Für das Thema BCM hat das BSI mit dem Standard 200-4 eine neue Version als Draft veröffentlicht, welche die bisherige Version 100-4 ablösen wird. Dieser Beitrag betrachtet aus Sicht eines Krankenhausbetreibers, welche praxisorientierten Hilfestellungen der neue Standard in Bezug auf eine optimale Notfall- und Krisenbewältigung mit kürzest möglicher Schadensbewältigungsdauer gibt.

Maßgeblicher Erfolgsfaktor, und deshalb möchte ich darauf auch näher eingehen, ist die besondere Aufbauorganisation BAO (also Notfall- bzw. Krisenstab -> entspricht in Krankenhäusern oft der Krankenhaus-Einsatzleitung (KEL))

  • Die Bewältigung auftretender Notfälle oder Krisen erfordert neben den Notfallplänen, die natürlich eine wesentliche Säule darstellen, vor allem eine gut organisierte und aufgebaute Notfall- und Krisenorganisation. Diese muss nicht nur gut dokumentiert, sondern auch in der Praxis eingeführt und kommuniziert sein. Ebenfalls sind regelmäßige Übungen, deren Feedback unmittelbar in den kontinuierlichen Verbesserungsprozess einfließen, ein wichtiger Bestandteil.
  • Der Aufbau einer umfassenden Notfallorganisation für die kritischen Bereiche eines Krankenhauses ist, nachdem der Aufbau eines ISMS in vielen Krankenhäusern derzeit erfolgt, die nächste zu bewältigende Herausforderung.

Oder lassen Sie es mich so sagen: Etablierte und funktionierende Notfall- und Krisenstäbe sind für eine Bewältigung wichtiger als Notfallpläne, weil Koordination in solchen Situationen der entscheidende Faktor ist. Selbst mit fehlenden oder nicht greifenden Notfallplänen kann eine solche Situation noch gut gemeistert werden.

Wie sieht die Praxis in Krankenhäusern aus?

Notfall- und Krisenbewältigung sind für Krankenhäuser generell ein gut eingeführter und gelebter Prozess, der auch eingeübt ist. Allerdings liegt hier der Schwerpunkt auf Szenarien wie z.B. Ereignisse mit vielen Verletzten, Brandereignisse im Krankenhaus oder Ausfall von Versorgungssystemen. Auch klassische Ausfallszenarien von IT-Systemen, wie z.B. dem KIS, zählen dazu.

Wie aber sieht es bei IT bedingten Notfällen z.B. durch Ausfall mehrerer IT-Systeme oder gar bei Krisen durch Cyberangriffe wie Ransomware aus?

Ein IT-bedingter Notfall muss zunächst identifiziert und ausgerufen werden. Laut BCM 200-4 müssen die dafür denkbaren Szenarien im Vorfeld betrachtet und bewertet worden sein, um hier die erforderliche zeitnahe Entscheidung treffen zu können. Das Ausrufen des Notfalls erfolgt dann in aller Regel durch den IT-Leiter und das Ausrufen einer Krise üblicherweise durch die KEL.

Allerdings stellen sich für die Praxis hier einige wichtige Fragen:

  • Gibt es ausreichend definierte Kriterien für die Notfall-Entscheidung (-> Szenarien-Betrachtung im Vorfeld)?
  • Gibt es einen Stab von IT-Mitarbeitern für Notfall- und Krisenfälle (BAO) und wie ist dieser zusammengesetzt?
  • Ist dieser etabliert und die Bereitschaftsdienste auf strategischer, taktischer und operativer Ebene entsprechend eingerichtet?
  • Gibt es entsprechende Vertreterregelungen und haben die Vertreter die notwendigen Kenntnisse bzw. können diese auf die erforderlichen Informationen zugreifen?
  • Gibt es eine 24/7 Verfügbarkeit für den IT-Notfallmanager (In der Regel der IT-Leiter bzw. dessen Vertreter)?
  • Sind alle relevanten Notfallpläne aktuell und verfügbar?
  • Gibt es regelmäßige Übungen für IT bedingte Notfälle und Krisen anhand von ausgearbeiteten Übungsszenarien?
  • Sind die Notfall- und Krisenstäbe für Cyberangriffsszenarien wie Ransomware vorbereitet? Insbesondere die Kommunikation und Abstimmung mit der KEL ist hier entscheidend!
  • Werden Übungen für Cyberangriffsszenarien durchgeführt? (zumindest organisatorisch können hier Übungen definiert werden)

Sicherlich lässt die Liste weiter ergänzen und vielleicht fragen Sie sich jetzt, wo Ihre Notfall- und Krisenorganisation aktuell steht. Gerne unterstützen wir Sie dabei, Ihr BCM noch wirkungsvoller umzusetzen.

Dabei profitieren Sie von unserer Erfahrung aus zahlreichen Projekten und dem umfassenden technischen sowie branchenspezifischen Praxis-Know-how. Vereinbaren Sie einfach einen unverbindlichen Termin.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit