IT-Notfallübungen – Krisenstabsübungen



Individuelle Übungen für Behörden und Unternehmen – Planung, Durchführung und Auswertung als komplettes Dienstleistungspaket

Einleitung:
Trotz aller IT-Sicherheitsmaßnahmen bleibt ein Restrisiko. Tritt der Not- bzw. Krisenfall ein, dann sind eingespielte Prozesse elementar, um Schäden zu begrenzen und den Normalbetrieb schnellstmöglich wieder herzustellen.

IT-Notfallübungen stellen das wesentliche Mittel dar, um alle Beteiligten mit ihren Aufgaben im Not- bzw. Krisenfall vertraut zu machen, das Zusammenspiel aller Akteure und Prozesse zu trainieren und Notfallpläne zu testen und zu optimieren.

Je nach Übungszweck, Zielgruppe und Reifegrad der übenden Organisation stehen verschiedene Übungsarten zur Auswahl, welche sich in Komplexität und Umfang unterscheiden:



Gerade die Vorbereitung auf Krisen und entsprechende Übungen der Krisenstäbe sind in der Praxis von hoher Bedeutung. Der BSI-Standard 100-4 sagt zum Begriff „Krise“ aus: „Für die Bewältigung existieren kein Ablaufpläne, sondern lediglich Rahmenanweisungen und -bedingungen. Ein typisches Merkmal einer Krise ist die Einmaligkeit des Ereignisses.“ In der Krise kommt es darauf an, dass grundlegende Fähigkeiten – schnelle Situationsfeststellung und -bewertung, rechtzeitige Entscheidungsfindung unter Einbeziehung aller relevanten Kriterien, Festlegung und Koordination von Maßnahmen und Ressourcen, Kommunikation intern sowie mit externen Organisationen, usw. – im Krisenstab vorhanden sind und auf die jeweilige Krisensituation übertragen und angewandt werden können. Dies erfordert von allen Beteiligten entsprechende Praxis, welche auf sichere Weise durch entsprechende Krisenstabsübungen erreicht werden kann.
_______________________________________________________________________

Das Dienstleistungsangebot der Cyber Akademie:
Die Durchführung von Krisenstabsübungen ist sehr anspruchsvoll und setzt idealerweise Erfahrung voraus. Deshalb bietet die Cyber Akademie in Zusammenarbeit mit der HiSolutions AG, welche maßgeblich am BSI-Standard 100-4 mitgewirkt hat, die Durchführung folgender Übungsarten insbesondere für Landes- und Kommunalbehörden als Serviceleistung an:

  • Planbesprechungen dienen dazu, am „grünen Tisch“ ein Szenario theoretisch durchzuspielen, um eine erste Validierung durchzuführen und Unstimmigkeiten und Missverständnisse aufzudecken.
  • Stabsübungen sind eine besondere Form von Planbesprechung, bei der die Zusammenarbeit im Krisenstab geübt wird.
  • Stabsrahmenübungen stellen eine erweiterte Form der Stabsübung dar, bei der zusätzlich die operative Ebene beteiligt wird, um auch das Zusammenspiel zwischen dieser und dem Krisenstab zu üben. In der Regel werden die stabsnahen Strukturen praktisch geübt, während die operative Umsetzung theoretisch simuliert wird.
Die Übung kann ggf. auch als „Coaching“ für den jeweiligen IT-Sicherheitsbeauftragten und / oder Notfallmanager durchgeführt werden, so dass dieser / diese die nächste Übung alleine veranstalten.
_______________________________________________________________________

Ablauf eines Übungsprojekts:
Im Vorfeld des Übungsprojekts ist der Übungsrahmen zu definieren, welcher Übungszweck und -ziele, Szenario, Ausgangslage und Lageänderungen, Übungsort und -zeit sowie teilnehmende Organisationseinheiten und Personen umfasst. Das Übungsprojekt wird anschließend in vier Phasen durchgeführt:



Phase 1 – Detailplanung des Szenarios und Erstellen des Übungskonzepts:

Gemeinsam mit der Behörde wird das vorgeschlagene Szenario weiterentwickelt und an die jeweiligen Begebenheiten angepasst. Anschließend erfolgt die Entwicklung und Abstimmung eines Übungskonzepts inkl. Drehbuch. Dieses beschreibt die Lage-Einspielungen, welche im Rahmen der Übung vorgesehen sind, und beinhaltet dabei neben dem jeweiligen Zeitpunkt und Empfänger einer Einspielung auch immer die erwartete Aktion/das erwartete Ergebnis.

Zudem werden sämtliche für die Übungsdurchführung notwendigen weiteren Unterlagen erstellt: Präsentation zur Übungsdurchführung, Übungsprotokolle für die Beobachter, Feedback-Fragebogen für die Teilnehmer, Vorlage für den Auswertungsbericht.

Phase 2 – Durchführung einer Schulung für den Krisenstab (optional):

Der Krisenstab wird in Stabsarbeit, Visualisierung und Szenarioentwicklung basierend auf dem entwickelten Szenario geschult. Die Krisenstabsmitglieder sollen Ihre besonderen Rollen, deren Herausforderungen sowie zweckmäßige Methoden und Werkzeuge zur Bewältigung der Krise kennenlernen.

Phase 3 – Durchführung der Krisenstabsübung:

Die Übung wird unter Leitung eines Moderators durchgeführt. In Abhängigkeit von der Übungsart wird weiteres Leitungspersonal zur Steuerung und Protokollierung eingesetzt.

Phase 4 – Nachbereitung der Krisenstabsübung und Übungsbericht:

Die von den Protokollanten während der Krisenübung erfassten Ergebnisse und relevanten Sachverhalte werden ausgewertet und in einem Übungsbericht zusammenfasst Die Ergebnisse und Optimierungsvorschläge werden so aufbereitet, dass die Behörde diese bei Bedarf leicht in eine mittel- und langfristige Übungsplanung übernehmen kann.
_______________________________________________________________________

Informationsmaterial:
Weitere Informationen können Sie den folgenden Flyern entnehmen:


Interesse an der Durchführung einer Übung? – Sprechen Sie uns direkt an oder senden Sie Ihre Anfrage an: info(at)cyber-akademie.de

Partner:


Veranstaltungen nach Datum


Mai 2017 (1)

Juni 2017 (7)

Juli 2017 (1)

August 2017 (1)

September 2017 (25)

Oktober 2017 (6)

November 2017 (14)

Dezember 2017 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung