Notfallmanagement

bei der RECPLAST GmbH

Dokumentation zu dem Beispielunternehmen

des Webkurses
Notfallmanagement auf Basis von BSI-Standard 100-4
Inhaltsverzeichnis
1 Über dieses Dokument.........................................................................................3
2 Skizze des Unternehmens....................................................................................3
2.1 Geschäftsgegenstand.....................................................................................3
2.2 Standorte und organisatorische Gliederung..................................................4
2.3 Infrastrukturelle und technische Gegebenheiten...........................................4
3 Initialisierung des Notfallmanagement-Prozesses...............................................7
3.1 Leitlinie zum Notfallmanagement.................................................................7
3.2 Rollen und Verantwortlichkeiten zum Notfallmanagement..........................9
4 Notfallvorsorge-Konzeption..............................................................................10
4.1 Business Impact Analyse............................................................................10
4.2 Risikoanalyse..............................................................................................20
4.3 Kontinuitätsstrategien.................................................................................24
4.4 Konzept erarbeiten und umsetzen...............................................................28
5 Notfälle bewältigen............................................................................................29
6 Testen und üben.................................................................................................30
7 Notfallmanagement verbessern..........................................................................31

2 Notfallmanagement bei der RECPLAST GmbH

 1 Über dieses Dokument

1 Über dieses Dokument

Dieses Dokument ergänzt den Webkurs Notfallmanagement auf Basis des BSI-
Standards 100-4. Es enthält eine zusammenfassende Darstellung der Lösungen
zum Notfallmanagement der fiktiven RECPLAST GmbH, sowie ergänzende
Informationen zu diesem als Beispiel dienenden Unternehmen.
Mit Hilfe der RECPLAST GmbH, einem kleinen produzierenden Unternehmen,
werden auch in weiteren Materialien zum IT-Grundschutz Vorgehensweisen und
mögliche Lösungen veranschaulicht, etwa dem Webkurs IT-Grundschutz oder
dem IT-Grundschutz-Profil für das produzierende Gewerbe. Die grundsätzlichen
Merkmale des Beispielunternehmens (Größe, Geschäftsgegenstand, Standorte)
sind in all diesen Veröffentlichungen gleich. Aufgrund der unterschiedlichen Ent-
stehungszeitpunkte und Zielsetzungen der Publikationen sind jedoch Abweichun-
gen in einzelnen Aspekten unvermeidbar, zum Beispiel in der Art und der Anzahl
der eingesetzten IT-Systeme oder der Rollen und Verantwortlichkeiten einzelner
Personen.

2 Skizze des Unternehmens

2.1 Geschäftsgegenstand
Das Unternehmen RECPLAST GmbH stellt aus wiederverwertbaren gebrauchten
Verpackungsmaterialien rund 400 unterschiedliche Kunststofferzeugnisse her,
zum Beispiel Rund- und Brettprofile, Zäune, Blumenkübel oder Abfallbehälter.
Der Herstellungsprozess gliedert sich in zwei Teile:
• Zunächst werden aus den vorsortierten Materialien mit Hilfe von Recycling-
anlagen so genannte Regranulate gewonnen.
• Diese Regranulate dienen in den anschließenden Fertigungsprozessen als
Rohstoff für die verschiedenen Kunststofferzeugnisse der Firma.
Die Produkte werden meist in hohen Stückzahlen hergestellt und über den Groß-
und Einzelhandel vertrieben, aber auch kundenspezifisch angepasste Sonder-
anfertigungen und der Direktvertrieb an Geschäftskunden gehören zum Angebot
des Unternehmens. Es gibt einige wenige Stamm- und Großkunden, die mehr oder
weniger regelmäßig und mit unterschiedlichen Auftragsvolumina bedient werden,
und zahlreiche Einmalkunden. Der jährliche Gesamtumsatz der GmbH beläuft
sich auf rund 50 Millionen Euro, der Gewinn auf etwa eine Millionen Euro.

Notfallmanagement bei der RECPLAST GmbH 3

2 Skizze des Unternehmens

2.2 Standorte und organisatorische Gliederung

Verwaltung sowie Produktion und
Lager befinden sich in Bonn, aller-
dings an unterschiedlichen Stand-
orten: Die Geschäftsführung hat zu-
sammen mit den Verwaltungsabtei-
lungen und den Abteilungen für
Einkauf sowie Marketing und Ver-
trieb vor kurzem ein neues Gebäude
in Bad Godesberg bezogen, wäh-
rend Produktion, Material- und
Auslieferungslager am ursprüngli-
chen Firmensitz im Stadtteil Beuel
verblieben sind. Zusätzlich hat das
Unternehmen Vertriebsbüros in Abbildung 1: Standorte der RECPLAST GmbH
Berlin, Hamburg und München. Das Unternehmen beschäftigt insgesamt 180
Mitarbeiter, von denen 40 in der Verwaltung in Bad Godesberg, 134 in
Produktion und Lager in Beuel und jeweils zwei in den Vertriebsbüros in Berlin,
Hamburg und München tätig sind.

2.3 Infrastrukturelle und technische Gegebenheiten

Verwaltungsgebäude in Bonn-Bad Godesberg

Das Verwaltungsgebäude in Bad Godesberg beherbergt die Räumlichkeiten der
Geschäftsführung sowie der administrativen Abteilungen der Firma. Es handelt
sich um ein typisches Bürogebäude mit repräsentativ gestaltetem Eingangsbereich
samt Pforte und den üblichen, auf drei Etagen verteilten Räumlichkeiten (Büros,
Besprechungs- und Aufenthaltsräume, Technik- und Abstellräume, Sozialräume
usw.). Die IT-Abteilung befindet sich in einem abgegrenzten Trakt des Gebäudes,
ebenso das Archiv. Da das Gebäude relativ neu ist, sind die infrastrukturellen
Gegebenheiten (vorbeugender Brandschutz, Klimatisierung, Energieversorgung
etc.) daher zeitgemäß und in einem guten Zustand.
Am Standort Bad Godesberg ist im Zuge des Umzugs ein zentral administriertes
Netz mit insgesamt 30 angeschlossenen Arbeitsplätzen eingerichtet worden. Die
Arbeitsplatzrechner sind mit den üblichen Büro-Anwendungen (Standardsoftware
für Textverarbeitung, Tabellenkalkulation und Präsentationen) und ClientSoftware
für E-Mail und WWW ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf
verschiedenen IT-Systemen Spezialsoftware.
Im Netz des Standorts Bad Godesberg werden insgesamt fünf Server für folgende
Zwecke eingesetzt:
• Ein Server dient als Domänen-Controller,
• ein weiterer Server dient der Dateiablage- und als Druck-Server,

4 Notfallmanagement bei der RECPLAST GmbH

 2 Skizze des Unternehmens

• ein Server dient als Datenbankserver für die Personal- und Finanzdaten,
• ein weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung
und
• der fünfte Server dient als interner Kommunikations-Server (interner Mail-
Server, Termin- und Adressverwaltung).
Alle Server befinden sich in einem gut ausgestatteten und abgesicherten Server-
raum in einem abgetrennten Bereich der Verwaltungsabteilung.

Produktionsstätte in Bonn-Beuel
Die Produktionsstätte in Bonn-Beuel besteht aus insgesamt fünf miteinander
verbundenen Hallen, einer Reihe von zugeordneten Räumlichkeiten (Büroräume,
Sozialräumen etc.) sowie Außenflächen mit weiteren Werkstätten, Lagerplätzen
und Garagen für den unternehmenseigenen Fuhrpark (siehe Abbildung 2). Nach
außen hin ist das Firmengelände durch Mauern und Zäune gesichert. Die Pforte ist
ständig besetzt, die Zufahrt durch Schranken geregelt.
Die Produktions- und Lagerhallen sind wie folgt organisiert:
• Halle 1 („Altkunststoffe“)
Diese Halle beherbergt das Lager für die wiederverwertbaren Verpackungs-
materialien sowie Geräte für vorbereitende Aktivitäten, beispielsweise eine
Sortieranlage zur groben Sortierung der angelieferten Materialien.
• Halle 2 („Aufbereitung“)
Hier werden die vorsortierten Altkunststoffe zu den Regranulaten verarbeitet.
Kern ist eine Recyclinganlage, in der die gebrauchten Verpackungen zerklei-
nert, gesäubert, geschmolzen und granuliert werden. Diese Anlage wird mit
Hilfe eines speziellen, vom Hersteller der Anlage gelieferten und sich eben-
falls in der Halle befindlichen Industrie-PCs gesteuert.
• Halle 3 („Fertigungslager“)
In dieser Halle befindet sich ein Lager für die unterschiedlichen gewonnenen
Regranulate sowie weitere Hilfsstoffe und Betriebsmittel, die zur Herstellung
der Produkte erforderlich sind. Die Halle beherbergt außerdem die Büros der
Lagerverwaltung.
• Halle 4 („Fertigung“)
In dieser Halle werden aus den Regranulaten und ergänzenden Materialien in
verschiedenen technischen Verfahrensweisen die Fertigteile erzeugt. Sie be-
herbergt daher die für diesen Zweck erforderlichen Geräte und Anlagen, dar-
unter mehrere elektronisch gesteuerte Spritzgussanlagen. Mittels üblicher
Web-Browser und Spezialsoftware ist es möglich, die Maschinen auch von
entfernten Standorten aus zu steuern. Zu diesem Zweck befindet sich ein
spezieller Industrie-PC in der Fertigungshalle.
Zu der Fertigungshalle gehört eine Reihe von Büroräumen, darunter ein
eigener Trakt für die Entwicklungsabteilung. Außerdem enthält die Halle
einen abgetrennten Raum für die zentralen IT-Systeme und die

