsgelände nicht erreichen.
Ereignisse sind nicht immer im gleichen Maße relevant:
* Die Sperrung einer der Hauptzufahrtsstrassen zum Veranstaltungsgelände ist während der Anlieferungsphase der Produktion oder auch während der Anreisephase der Besucher relevanter als während der Veranstaltung.
* Der Ausfall der Entsorgung (Toiletten) ist bei einer Veranstaltung, die nur wenige Stunden dauert, weniger relevant als bei einer Mehrtagesveranstaltung.
* Das Einsetzen von starkem Regen kann je nach Veranstaltungsphase und Publikumsprofil gar nicht relevant (oder sehr relevant sein.


Während es Veranstaltungen gibt, die den Ausfall (oder die späte Ankunft) des Ordnungsdienstes relativ problemlos kompensieren können (geringe Anzahl, kein Gefährdungspotential etc), gibt es Veranstaltungen, die möglicherweise nicht beginnen können, bevor nicht alle Fluchtwege, alle Einlässe etc. besetzt sind.


Die Relevanz eines verzögerten Einlasses ist dabei ebenfalls individuell zu bewerten: vom Unmut des Publikums über längere Wartezeiten bis hin sich verschiebenden oder auch nicht eingehaltenen TV Übertragungszeiten.''
{| class="wikitable"
|-
|style="width: 7em"| Beispiel 2
| Praxisbeispiel: Auf der großen Zufahrtstrasse zur Veranstaltung kommt es zu einem schweren Unfall verbunden mit einer längeren Sperrung. Die Anreise des Ordnungsdienstes ist betroffen, ein Großteil der Kräfte kann das Veranstaltungsgelände nicht erreichen.
Während es Veranstaltungen gibt, die den Ausfall (oder die späte Ankunft) des Ordnungsdienstes relativ problemlos kompensieren können (geringe Anzahl, kein Gefährdungspotential etc.), gibt es Veranstaltungen, die möglicherweise nicht beginnen können, bevor nicht alle Fluchtwege, alle Einlässe etc. besetzt sind.


Klassisches Instrument, diese Fragen beantworten zu können, ist die Szenarienplanung.
Die Relevanz eines verzögerten Einlasses ist dabei ebenfalls individuell zu bewerten: vom Unmut des Publikums über längere Wartezeiten bis hin zu sich verschiebenden oder auch nicht eingehaltenen TV-Übertragungszeiten.  
Da – gerade im Veranstaltungskontext - die Anzahl möglicher Szenarien jedoch zu hoch ist, um alle Eventualitäten zu betrachten, muss die Relevanz des Schadens herausgearbeitet werden.


'''Praxisbeispiel'''
Auf einer Veranstaltung fällt der Strom aus – dies ist mehr oder weniger relevant abhängig von  
 
''Der Ausfall der Stromversorgung im Rahmen einer Veranstaltung kann unterschiedlich relevant sein, abhängig von:
* der Anzahl der darauf angewiesenen Nutzer (alle – wenige)
* der Anzahl der darauf angewiesenen Nutzer (alle – wenige)
* der Art der darauf angewiesenen Nutzer (Softeisverkäufer – Telefonanlage - Getränkeversorgung )
* der Art der darauf angewiesenen Nutzer (Softeisverkäufer – Telefonanlage - Getränkeversorgung )
* dem Zeitpunkt des Eintretens (zum Beginn – Zum Ende der Veranstaltung)
* dem Zeitpunkt des Eintretens (zum Beginn – Zum Ende der Veranstaltung)
* den bereits vorhandenen Sicherungssysteme (Notstromversorgung)
* den bereits vorhandenen Sicherungssysteme (Notstromversorgung)
* usw.''
|}


Dafür müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:


* Ziele des Unternehmens / der Organisation,
Um die Relevanz zu bewerten, müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:
* Produkte / Angebote / Dienstleistungen,
* Ziele des Unternehmens / der Organisation: dies ist nicht immer nur der Fortgang der Veranstaltung selbst, sondern kann auch die Etablierung einer neuen Veranstaltung sein, eines Veranstalters, die Bindung eines Sponsors oder auch der angestrebte Verdienst
* Stakeholder,
* Produkte / Angebote / Dienstleistungen: welche sind wichtig für die Veranstaltung? Welche sind verzichtbar?
* zeitliche Abläufe und Fristen?
* Stakeholder: wer sind die Partner? Was passiert, wenn diese ausfallen / nicht liefern können etc.?
* zeitliche Abläufe und Fristen: wie viel Zeit habe / brauche ich, um was wieder herzustellen? Was ist die Maximal Tolerierbare Ausfallzeit (s.u.)? Wie viel Zeit muss ich „aushalten“ / überbrücken? Welche Verzögerungen ergeben sich und was sind die Konsequenzen dieser Verzögerung (etwa die Auswirkungen eines verzögerten Einlasses auf eine TV Produktion)?  


Sind alle Auswirkungen herausgearbeitet, müssen die folgenden Fragen beantwortet werden:
Sind alle Auswirkungen herausgearbeitet, müssen die folgenden Fragen beantwortet werden:
* Welche Prozesse haben die höchste Priorität und müssen unbedingt aufrechterhalten werden?
* Welche Prozesse haben die höchste Priorität und müssen unbedingt aufrechterhalten werden?
* Welche Maßnahmen sind dafür notwendig?
* Welche Maßnahmen sind dafür notwendig?
* Welche Ressourcen werden dafür mindestens benötigt?
* Welche Ressourcen werden dafür mindestens benötigt?


Für die Szenarienplanung bedeutet dies also, dass die systematische Auseinandersetzung mit Schadenprozessen wichtiger ist als dezidierte Vorbereitung auf ausgewählte Schadenereignisse.
==Maximal Tolerierbare Ausfallzeit (MTA)==


==Maximal Tolerierbare Ausfallzeiten (MTA)==
Bei der Wiederaufnahme oder Wiederherstellung gestörter Prozesse (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Die Maximale Tolerierbare Ausfallzeit beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen (oder der Veranstaltung) nachhaltig schadet.
Prozessen, die nur kurzfristig ausfallen dürfen, muss daher entweder bei der Wiederherstellung oder aber schon früher in Bezug auf die Ausfallsicherung eine höhere Priorität eingeräumt werden, als denen, auf die eine Zeit lang verzichtet werden kann.
 
==Kontinuitätsplan==


Bei der Wiederaufnahme oder Wiederherstellung geschädigter Geschäftsprozesse  (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Der Begriff „Maximale Tolerierbare Ausfallzeit“ beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen (oder der Veranstaltung) nachhaltig schadet.
Die Kontinuitätsplanung verläuft in den selben Phasen wie die [[Sicherheitsbausteine/Notfallplanung|Notfallplanung]] (vgl. [9], S. 32)


Prozessen, die nur kurzfristig ausfallen dürfen, muss daher eine höhere Priorität eingeräumt werden, als denen, auf die eine Zeit lang verzichtet werden kann.
''Vorbereitung''


==Kontinuitätsplan==
Aufbauorganisation: Festlegung von Rollen und Verantwortlichkeiten, Rechten und Pflichten, Benennung der Beteiligten


Ein vollständiger Kontinuitätsplan sollte also folgende Aspekte umfassen:
Ablauforganisation:  
* Identifizierung kritischer Prozesse und Anfälligkeiten,  
* Identifizierung kritischer Prozesse und Anfälligkeiten,  
* Identifizierung der Konsequenzen und deren Relevanz  
* Identifizierung der Konsequenzen einer Störung und deren Relevanz  
* Identifizierung der MTA und Konsequenzen der Nichteinhaltung
* Identifizierung der MTA und Konsequenzen der Nichteinhaltung
* Identifizierung von Stakeholdern & Informationsquellen (Ansprechpartner, relevante Telefonnummern usw.),
* Identifizierung von Stakeholdern und Informationsquellen  
* Quantifizierung der personellen und materiellen Ressourcen(verfügbarkeit)
* Quantifizierung der personellen und materiellen Ressourcen(verfügbarkeit)


