Ein Notfallkonzept dient der Umsetzung einer Notfallstrategie. Es beschreibt die geplante Vorgehensweise, um die für das Notfallmanagement gesetzten Ziele zu erreichen. Die beiden wesentlichen Aufgaben des Notfallkonzeptes sind, durch ein Notfallvorsorgekonzept die Robustheit der Geschäftsprozesse zu stärken, um die Wahrscheinlichkeit eines Schadensereignisses zu verringern (Prävention), und das Unternehmen mit Hilfe eines Notfallhandbuches optimal auf die Bewältigung einer Krise vorzubereiten, sowie die Schadensauswirkungen zu minimieren (Reaktion).
Ausgangslage
Das Notfallvorsorgekonzept beschreibt die vorliegenden Rahmenbedingungen und beinhaltet alle bei der Konzeption anfallenden Informationen, die nicht zur direkten Bewältigung eines Notfalls beitragen. Die direkt für die Bewältigung eines Notfalls benötigten Informationen wie beispielsweise Kontaktinformationen oder Handlungsanweisungen sind im Notfallhandbuch beschrieben. Auch im Falle eines Notfalls ist gemäß BSI-Standard 100-4 Notfallmanagement sicherzustellen, dass die Informationssicherheit gewährleistet ist. Dazu gehört die Gewährleistung der Vertraulichkeit von Daten, Einhaltung der Minimalanforderungen an die Datensicherung und die Einhaltung gesetzlicher Vorgaben. Auch das Notfallkonzept selbst, kann vertrauliche Informationen beinhalten, wie z. B. Angaben über Schwachstellen oder Informationen über Schutzmaßnahmen. Jede konkrete Vorsorgemaßnahme muss sich letztlich auf das Notfallkonzept zurückführen lassen. Aus diesem Grund muss dieses sorgfältig geplant und umgesetzt werden.
Unser Vorgehen
Um ein auf das jeweilige Unternehmen zugeschnittenes Notfallkonzept entwickeln zu können, ist es erforderlich das Unternehmen, beziehungsweise die Behörde und deren Geschäft zu verstehen. Dazu müssen die Verfügbarkeitsanforderungen der Geschäftsprozesse identifiziert und Schwachstellen erkannt werden, denn nur so können geeignete präventive Gegenmaßnahmen etabliert werden. Auf die verbleibenden Restrisiken muss das Unternehmen durch eine funktionierende Notfallbewältigung vorbereitet sein. Durch eine „Business Impact Analyse“ werden notwendige Informationen über die kritischen Geschäftsprozesse und Ressourcen generiert. Eine Risikoanalyse liefert die nötigen Informationen über bestehende Risiken, gegen die sich die Institution absichern sollte. Die Entwicklung von Kontinuitätsstrategieoptionen zeigt mögliche Alternativen für die Umsetzung auf. In einer Managemententscheidung werden dann, unter Berücksichtigung der Wirtschaftlichkeit (Kosten-Nutzen-Analyse), die geeigneten Kontinuitätsstrategien ausgewählt, die den Rahmen für die Konzept- und Planerstellung bilden.