Notfallmanagement bei der RECPLAST GmbH 5

2 Skizze des Unternehmens

Telekommunikationsanlage des Standorts Bonn-Beuel sowie einen größeren

Besprechungsraum (mit Telefon und Netzanschluss) und weitere
Räumlichkeiten.
• Halle 5 („Auslieferungslager“)
Hier befindet sich das Lager für die erzeugten Fertigteile.

Pforte Besprechung
Empfangs- Server-
bereich 4.01 Sozialräume etc. raum
(Ausstellung) 4.02 bis 4.06 4.07

Büros
EA
Büros 4.08
PL
4.11
a 4.09
4.12
b

4.13 4.10
Halle 2: Halle 4:
Aufbereitung Fertigung
4.14

Büros
LV
Halle 3: Halle 5:
Halle 1: 3.01
Fertigungs- Auslieferungs-
Altkunststoffe
lager lager
3.02

3.03
Anlieferung Auslieferung
B

Außenlager

Werkstätten, Garagen etc.

Abbildung 2: Werksgelände und räumliche Aufteilung der Betriebsstätte Bonn-Beuel

(Legende; PL = Produktionsleitung; EA = Entwicklungsabteilung; LV = Lagerverwaltung)

Auch in Bonn-Beuel hat eine Reihe von Anwendungen und IT-Systemen eine
hohe Bedeutung für das Unternehmen, insbesondere
• CAD/CAM-Software, um die Konstruktion der Werkzeuge, Formteile und
Produkte zu unterstützen,
• ERP-Software (Enterprise Resource Planning) für Produktionsplanung und
-steuerung sowie Lagerverwaltung und die Kontrolle des Materialflusses,

6 Notfallmanagement bei der RECPLAST GmbH

 2 Skizze des Unternehmens

• Software zur Anlagensteuerung auf speziellen Industrie-PCs.

3 Initialisierung des Notfallmanagement-Prozesses

Grundlegende Voraussetzungen für einen erfolgreichen Notfallmanagement-
Prozess sind, dass
• dieser in einem ausreichenden Umfang von der Leitung einer Institution
unterstützt wird,
• diese ausreichend finanzielle und personelle Ressourcen für die mit dem
Prozess verbundenen Aufgaben und Maßnahmen bereitstellt,
• die grundlegenden Ziele, Vorgehensweisen und organisatorischen
Festlegungen der Institution in einer Leitlinie zum Notfallmanagement
formuliert werden,
• eine angemessene Organisationsstruktur aufgebaut wird, um gegen
Notfälle vorzusorgen sowie diese bewältigen zu können.
• die Mitarbeiter eingebunden werden, so dass sie ihre jeweiligen
Aufgaben bei der Notfallvorsorge und -bewältigung verstehen und
ausfüllen können.
Die Leitlinie zum Notfallmanagement ist das zentrale Grundlagendokument für
die Initialisierung des Notfallmanagement-Prozesses.

3.1 Leitlinie zum Notfallmanagement

Bei der RECPLAST GmbH wurde bereits ein Managementsystem für Informa-
tionssicherheit gemäß BSI-Standard 100-2 aufgebaut. Ausgehend von den dabei
gemachten Erfahrungen entschied sich die Geschäftsführung des Unternehmens
dafür, die Leitlinie für Notfallmanagement zunächst von einem kleinen Team von
drei Personen entwerfen zu lassen. Mitglieder dieser Gruppe waren:
• der zuvor ernannte Notfallbeauftragte (der, da das Unternehmen aufgrund
der geringen Größe genötigt ist, Sicherheitsaufgaben zu bündeln, ebenfalls
IT-Sicherheitsbeauftragter ist),
• der Produktionsleiter als Verantwortlichem für die technischen
Kernprozesse des Unternehmens,
• der Assistent der kaufmännischen Geschäftsführung.
Diese Gruppe fertigte einen ersten Entwurf des Dokuments an, der – bevor er von
der Geschäftsführung verabschiedet wurde – auf einem gemeinsamen Workshop
mit allen Abteilungsleitern und einem Vertreter des Betriebsrats diskutiert und

Notfallmanagement bei der RECPLAST GmbH 7

3 Initialisierung des Notfallmanagement-Prozesses

abgestimmt wurde. Als Ergebnis dieses Prozesses entstand das nachfolgend

wiedergegebene Dokument.

Leitlinie zum Notfallmanagement der RECPLAST GmbH

Die RECPLAST GmbH strebt einen dauerhaft stabilen Geschäftserfolg an. Wir
sehen uns daher als dazu verpflichtet, unsere Geschäftsprozesse weitgehend
widerstandsfähig gegen innere und äußere Störungen zu machen. Aus diesem
Grund hat sich die Geschäftsführung des Unternehmens entschieden, ein Notfall-
management-System im Unternehmen aufzubauen. Diese Leitlinie fasst die we-
sentlichen Eckpunkte für dieses Vorhaben zusammen und tritt mit dem Tag ihrer
Unterzeichnung in Kraft.
Für das Notfallmanagement der RECPLAST GmbH sind die folgenden Punkte
wesentlich:
• Zielsetzung des Notfallmanagements
Aufgabe des Notfallmanagements ist es, dafür zu sorgen, dass das Unter-
nehmen hinreichend gegen solche Notfallsituationen gewappnet ist, die
existenzgefährdende Auswirkungen haben können. Dies erfordert zum
einen, dass wir vorbeugende Maßnahmen zum Schutz gegen die relevanten
Gefährdungen umsetzen, zum anderen, dass wir geeignete Vorkehrungen
und Pläne entwickeln, um auch in Notfällen und kritischen Situationen
handlungsfähig zu sein und mögliche Schäden begrenzen zu können.
• Aufwand für das Notfallmanagement
Die Geschäftsführung unterstützt die Zielsetzung für das
Notfallmanagement und stellt daher angemessene Ressourcen für die
erforderlichen Planungsprozesse zur Verfügung. Aufgrund unserer
begrenzten Größe und finanziellen Kapazität können wir allerdings nur ein
vergleichbar geringes Budget für die Notfallvorsorge bereitstellen. Wir sind
daher bestrebt, in unserer Geschäftsstrategie solche Aktivitäten zu
vermeiden, die ein unvertretbares Risiko bedeuten.
• Grundsätzliche Vorgehensweise
Für Unternehmen wird es immer wichtiger, sich an anerkannten Standards
zu orientieren. Aufgrund unserer Erfahrungen mit dem BSI-Standard 100-2
(IT-Grundschutz) zur Gewährleistung der Informationssicherheit und um
möglichst konsistente Methoden anzuwenden, werden wir unsere
Vorgehensweise an dem BSI-Standard 100-4 ausrichten.
• Planmäßiges Vorgehen
Für alle Prozesse, die für unser Unternehmen von existenzieller Bedeutung
sind, werden wir angemessene Notfallvorsorgekonzepte und -pläne
erarbeiten. Grundlage dieser Konzepte ist eine sorgfältige Untersuchung
des Stellenwerts der verschiedenen Aktivitäten und Prozesse und der von
diesen benötigten Ressourcen (Business Impact Analyse).
• Organisatorische Festlegungen
Die Entwicklung und Weiterentwicklung dieser Konzepte wird von einem

8 Notfallmanagement bei der RECPLAST GmbH

 3 Initialisierung des Notfallmanagement-Prozesses

Notfallbeauftragten koordiniert. Die Rolle eines Notfallbeauftragten wird

neu eingerichtet. Der Inhaber dieser Rolle sowie dessen Stellvertretung sind
der Geschäftsführung gegenüber berichtspflichtig. Bei Bedarf werden für
Teilaufgaben weitere Mitarbeiterinnen und Mitarbeiter hinzugezogen. Die
personelle Besetzung dieser Teams wird aufgabenbezogen festgelegt.
• Aufrechterhaltung und Weiterentwicklung des Notfallmanagements
Die Angemessenheit und Funktionalität der entwickelten Notfallpläne und
Vorsorgemaßnahmen wird regelmäßig geprüft. Es ist beabsichtigt,
mindestens alle zwei Jahre einen externen Prüfer mit der Auditierung
unserer Notfallvorsorge zu beauftragen.
• Geltungsbereich dieser Leitlinie zum Notfallmanagement
Die Festlegungen dieser Leitlinie gelten für die gesamte RECPLAST
GmbH. Bei den Detailplanungen zur Ausgestaltung des
Notfallmanagements werden daher alle Standorte und Abteilungen
einbezogen.

3.2 Rollen und Verantwortlichkeiten zum Notfallmanagement

Die RECPLAST GmbH ist ein kleines Unternehmen mit begrenzten personellen
und finanziellen Ressourcen. Eine umfangreiche eigenständige Notfallorgani-
sation wäre daher wenig wirtschaftlich. Eine Konsequenz daraus ist, dass alle mit
dem Notfallmanagement verbundenen Aufgaben von den zuständigen Mitarbeite-
rinnen und Mitarbeitern zusätzlich zu deren eigentlichen Aufgaben erledigt wer-
den müssen. Um mit den begrenzten Mitteln trotzdem effektive organisatorische
Strukturen aufweisen zu können, wurde wie folgt entschieden:
• Hauptverantwortung auf Leitungsebene
Der kaufmännische Geschäftsführer übernimmt auf Leitungsebene die
Gesamtverantwortung für den Notfallmanagement-Prozess.
• Notfallbeauftragter und Stellvertretung
Als Notfallbeauftragter wurde derjenige Mitarbeiter der IT-Abteilung
ernannt, der bereits das Amt des IT-Sicherheitsbeauftragten ausübt. Er soll
in allen Fragestellungen eng mit seiner Stellvertretung, dem Assistenten der
Leitung der Fertigungsabteilung, zusammenarbeiten. Diese Auswahl
begründete die Geschäftsführung mit dem Wunsch, zum einen die
Sicherheitskompetenz zu bündeln, zum anderen aber Mitarbeiter beider
Standorte mit Aufgaben des Notfallmanagements zu betrauen. Es wurde als
nicht angemessen eingestuft, zusätzliche Notfall-Koordinatoren zu
ernennen.
• Temporäre Notfallvorsorgeteams
Auf die Einrichtung fester Teams wird verzichtet. Bei Bedarf werden für
Teilaufgaben geeignete Mitarbeiterinnen und Mitarbeiter hinzugezogen.
• Notfallbewältigung
Da bei der Einführung des Notfallmanagement-Prozesses bei der

Notfallmanagement bei der RECPLAST GmbH 9

3 Initialisierung des Notfallmanagement-Prozesses

RECPLAST GmbH noch keine dokumentierten Notfallplanungen

vorhanden waren, wurde zunächst auf eine differenzierte Festlegung von
eigenen Rollen für die Notfallbewältigung verzichtet. Es wurde
entschieden, die Notwendigkeit entsprechender Rollen und
Aufgabenbeschreibungen zu prüfen, wenn die Notfallplanungen weiter
fortgeschritten sind.

4 Notfallvorsorge-Konzeption
Bei der Notfallvorsorge-Konzeption werden zu den Zielen und der Risikosituation
eines Unternehmens oder einer Behörde passende, wirtschaftlich angemessene
und effiziente Pläne und Vorsorgemaßnahmen entwickelt, mit denen die
Widerstandsfähigkeit gegen Krisen und Notfälle erhöht werden kann. Dazu
gehören die folgenden drei Planungsschritte:
• die Identifikation der kritischen Prozesse in einer Business Impact
Analyse,
• die Identifikation und Bewertung der Gefährdungen, denen diese Prozesse
ausgesetzt sind, mit Hilfe einer Risikoanalyse,
• die Identifikation und Bewertung möglicher Strategien zur Absicherung
der kritischen Prozesse und der für diese erforderlichen Ressourcen.
Zielsetzung dieser Planungsschritte ist es insgesamt, Vorkehrungen zu treffen, um
zumindest die existenziell wichtigen Prozesse und Ressourcen einer Institution
gegen die möglichen Gefährdungen auf eine wirtschaftliche Weise abzusichern.

4.1 Business Impact Analyse

4.1.1 Geschäftsprozesse
Ausgangspunkt der Business Impact Analyse ist ein Modell der Geschäftsprozesse
eines Unternehmens mit einer Darstellung der verschiedenen Prozesse, der von
diesen benötigten Ressourcen und deren Zusammenhänge untereinander. Falls ein
solches Modell noch nicht vorliegt, kann es beispielsweise ausgehend von den
organisatorischen Strukturen des Unternehmens erfasst werden.
Abbildung 3 veranschaulicht die organisatorische Gliederung der RECPLAST
GmbH. Die gelb hinterlegten Abteilungen sind am Standort Bonn-Beuel ansässig,
alle anderen (bis auf die Vertriebsbüros) am Verwaltungssitz in Bad Godesberg.
Jeder einzelnen Abteilung lassen sich verschiedene Geschäftsprozesse zuordnen,
beispielsweise
• der Abteilung Einkauf Prozesse wie Produktrecherche und Bestellung,
10 Notfallmanagement bei der RECPLAST GmbH
 4 Notfallvorsorge-Konzeption

• der Abteilung Informationstechnik Prozesse wie die zum Betrieb von

Servern und Clients, Benutzer-Service, Druckservice oder
Netzadministration,
• der Personalabteilung Prozesse wie Einstellung, Gehaltszahlung und
Fortbildung sowie
• der Unterabteilung Fertigung der Produktionsabteilung die beiden
Prozesse zur Umwandlung der Altkunststoffe in wiederverwertbare
Regranulate sowie zur Herstellung der neuen Produkte aus diesem
Rohmaterialien.
Viele dieser Prozesse lassen sich weiter untergliedern, beispielsweise die Server-
Administration in die Teilprozesse Verwaltung von Mail-, Datei- und
Datenbankservern zu denen jeweils Aktivitäten wie Patch-Management,
Datensicherung, Konfiguration oder Dokumentation gehören können.

Abbildung 3: Organigramm der RECPLAST GmbH

In einem vollständigen Geschäftsprozessmodell der RECPLAST GmbH müssten

mehrere Dutzende an Prozessen unterschieden und beschrieben werden – für eine
Einführung in die Notfallvorsorge-Konzeption genügt es jedoch, sich auf einige
wenige charakteristische Prozesse zu beschränken. Nachfolgend werden daher
genauer betrachtet:
• aus der in Bad Godesberg ansässigen IT-Abteilung, die für das
reibungslose Funktionieren der Informationstechnik an allen Standorten
zuständig ist, die Prozesse

Notfallmanagement bei der RECPLAST GmbH 11

4 Notfallvorsorge-Konzeption

 Server-Betrieb, der für die Administration sämtlicher Server des

Unternehmens verantwortlich ist, darunter am Verwaltungssitz in
Bad Godesberg Server für E-Mail, Finanzbuchhaltung, Kunden- und
Auftragsverwaltung sowie am Sitz der Produktion in Bonn-Beuel
den Server für das ERP-System des Unternehmens, und
 IT-Wartung, der für den ordnungsgemäßen Betrieb der Clients des
Unternehmensnetzes an beiden Standorten zuständig ist,
• aus der in Bonn-Beuel ansässigen Produktionsabteilung die Prozesse
 Aufbereitung Recycling-Materialien sowie
 Fertigung Endprodukte, in dem aus den zu zuvor gewonnenen
Regranulaten und weiteren Ausgangsstoffen die Kunststoffprodukte
des Unternehmens erzeugt werden.

4.1.2 Definition der Schadenskategorien

Bei der Business Impact Analyse wird untersucht, welcher Schaden entsteht,
wenn ein Geschäftsprozess ausfällt. Zur Bewertung der Schadenshöhe dienen
ähnlich wie bei der Schutzbedarfsfeststellung Kategorien, die auf verschiedene
Schadensszenarien angewendet werden. Tabelle 1 enthält die Schadenskategorien,
die bei der RECPLAST GmbH verwendet wurden. Sie sind angelehnt an die
Schutzbedarfsdefinitionen des Unternehmens.

Schadenskategorie Schadensszenario Definition

niedrig finanzielle Auswirkungen Der mögliche finanzielle Schaden liegt unter

10.000 Euro.

Verstoß gegen Gesetze, Es drohen keine juristischen Konsequenzen

Vorschriften oder Verträge oder Konventionalstrafen.

Beeinträchtigung der Die Abläufe im Unternehmen werden

Aufgabenerfüllung allenfalls unerheblich beeinträchtigt.

negative Innen- und Es droht kein Ansehensverlust bei Kunden

Außenwirkung und Geschäftspartnern.

mittel finanzielle Auswirkungen Der mögliche finanzielle Schaden liegt

zwischen 10.000 und 50.000 Euro.