Der Kontinuitätsplan muss  kontinuierlich überarbeitet, angepasst und auf andere Pläne, bspw. Crowd Management, Notfallplan, Pläne der anderen Akteure abgestimmt werden.
''Bewältigen''


Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein. Für alle Akteure muss klar sein, welche spezifischen Rollen sie übernehmen. Diese Rollen sollten bestenfalls geübt und erprobt sein.
* Feststellen der Schadenschwere
* Ersatzbeschaffung, Kompensation, Überbrückung etc.


Zu betonen ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- & Konzeptkultur. KEMP (2010, 256)
''Nachbereiten''


Ein Schlüssel zur Kontinuität und den Umgang mit Störereignissen liegt in den involvierten Personen. KEMP weist damit daraufhin, dass es insbesondere die persönlichen Anpassungsfähigkeiten der Mitarbeiter sind, die geschult und nicht vor lauter Prozessplanung übersehen werden dürfen. Die organisationale Flexibilität in der Anpassung an sich verändernde Umweltbedingungen, ist ein Schlüssel für die Schnelligkeit einer Krisenbewältigung.  
* Dokumentieren
* Evaluieren
* Verbessern
 
Der Kontinuitätsplan muss  kontinuierlich überarbeitet, angepasst und auf andere Pläne, bspw. [[Sicherheitsbausteine/Crowd_Management|Crowd Management]] Pläne, Notfallpläne, Pläne der anderen Akteure abgestimmt werden.
Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein – anzustreben ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- und Konzeptkultur (vgl. [7], S. 256).
Ein Schlüssel zur Kontinuität und damit die schnelle Rückkehr in den Normalbetrieb liegt in den involvierten Personen. Kemp (vgl. [7]) weist darauf hin, dass es insbesondere die persönlichen Anpassungsfähigkeiten der Mitarbeiter sind, die geschult und nicht vor lauter Prozessplanung übersehen werden dürfen. Die organisationale Flexibilität in Bezug auf die Anpassung an sich verändernde Bedingungen ist ein Schlüssel für die schnelle Bewältigung eines Ereignisses.


==Literatur==
==Literatur==
* [1] http://www.thebci.org Business Continuity Institute.
* [2] Barnes, J.C. (2001): A Guide to Business Continuity Planning. John Wiley and Sons: Chichester.
* [3] Barnes, P. (2011): Business Impact Analysis. In: Hiles, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley and Sons: Chichester.
* [4] Blyth, M. (2009): Business Continuity Managemen. Building an Effective Incident Management Plan. John Wiley and Sons: Hoboken.
* [5] Estall, H. (2012): Business Continuity Management Systems. Implementation and Certification to ISO22301. BCS – The Chartered Institute for IT: Swindon.
* [6] Fruin, J.J. (2002 [1993]): The Causes and Prevention of Crowd Disasters. Verfügbar unter [http://www.crowdsafe.com/FruinCauses.pdf] [24.06.2014]
* [7] Kemp, C. (2010): A Strategic Methodology for a holistic approach to disaster management in a pre-staging and post event continuum. In: Kemp, C., Smith, P. (2010): Case Studies in Crowd Management, Security and Business Continuity. ET Press: Cambridge. S. 241-260.
* [8] Hiles, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley and Sons: Chichester.
* [9] Verwaltungs Berufsgenossenschaft (2011): Zwischenfall, Notfall, Katastrophe. VBG-Fachwissen BGI 5097.
----


* BARNES, J.C. (2001): A Guide to Business Continuity Planning. John Wiley & Sons: Chichester.
''Bearbeiter: Sabine Funk, Simon Runkel (IBIT GmbH)
* BARNES, P. (2011): Business Impact Analysis. In: HILES, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley & Sons: Chichester.
* BLYTH, M. (2009): Business Continuity Managemen. Building an Effective Incident Management Plan. John Wiley & Sons: Hoboken.
* ESTALL, H. (2012): Business Continuity Management Systems. Implementation and Certification to ISO22301. BCS – The Chartered Institute for IT: Swindon.
* FRUIN, J.J. (2002 [1993]): The Causes and Prevention of Crowd Disasters. http://www.crowdsafe.com/FruinCauses.pdf (24.06.2014).
* KEMP, C. (2010): A Strategic Methodology for a holistic approach to disaster management in a pre-staging and post event continuum. In: KEMP, C., SMITH, P. (2010): Case Studies in Crowd Management, Security and Business Continuity. ET Press: Cambridge. S. 241-260.
* HILES, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley & Sons: Chichester.

Aktuelle Version vom 21. Juni 2015, 21:49 Uhr

Hinführung zum Thema

Der Eintritt eines Stör- oder Schadenfalles stellt für Unternehmen eine umfassende Belastung dar. Dies ist für Veranstaltungen und Veranstalter nicht anders als für andere Industriebereiche. Im Gegensatz aber zu anderen Industrien, in denen das Kontinuitätsmanagement ein regelmäßiger Teil des allgemeinen Managementprozesses ist, reduziert sich die Betrachtung von Ereignissen im Rahmen der Sicherheitsplanung für Veranstaltungen häufig auf die Bewältigung von Notfällen, die im Rahmen der Risikoanalyse als mögliches Szenario akzeptiert wurden. Das Betriebliches Kontinuitätsmanagement (BCM) beschäftigt sich jedoch auch mit den sogenannten „worst cases“ – als Mittel zur Erkennung von Anfälligkeiten und Schwachstellen. Darüber hinaus beschäftigt sich die Kontinuitätsplanung insbesondere mit der Frage des Geschäfts (=Veranstaltungs-)fortbestandes trotz eines eingetretenen Schadens sowie der Rückkehr zur Normalität.

Einleitung

Betriebliches Kontinuitätsmanagement ist ein Schlüsselkonzept für die Bewältigung negativer Ereignisse wie Schäden / Notfällen und / oder Krisen. Dies gilt auch für Veranstaltungen. Das Kontinuitätsmanagement stellt sicher, dass Abläufe robust und Organisationen resilient genug sind, um Kaskadeneffekte durch negative Ereignisse abzufedern – basierend auf dem Grundgedanken: „Sicherheit bedeutet, Schäden bewältigen zu können“. Es geht also um die Aufrechterhaltung der Funktionsfähigkeit eines Unternehmens / einer Veranstaltung trotz des Eintritts eines negativen Ereignisses.

Kontinuitätsmanagement ist ein ganzheitlicher Prozess,

  • der potentielle Bedrohungen für eine Organisation / Veranstaltung und
  • deren Einfluss auf die Geschäftstätigkeit identifiziert
  • mit dem Ziel, eine organisationale Widerstandsfähigkeit aufzubauen
  • mit der Fähigkeit, schnell auf Ereignisse zu reagieren [1].

Im Gegensatz zum Risikomanagement besteht die Aufgabe des Kontinuitätsmanagements nicht in der Minimierung der Eintrittswahrscheinlichkeit, sondern in der systematischen Vorbereitung auf die Bewältigung von Schäden (präventive Schadenbewältigung). Deshalb ist die zugrunde liegende Fragestellung nicht, ob ein Schaden eintritt, sondern welche Auswirkungen er hat, wenn er eintritt. Beispiel: Das Eintreten eines Stromausfalls auf einem Veranstaltungsgelände wird nicht im Hinblick auf die Frage geprüft, wie wahrscheinlich der Stromausfall ist, sondern welche Konsequenzen es hat, sollte der Strom ausfallen - d.h., wie relevant der Stromausfall ist. Basierend hieruas wird entzschieden, ob Maßnahmen getroffen werden müssen, die Auswirkungen eines Stromausfalles zu minimieren. Die Relevanz eines Stromausfalles einer Tagesveranstaltung ohne Bühnenprogramm ist eine andere als die anderer Veranstaltungen mit Bühnenprogramm oder in der Dukelheit stattfindend - während die Eintrittswahrscheinlich grundsätzlich gleich bleibt.

Eine Betrachtung von Worst Case Szenarien wird in der Praxis jedoch häufig gescheut, da diese fälschlicherweise als Eingeständnis mangelnder Sicherheit interpretiert werden. Insbesondere die Worst Case Szenarien sind aber ein wichtiges Instrument zur Aufdeckung organisationaler Schwächen und helfen, Aussagen in Bezug auf das eigene Sicherheitsverständnis zu treffen.

Beispiel 1 Praxisbeispiel Das Szenario „Zusammenbruch einer Bühne“ wird aufgrund der geringen Eintrittswahrscheinlichkeit bzw. der Tatsache, dass ein eintrittswahrscheinlicher Bühnenzusammenbruch niemals im Rahmen einer Genehmigung akzeptiert werden würde, regelmäßig nicht im Rahmen der Notfallplanung vorbereitet – die Maßnahmen des allgemeinen Sicherheitsmanagements (z.B: Abnahmen des Fliegenden Baus, Einhaltung der Vorgaben des Baubuchs incl. Nebenbestimmungen) gelten als ausreichend, um dieses Szenario als „nicht eintrittswahrscheinlich“ zu beurteilen.

Eine Betrachtung dieses Szenarios als „worst case scenario“ kann jedoch helfen, grundlegende Fragen zu beantworten, z.B.

  • Bedeutet der Zusammenbruch einer Bühne (eines Fahrgeschäftes etc.) das Ende der Veranstaltung?
  • Welche Voraussetzungen müssen gegeben sein, um die Veranstaltung im Zusammenhang mit einem solchen Ereignis zu beenden (Verletzte? Schwerverletzte? Tote? Totalausfall der Struktur?)
  • Sind – über die Abwicklung des konkreten Ereignisses im Rahmen des Notfallmanagements hinaus – Maßnahmen, Rollen und Verantwortlichkeiten geklärt?
  • Gibt es Dokumente und / oder Prozedere hierzu bei den anderen Organisationen?
  • Gibt es Prozedere zum Thema Öffentlichkeitsarbeit aber auch zur internen Abarbeitung eines solchen Ereignisses?

Die Fragen, die sich in der Abarbeitung eines solchen Worst Case Scenarios ergeben, sind vielfältig und können hilfreichen Aufschluss geben über die allgemeine Fähigkeit der Organisation, mit Stör- und Schadenereignissen, insbesondere auch ungeplanten, umzugehen. Darüber hinaus ergibt sich die Notwendigkeit, über angegliederte Prozesse (Pressearbeit / interne Strukturen) zu sprechen und Entscheidungen im Hinblick auf das eigene Sicherheitsbedürfnis zu treffen.

Kontinuitätsmanagement für Veranstaltungen

Ziel des Kontinuitätsmanagements ist der Aufbau resilienter Systeme, die im Falle eines Schadeneintrittes nicht kollabieren, sondern in einen anderen Betriebsmodus wechseln können (auch bei einem noch so spektakulären Ereignis ist es wichtig, dass das Büro besetzt bleibt, dass regelmäßige Abläufe aufrechterhalten werden, dass Ansprechbarkeit gegeben ist etc.). Hierzu ist es nötig, Anfälligkeiten aufzuzeigen – das heisst, es ist zu prüfen welche Relevanz ein Ereignis hat (ein Stromausfall am Nachmittag hat in Bezug auf die Sicherheitsbeleuchtung eine geringere Relevanz als ein Stromausfall am Abend). Anfälligkeiten sind vielfältig und nicht immer direkt zu erkennen - Faktoren, die eine Veranstaltung anfällig machen können, sind z.B.

