Verfügbar auch im Katastrophenfall
Wegen der Zunahme von externen Gefahren steigt die Risikoexposition von öffentlichen Verwaltungen. Durch die Einführung eines Business Continuity Managements werden solche Risiken gesenkt und die Widerstandsfähigkeit erhöht. Denn auch nach Extremereignissen muss der Staat handlungsfähig bleiben.
Quelle: Sergey Nivens/Shutterstock
Egal was passiert: Kritische Dienstleistungen muss eine Gemeinde auch im Katastrophenfall erbringen können.
Von Eric Montagne, Mario Köpfli und Marta Thomik *
Ein Unterbruch der Stromversorgung, eine Pandemie, ein Terrorakt oder ein Cyberangriff, der die Systeme der Verwaltung lahmlegt: Mit der starken Vernetzung und steigenden Komplexität der Systeme, immer heftigeren Naturgewalten sowie der besseren Organisation gewaltbereiter Gruppen steigen diese Gefahren und damit das Ausfallrisiko einer Verwaltungsorganisation.
Ausgehend von der Analyse des Bundesamtes für Bevölkerungsschutz über die grössten Risikoszenarien wurden die Kantone beauftragt, ihre Verletzlichkeit zu prüfen und gegebenenfalls Massnahmen abzuleiten. Spätestens seit dem SRF Thementag «Blackout Schweiz», am 2. Januar 2017, sollten sich sämtliche Verwaltungen bewusst sein, dass die Risikoszenarien auch die kleinsten Gemeinden treffen könnten, die Aufrechterhaltung ihrer Funktionsfähigkeit für die Bevölkerung zentral ist und sie wahrscheinlich noch viel verletzlicher sind als grössere Organisationen.
Funktionieren ist wichtig
Business Continuity Management (BCM) ist der englische Fachbegriff für Kontinuitäts- oder Weiterführungsmanagement und hat zum Ziel, die Widerstandsfähigkeit einer Organisation zu verbessern. Es betrachtet nicht nur die unmittelbare Ereignisbewältigung, sondern auch nachgelagerte Aspekte bis zu dem Zeitpunkt, an dem sich der Vollbetrieb wiedereingestellt hat.
Das Beispiel der Baudirektion des Kantons Zürich zeigt, wie in der Praxis die Verfügbarkeit der Organisation durch Risikomanagement und BCM gesichert wird. Sie wurde dazu über ein Jahr durch das ETH Spin-off-Unternehmen «i-Risk» betreut. Sämtliche Geschäftsleitungsmitglieder wurden in den Prozess eingebunden. Das Endresultat stellt nicht nur eine widerstandsfähigere Organisation dar, es wurde während des Erarbeitungsprozesses auch eine Risikokultur in der Baudirektion geschaffen (siehe «Nachgefragt» unten).
Grundlage Risikomanagement
Zur Identifikation der geeigneten Risikoszenarien für die BCM-Analyse dient ein vorgelagertes Risikomanagement, welches alle Bereiche der Organisation abdeckt. Bei der Baudirektion des Kantons Zürich fehlte eine Übersicht über die übergreifenden Risiken aller angeschlossenen Ämter. So wurden zusammen mit der internen Projektgruppe der Baudirektion, die passenden Skalen und Parameter definiert, um die geeignete Flughöhe zu erreichen. Anschliessend führte «i-Risk» die Risikoanalyse durch. Diese basierte auf den bestehenden Risikomanagementsystemen der Ämter, der Checklisten und Erfahrung des Dienstleisters sowie auf Einzelinterviews mit jedem Amtsleiter.
Vor allem in diesen Interviews wurden amtsübergreifende Risiken aufgedeckt. Der erarbeitete Risikokatalog bestand in der Endfassung aus 15 Risikoszenarien, welche nach einer einheitlichen Methodik erfasst wurden. Die Geschäftsleitung – bestehend aus den Amtsleitern und dem Baudirektor – bewertete in einem Workshop jedes Risikoszenario individuell in Bezug auf das finanzielle Schadensausmass, die Eintrittswahrscheinlichkeit und den Reputationseinfluss. Um die Beeinflussung von Einzelpersonen durch die Gruppe zu vermeiden, wurden dazu anonyme Bewertungsgeräte eingesetzt. Nach jedem Bewertungsgang wurde der Durchschnitt sowie die Streuung der einzelnen Risikobewertungen visualisiert und besprochen.