Verstoß gegen Gesetze, Es drohen nur geringfügige juristische

Vorschriften oder Verträge Konsequenzen oder Konventionalstrafen.

Beeinträchtigung der Die Abläufe bei RECPLAST werden

Aufgabenerfüllung allenfalls unerheblich beeinträchtigt. Die
maximale Ausfallzeiten beträgt zwei
Wochen.

negative Innen- und Es droht ein Ansehensverlust nur bei

Außenwirkung wenigen Kunden und Geschäftspartnern.

12 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Schadenskategorie Schadensszenario Definition

hoch finanzielle Auswirkungen Der mögliche finanzielle Schaden liegt

zwischen 50.000 und 500.000 Euro.

Verstoß gegen Gesetze, Es drohen schwerwiegende juristische

Vorschriften oder Verträge Konsequenzen oder Konventionalstrafen.

Beeinträchtigung der Die Abläufe bei RECPLAST werden

Aufgabenerfüllung erheblich beeinträchtigt. Ausfallzeiten dürfen
maximal 24 Stunden betragen.

negative Innen- und Das Ansehen des Unternehmens bei Kunden

Außenwirkung und Geschäftspartnern wird erheblich
beeinträchtigt.

sehr hoch finanzielle Auswirkungen Der mögliche finanzielle Schaden liegt über
500.000 Euro.

Verstoß gegen Gesetze, Die juristischen Konsequenzen oder

Vorschriften oder Verträge Konventionalstrafen sind existenz-
gefährdend.

Beeinträchtigung der Die Abläufe bei RECPLAST werden so stark

Aufgabenerfüllung beeinträchtigt, dass Ausfallzeiten, die über
zwei Stunden hinausgehen, nicht toleriert
werden können.

negative Innen- und Das Ansehen des Unternehmens bei Kunden

Außenwirkung und Geschäftspartnern wird grundlegend und
nachhaltig beschädigt.
Tabelle 1: Schadenskategorien bei der RECPLAST GmbH.

4.1.2 Festlegung von Bewertungsperioden

Anders als bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz wird bei
einer Business Impact Analyse nicht nur der Gesamtschaden eines Ereignisses be-
wertet. Vielmehr interessiert hier insbesondere, wie sich ein Schaden im Lauf der
Zeit entwickelt. Dieser zeitliche Schadensverlauf wird mit Hilfe von Bewertungs-
perioden beschrieben, die einheitlich auf alle untersuchten Geschäftsprozesse an-
gewendet werden.
In der RECPLAST GmbH gibt es sowohl Prozesse, die bereits nach kurzer Unter-
brechung zu einem hohen Schaden führen können, als auch solche, die erst mittel-
oder langfristig ein höheres Schadenspotenzial entfalten. Zur ersten Gruppe ge-
hören diejenigen, die unmittelbar mit dem Fertigungsprozess verknüpft sind, zur
zweiten beispielsweise solche, wie die in der in der Entwicklungsabteilung betrie-
bene Suche nach neuen Produkten oder Herstellungsvarianten. Mit den fünf
Bewertungsperioden, die in Tabelle 2 dargestellt sind, wurde versucht, diesen
Unterschieden gerecht zu werden.

Notfallmanagement bei der RECPLAST GmbH 13

4 Notfallvorsorge-Konzeption

Bewertungsperioden

Zeitperiode 1 2 3 4 5

Nach Ablauf 12 Stunden 24 Stunden 72 Stunden 168 Stunden 672 Stunden

von (halber Tag) (ein Tag) (drei Tage) (eine Woche) (vier Wochen)
Tabelle 2: Bewertungsperioden bei der RECPLAST GmbH

4.1.3 Dokumentation der Schadensanalyse – Einzelprozess

Als Beispiel zeigt Tabelle 3 die Schadensanalyse für den Prozess Aufbereitung
Recycling-Materialien bei der RECPLAST GmbH. Dieser dient dazu, aus
gebrauchtem Verpackungsmaterial Regranulate zu gewinnen, die anschließend als
Ausgangsmaterial für die Recycling-Produkte des Unternehmens genutzt werden
können. Insgesamt sind die Anforderungen an die Verfügbarkeit dieses
Prozesses weniger hoch, da
• das Unternehmen auf einen Lagerbestand an erzeugten Regranulaten
achtet, mit dem auch ein mehrtägiger Ausfall des Prozesses überbrückt
werden kann, und außerdem
• bei Bedarf für die Fertigung erforderliche Regranulate kurzfristig zugekauft
werden können.
Diese Absicherungen sind bereits in die Verfahrensbeschreibungen für den
Normalbetrieb aufgenommen worden.