  • Erstmalige Veranstaltung: es besteht (noch) kein Vertrauensverhältnis zwischen Veranstalter und Behörden – Ereignisse werden ggf. negativer bewertet und sanktioniert als es bei einem vertrauensvollen Miteinander der Fall wäre.
  • Erschöpftes Budget: auf kurzfristige Änderungen kann nicht mehr adäquat reagiert werden, Entscheidungen werden nur noch auf der Grundlage des Budgets getroffen (z.B. bei der Auswahl von Dienstleistern)
  • Vulnerables Publikumsprofil z.B. durch die Anwesenheit vieler mobilitätseingeschränkter Menschen
  • Fehlende sichere Bereiche: fehlen für das „Szenario“ Unwetter z.B. adäquate Unterstellmöglichkeiten, ist die Veranstaltung anfällig für einen früheren Veranstaltungsabbruch.
  • Unbekannte Besucherzahlen: ist bis zum Veranstaltungstag selbst nicht bekannt, wie viele Besucher die Veranstaltung besuchen werden, kann dies dazu führen, dass getroffenen Maßnahmen entweder zu gering (Anfälligkeit des Sicherheitsmanagements und der Notfallplanung) oder zu hoch sind (finanzielle Anfälligkeit)

Ein Aufdecken dieser Anfälligkeiten kann helfen, einen Rahmen für den Aufbau organisationaler Resilienz zu schaffen, der nicht nur eine effektive Schadenbewältigung unter Berücksichtigung der Sicherheit aller Beteiligten garantiert, sondern auch die Fortführung des Unternehmens / der Veranstaltung sicherstellt (vgl. BS 25999; ISO 22301; [5], S. 62).

Während sich die Risikoanalyse für Veranstaltungen oftmals nur auf die Veranstaltung selbst konzentriert, werden im Rahmen des Kontinuitätsmanagements potentielle Anfälligkeiten auch in der eigenen Organisation oder in der Zusammenarbeit mit Stakeholdern (z.B. externen Dienstleistern) gesucht. Insbesondere Aspekte des Transports und der Logistik sind häufig vernachlässigte potentielle Schwachstellen mit hoher Auswirkung auf die Gesamtveranstaltung. Zu betrachten sind regelmäßig alle Bereiche des Sicherheitsmanagement (vgl. [7], S. 254; nach Yones 2007):

Technologie

  • baulich-technische Infrastrukturen,
  • zur Verfügung stehendes Werkzeug,
  • technische Redundanzen und Reparaturkapazitäten,
  • Transports und Logistik.

Personen

  • Ausbildung,
  • klare Definition organisationaler Rollen,
  • Flexibilität von Befehlsketten,
  • persönliche Handlungsfähigkeiten und Reaktionskapazitäten einzelner Mitarbeiter, Praxiserfahrung, kommunikative Kompetenzen, Psychologie, Fähigkeit zur Antizipation und Informationsverarbeitung

Prozesse

  • Abläufe der Geschäftstätigkeit und des Besuchermanagements,
  • Sicherung und Flexibilität der Produktion,
  • Personalangelegenheiten,
  • Datenverarbeitung (z.B. Backups, optionale Zugriffsmöglichkeiten etc.),.

Ökonomie

  • Budget,
  • Besitz- sowie Eigentumsverhältnisse von Material, Gelände usw.
  • Fragen der Haftung, des Rechtsschutzes und der Versicherung in Bezug auf Größe bzw. Maßstab und Art der Veranstaltung.

Schadenrelevanzanalyse / Business Impact Analysis (BIA)

Ein wesentlicher erster Schritt im Rahmen des Kontinuitätsmanagements ist die Schadenrelevanzanalyse (Business Impact Analysis) (vgl. [3], S. 166ff.). Hierbei werden quantitative und qualitative Einflussgrößen bestimmt, welche die potentiellen Effekte und Verluste beim Eintritt von Störungen oder Schäden beschreiben.