Als Resultat der Risikoanalyse wurden die 15 Risikoszenarien in der Risikomatrix dargestellt und die jeweiligen Risikoeigner bestimmt. 5 der 15 Risikoszenarien wurden aufgrund ihres potenziell hohen Schadensausmasses und einer tiefen Eintrittswahrscheinlichkeit in das BCM integriert.
Beispielhaft werden in der Risikomatrix (siehe Grafik 3 und Tabelle 1) sieben Risikothemen mit ihrer Bewertung dargestellt. Drei dieser Themen werden in diesem Fall in das BCM integriert (Elementar, Terror, Cyber). Meistens sind es externe Risiken, welche ihren Ursprung ausserhalb der Organisation haben (siehe Grafik 1).
Quelle: zvg
Grafik1: Risikomanagement als Basis für das BCM (Beispielrisiken).
Bei der Baudirektion des Kantons Zürich wurden die Risiken während der Massnahmenanalyse mit den definierten Risikoeignern diskutiert. Dabei wurden der Risikoumgang festgelegt sowie zentrale bestehende und vorgeschlagene neue Massnahmen aufgenommen. Die Mitglieder der Geschäftsleitung ergänzten und validierten die Massnahmen in einem gemeinsamen Workshop. Es handelte sich dabei vor allem um präventive Massnahmen, welche die Eintrittswahrscheinlichkeit des Risikos reduzieren.
Anschliessend wurden der zukünftige Risikomanagementprozess definiert und die Resultate in ein Tool integriert.
Ausgestaltung des BCM
Das jeweilige Thema wird im BCM ab Risikoeintrittszeitpunkt betrachtet. Dabei werden der Einfluss auf die Reputation, die Finanzen und die Gesetze eingeschätzt. Man versetzt sich im BCM also in eine Situation, als ob das Risiko bereits eingetreten wäre und nun alles unternommen werden muss, um den Schaden zu begrenzen. Dabei werden Redundanzen und die Kapazität im Notbetrieb analysiert, um in Grafik 2 den rot schraffierten Bereich, also die Zeitdauer bis zum wiederhergestellten Vollbetrieb, in einem ersten Schritt korrekt abzuschätzen und später mit geeigneten Massnahmen zu reduzieren. Im Gegensatz dazu, wird im Risikomanagement vor allem versucht, Massnahmen zur Reduktion der Wahrscheinlichkeit des Risikoeintritts festzulegen.
Quelle: zvg
Grafik 2: Beim BCM werden Themen ab dem Zeitpunkt des Risikoeintritts betrachtet.
Um eine durchgängige Bewertung sicherzustellen gilt es anschliessend die Bewertungsskalen für das BCM zu definieren. Die Baudirektion verwendete dazu, wie schon im Risikomanagement, eine sechsstufige Skala (siehe Tabelle 1).
Das Schadensausmass beim Ausfall wurde
dabei in Bezug auf folgende Parameter
bewertet:
- Notbetrieb: Kapazität in Prozent, welche durch den Einsatz eines Notbetriebs aufrechterhalten werden kann
- Vollbetrieb: notwendige Zeitdauer nach Eintritt des Risikos bis der Vollbetrieb wieder sichergestellt werden
- Reputation: negative Beeinflussung des Images/der Wahrnehmung derOrganisation gegen aussen
- Finanzen: finanzielle Auswirkung auf die Organisation und qualitative Beschreibung der finanziellen Auswirkung
- Gesetze: Verstoss gegen Gesetze, Vorschriften und Verträge
Quelle: zvg
Tabelle 1: Im BCM wird der Einfluss der Risikoszenarien auf die zentralen Prozesse analysiert.
Die vier Phasen des BCM
Zur Einführung des BCM werden nach der Definition der Risikoszenarien und Parameter vier Schritte durchlaufen:
- Definition der relevanten Geschäftsprozesse.
- Durchführung einer Business Impact Analyse.