Hierzu gehören im Veranstaltungskontext nicht nur Notfälle im Hinblick auf mögliche Personenschäden, sondern zum Beispiel auch der Ausfall relevanter Infrastrukturen (Ver-/Entsorgung, Bühnen etc.) oder auch der Ausfall von Personal.

Ereignisse sind nicht immer im gleichen Maße relevant:

  • Die Sperrung einer der Hauptzufahrtsstrassen zum Veranstaltungsgelände ist während der Anlieferungsphase der Produktion oder auch während der Anreisephase der Besucher relevanter als während der Veranstaltung.
  • Der Ausfall der Entsorgung (Toiletten) ist bei einer Veranstaltung, die nur wenige Stunden dauert, weniger relevant als bei einer Mehrtagesveranstaltung.
  • Das Einsetzen von starkem Regen kann je nach Veranstaltungsphase und Publikumsprofil gar nicht relevant (oder sehr relevant sein.


Beispiel 2 Praxisbeispiel: Auf der großen Zufahrtstrasse zur Veranstaltung kommt es zu einem schweren Unfall verbunden mit einer längeren Sperrung. Die Anreise des Ordnungsdienstes ist betroffen, ein Großteil der Kräfte kann das Veranstaltungsgelände nicht erreichen.

Während es Veranstaltungen gibt, die den Ausfall (oder die späte Ankunft) des Ordnungsdienstes relativ problemlos kompensieren können (geringe Anzahl, kein Gefährdungspotential etc.), gibt es Veranstaltungen, die möglicherweise nicht beginnen können, bevor nicht alle Fluchtwege, alle Einlässe etc. besetzt sind.

Die Relevanz eines verzögerten Einlasses ist dabei ebenfalls individuell zu bewerten: vom Unmut des Publikums über längere Wartezeiten bis hin zu sich verschiebenden oder auch nicht eingehaltenen TV-Übertragungszeiten.

Auf einer Veranstaltung fällt der Strom aus – dies ist mehr oder weniger relevant abhängig von

  • der Anzahl der darauf angewiesenen Nutzer (alle – wenige)
  • der Art der darauf angewiesenen Nutzer (Softeisverkäufer – Telefonanlage - Getränkeversorgung )
  • dem Zeitpunkt des Eintretens (zum Beginn – Zum Ende der Veranstaltung)
  • den bereits vorhandenen Sicherungssysteme (Notstromversorgung)


Um die Relevanz zu bewerten, müssen alle Geschäftsprozesse dahingehend überprüft werden, welche Konsequenzen ihr Ausfall haben würde in Bezug auf:

  • Ziele des Unternehmens / der Organisation: dies ist nicht immer nur der Fortgang der Veranstaltung selbst, sondern kann auch die Etablierung einer neuen Veranstaltung sein, eines Veranstalters, die Bindung eines Sponsors oder auch der angestrebte Verdienst
  • Produkte / Angebote / Dienstleistungen: welche sind wichtig für die Veranstaltung? Welche sind verzichtbar?
  • Stakeholder: wer sind die Partner? Was passiert, wenn diese ausfallen / nicht liefern können etc.?
  • zeitliche Abläufe und Fristen: wie viel Zeit habe / brauche ich, um was wieder herzustellen? Was ist die Maximal Tolerierbare Ausfallzeit (s.u.)? Wie viel Zeit muss ich „aushalten“ / überbrücken? Welche Verzögerungen ergeben sich und was sind die Konsequenzen dieser Verzögerung (etwa die Auswirkungen eines verzögerten Einlasses auf eine TV Produktion)?

Sind alle Auswirkungen herausgearbeitet, müssen die folgenden Fragen beantwortet werden:

  • Welche Prozesse haben die höchste Priorität und müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
  • Welche Ressourcen werden dafür mindestens benötigt?

Maximal Tolerierbare Ausfallzeit (MTA)

Bei der Wiederaufnahme oder Wiederherstellung gestörter Prozesse (z.B. der Stromversorgung) ist die Zeit ein wichtiger Faktor. Die Maximale Tolerierbare Ausfallzeit beschreibt den Zeitrahmen, in dem die Aktivität wieder anlaufen muss, bevor der Ausfall dem Unternehmen (oder der Veranstaltung) nachhaltig schadet.