- Ausarbeitung von Business Continuity Plänen
- Integration des BCM in den Betrieb.
Um den Einfluss des Eintritts der Risikoszenarien bewerten zu können, werden in einer ersten Phase der Einführung die kritischen und somit relevanten Geschäftsprozesse definiert. Dabei stellt man sich die Frage, welche Prozesse zur Ausführung der unentbehrlichen Tätigkeiten in der Organisation zwingend nötig sind. Eine vorab erstellte Prozesslandkarte erleichtert das Auswahlverfahren, jedoch ist keine detaillierte Prozessdokumentation notwendig.
In der Regel werden fünf bis zehn Prozesse identifiziert. Bei der Analyse in der Zürcher Baudirektion stützte sich «i-Risk» auf die vorhandene Landkarte der zentralen Arbeitsabläufe. Dabei wurden zusammen mit der Baudirektion neun zentrale Prozesse ausgewählt und die jeweiligen Prozesseigner definiert.
Es folgt die Durchführung einer sogenannten Business Impact Analyse. In dieser Phase werden die Auswirkungen der Risikoszenarien auf die Prozesse eingeschätzt. Dabei werden die vorab definierten Bewertungsskalen herangezogen, um zu eruieren, welche Risikoszenarien die schlimmsten Konsequenzen auf welche Prozesse haben. Aus dem Risikomanagement der Baudirektion wurden fünf Risikothemen ins BCM integriert. Jeder Prozesseigner bewertete auf der Sechserskala den Einfluss jedes Risikos auf seinen Prozess in Bezug auf Notbetrieb, Vollbetrieb, Reputation, Finanzen und Gesetze.
Anschliessend validierte und ergänzte die Geschäftsleitung die erstellte Risiko-Prozessmatrix. Im vorliegenden Beispiel wurde ein kritisches Risikoszenario (b) und ein kritischer Prozess (y) identifiziert (siehe Grafik 3).
Quelle: zvg
Grafik 3: Im BCM wird der Einfluss der Risikoszenarien auf die zentralen Prozesse analysiert.
Um die Widerstandsfähigkeit der Organisation zu erhöhen, werden sodann Business-Continuity-Pläne erarbeitet. Die bestehenden Massnahmen werden analysiert und gegebenenfalls neue eingeleitet.
Bei der Zürcher Baudirektion wurde mit den Prozesseignern eine zweite Interviewrunde durchgeführt. Dabei wurden die jeweiligen Massnahmen besprochen. Die Validierung von neuen Massnahmen und die Abstimmung von prozessübergeordneten Massnahmen fand wieder in einem Workshop mit der Geschäftsleitung statt. Dabei wurde sichergestellt, dass vor allem zu den kritischen Risikoszenarien und kritischen Arbeitsabläufen neue Massnahmen – Business-Continuity-Pläne – definiert wurden.
Damit nach Abschluss der Projektarbeit das BCM gelebt und die Organisation nachhaltig gestärkt wird, ist es zu guter Letzt zwingend nötig, das BCM in den Betrieb zu integrieren. Bei der Baudirektion wurden der Ablauf und die Verantwortlichkeiten geregelt sowie ein integratives Tool für BCM und Risikomanagement eingeführt.
Zentral war dabei auch, dass zum Projektabschluss die Geschäftsleitung bezüglich der zentralen Punkte zur Etablierung einer Risikokultur geschult wurde. Um den Know-how-Transfer sicherzustellen, unterstützte «i-Risk» den Risikomanagement- und BCM-Verantwortlichen der Baudirektion punktuell während eines Jahres nach Einführung der Prozesse.
Man stelle sich vor, eine Cyberattacke legt eine Verwaltung für mehrere Tage lahm und führt zum temporären Dienstleistungsausfall. Was tut man in so einem Fall und in welcher Reihenfolge? Wie man am Beispiel der Zürcher Baudirektion sieht, ist BCM auch in der öffentlichen Verwaltung unverzichtbar geworden – und zwar unabhängig von deren Grösse.
* Eric Montagne, Mario Köpfli und Marta Thomik arbeiten bei der «i-Risk GmbH». Das ETH-Spin-Off unterstützt die öffentliche Hand in den Bereichen Business Continuity Management, Risikomanagement und IKS.
Quelle: zvg
Roland Fey ist Stv. Generalsekretär und Stabschef bei der Baudirektion Kanton Zürich.
Nachgefragt bei Roland Fey
Was waren die Gründe dafür, dass die Zürcher Baudirektion ein Business Continuity Management (BCM) eingeführt hat?
Roland Fey: Die Baudirektion verfügte schon seit einigen Jahren über ein Risikomanagement. Dieses versucht mit präventiven Massnahmen den Eintritt möglicher Risiken wie etwa den Ausfall eines Gebäudes oder den Verlust sensibler Daten zu verhindern.
Was der Baudirektion aber bisher fehlte, war eine systematische Auflistung der Massnahmen, die reaktiv ergriffen werden, wenn sich das Schadensereignis nicht verhindern lässt. Arbeitsabläufe, deren Unterbrechung der Baudirektion ernsthafte Schäden oder grosse Verluste zufügen würden, sollen geschützt werden. Der Notbetrieb soll gewährleistet und der Normalzustand, also der Vollbetrieb, möglichst rasch wiederhergestellt werden können. Fehlende Schadensprävention und / oder schlechte Schadensbewältigung führen zu grossen Verlusten. Darunter können zu einem grossen Teil auch die Mitarbeitenden leiden. Das kann sich keine grössere Organisation erlauben.
Welche Ergebnisse brachte die Business Impact Analyse?
Im Rahmen der Business Impact Analyse wurden die Einflüsse von verschiedenen aus dem Risikomanagement ermittelten Risikoszenarien auf wichtige Arbeitsabläufe der Baudirektion ermittelt. Der bestehende Pandemieplan war dabei Grundlage für die Definition der besonders wichtigen Tätigkeiten, Prozesse und Systeme im BCM. Bewertet wurde der Einfluss der Szenarien auf den Notbetrieb, die Dauer bis zum Vollbetrieb, die Reputation, die Finanzen und die Einhaltung der Gesetze. Beispielsweise wurde geschaut, welche Auswirkungen der erwähnte Gebäudeausfall auf die Arbeitsabläufe hat. Bei insgesamt neun kritischen Szenarien wurden Massnahmenanalysen durchgeführt.
Welche Risikoszenarien bedrohen die Prozesse der Zürcher Baudirektion konkret?
Mögliche Risiken sind etwa Stromausfall, Elementarereignisse, Amok / Terror / Sabotage, Pandemie oder Cyberangriffe.
Was machen Sie nun konkret mit den Ergebnissen?
Es geht nun in erster Linie darum, an der Umsetzung der im Rahmen des Risikomanagements und des BCM definierten Massnahmen zu arbeiten. Nur dadurch lässt sich der angestrebte, möglichst hohe Grad an Sicherheit auch tatsächlich erreichen. Das Tool liefert dabei einen guten Überblick über sämtliche laufenden sowie neu geplanten Massnahmen und deren Umsetzungsstand. Alle Informationen sind übersichtlich an einem Ort vorhanden, was die Steuerung von Risiken und Massnahmen stark erleichtert.
Was raten Sie einer Gemeinde, oder einer anderen staatlichen Organisation, die ein BCM einführen möchte?
Die grösste Herausforderung besteht meines Erachtens darin, die Mitarbeitenden zweckmässig in die Erarbeitung einzubinden, ohne dabei die Ressourcen zu stark zu belasten. Niemand wartet heute auf zusätzliche Aufgaben, Workshops und Interviews. Es braucht deshalb von Anfang an ein hohes Commitment und die Überzeugung der Führung, dass es sich bei den Themen Risikomanagement und BCM um wichtige Aufgaben handelt. Dies ist besonders auch im Hinblick auf die Umsetzung der Massnahmen wichtig.
Wertvoll war aus meiner Sicht ausserdem, dass sowohl die Optimierung des bestehenden Risikomanagements als auch der Aufbau des darauf gestützten BCM zusammen mit externen Spezialisten durchgeführt wurden. Dies ermöglichte eine unabhängige Aussensicht auf die eigene Organisation. (aes)