Prozessen, die nur kurzfristig ausfallen dürfen, muss daher entweder bei der Wiederherstellung oder aber schon früher in Bezug auf die Ausfallsicherung eine höhere Priorität eingeräumt werden, als denen, auf die eine Zeit lang verzichtet werden kann.

Kontinuitätsplan

Die Kontinuitätsplanung verläuft in den selben Phasen wie die Notfallplanung (vgl. [9], S. 32)

Vorbereitung

Aufbauorganisation: Festlegung von Rollen und Verantwortlichkeiten, Rechten und Pflichten, Benennung der Beteiligten

Ablauforganisation:

  • Identifizierung kritischer Prozesse und Anfälligkeiten,
  • Identifizierung der Konsequenzen einer Störung und deren Relevanz
  • Identifizierung der MTA und Konsequenzen der Nichteinhaltung
  • Identifizierung von Stakeholdern und Informationsquellen
  • Quantifizierung der personellen und materiellen Ressourcen(verfügbarkeit)

Bewältigen

  • Feststellen der Schadenschwere
  • Ersatzbeschaffung, Kompensation, Überbrückung etc.

Nachbereiten

  • Dokumentieren
  • Evaluieren
  • Verbessern

Der Kontinuitätsplan muss kontinuierlich überarbeitet, angepasst und auf andere Pläne, bspw. Crowd Management Pläne, Notfallpläne, Pläne der anderen Akteure abgestimmt werden. Dabei muss der Plan allen Beteiligten gegenüber kommuniziert und von diesen auch akzeptiert sein – anzustreben ist hierbei die Notwendigkeit einer strategischen Implementation von Sicherheitskulturen durch entsprechende Ausbildung und Trainings statt einer bloßen Papier- und Konzeptkultur (vgl. [7], S. 256). Ein Schlüssel zur Kontinuität und damit die schnelle Rückkehr in den Normalbetrieb liegt in den involvierten Personen. Kemp (vgl. [7]) weist darauf hin, dass es insbesondere die persönlichen Anpassungsfähigkeiten der Mitarbeiter sind, die geschult und nicht vor lauter Prozessplanung übersehen werden dürfen. Die organisationale Flexibilität in Bezug auf die Anpassung an sich verändernde Bedingungen ist ein Schlüssel für die schnelle Bewältigung eines Ereignisses.

Literatur

  • [1] http://www.thebci.org Business Continuity Institute.
  • [2] Barnes, J.C. (2001): A Guide to Business Continuity Planning. John Wiley and Sons: Chichester.
  • [3] Barnes, P. (2011): Business Impact Analysis. In: Hiles, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley and Sons: Chichester.
  • [4] Blyth, M. (2009): Business Continuity Managemen. Building an Effective Incident Management Plan. John Wiley and Sons: Hoboken.
  • [5] Estall, H. (2012): Business Continuity Management Systems. Implementation and Certification to ISO22301. BCS – The Chartered Institute for IT: Swindon.
  • [6] Fruin, J.J. (2002 [1993]): The Causes and Prevention of Crowd Disasters. Verfügbar unter [1] [24.06.2014]
  • [7] Kemp, C. (2010): A Strategic Methodology for a holistic approach to disaster management in a pre-staging and post event continuum. In: Kemp, C., Smith, P. (2010): Case Studies in Crowd Management, Security and Business Continuity. ET Press: Cambridge. S. 241-260.
  • [8] Hiles, A. (Hrsg.) (2011): The Definitive Handbook of Business Continuity Management. 3. Auflage. John Wiley and Sons: Chichester.
  • [9] Verwaltungs Berufsgenossenschaft (2011): Zwischenfall, Notfall, Katastrophe. VBG-Fachwissen BGI 5097.




Bearbeiter: Sabine Funk, Simon Runkel (IBIT GmbH)