14 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Prozess: Aufbereitung Organisationseinheit: Fertigung

Recycling-Materialien

Bearbeiter: P. Muster Interviewpartner: M. Müller

(Notfallbeauftragter) (Abteilungsleiter)

Schadensszenario Schaden nach Bewertungsperiode Anmerkungen

12 Std. 1 Tag 3 Tage 7 Tage 28 Tage

finanzielle Auswirkungen 1 1 1 1 2 Wenn in

größerem
Umfang
Regranulate
zugekauft
werden müssen,
entstehen hohe
Mehrkosten.

Verstoß gegen Gesetze, 1 1 1 1 1 Solange

Vorschriften oder Verträge Regranulate
zugekauft
werden können,
werden Verträge
nicht verletzt.

Beeinträchtigung der 1 1 1 1 1 Der Zukauf

Aufgabenerfüllung beeinträchtigt
auch langfristig
die Abläufe im
Unternehmen
nicht stark.

negative Innen- und 1 1 1 2 2 Längere

Außenwirkung Ausfälle wirken
sich negativ auf
die Motivation
der Mitarbeiter
aus.
Tabelle 3: Beispieltabelle für den Schadensverlauf eines Geschäftsprozesses
(1 = niedriger Schaden, 2 = mittlerer Schaden)

4.1.4 Dokumentation der Schadensanalyse – Prozessübersicht

Die ermittelten Schadensbewertungen für die Einzelprozesse können in einer Gesamt-
übersicht über alle Geschäftsprozesse zusammengeführt werden, um die Prozesse für
deren Wiederanlauf leichter miteinander vergleichen und priorisieren zu können. Die
folgende Tabelle gibt ein Beispiel. Sie berücksichtigt noch drei weitere Prozesse bei der
RECPLAST GmbH, und zwar:

• Fertigung Endprodukte
An die Verfügbarkeit dieses Kernprozesses des Unternehmens werden hohe
Anforderungen gestellt. Ein mehr als 24-stündiger Ausfall kann unmittelbare
Einnahmeausfälle bewirken. Bei bestimmten Auftraggebern drohen ferner
Konventionalstrafen und die Abwanderung zur Konkurrenz.

Notfallmanagement bei der RECPLAST GmbH 15

4 Notfallvorsorge-Konzeption

• IT-Wartung
Dieser unterstützende Prozess, der für die Pflege aller Client-Systeme im Unter-
nehmen (mit Ausnahme der Anlagensteuerungen) zuständig ist, hat als
Querschnittsaufgabe eine große Bedeutung für nahezu alle Unternehmensprozesse
und daher ein höheres Schadenspotenzial.

• Server-Betrieb
Auch dieser Prozess hat aufgrund der Bedeutung der mit Hilfe der verschiedenen
Servern betriebenen Anwendungen (E-Mail, Finanzbuchhaltung, ERP,
Dateiablage usw.) insgesamt eine hohe Kritikalität für das Unternehmen.

Prozess Schadensszenario Schaden nach Bewertungsperiode

12 1 3 7 28
Std. Tag Tage Tage Tage

Aufbereitung finanzielle Auswirkungen 1 1 1 1 2

Recycling-Materialien
Verstoß gegen Gesetze, 1 1 1 1 1
Vorschriften oder Verträge

Beeinträchtigung der 1 1 1 1 1
Aufgabenerfüllung

negative Innen- und 1 1 1 2 2

Außenwirkung

Summe 4 4 4 5 6

Fertigung Endprodukte finanzielle Auswirkungen 1 2 3 4 4

Verstoß gegen Gesetze, 1 1 1 2 3

Vorschriften oder Verträge

Beeinträchtigung der 2 2 3 3 4
Aufgabenerfüllung

negative Innen- und 1 1 2 2 3

Außenwirkung

Summe 5 6 9 11 14

IT-Wartung finanzielle Auswirkungen 1 1 2 3 3

Verstoß gegen Gesetze, 1 1 1 2 3

Vorschriften oder Verträge

Beeinträchtigung der 1 2 2 3 3
Aufgabenerfüllung

negative Innen- und 1 1 2 3 3

Außenwirkung

Summe 4 5 7 11 12

Server-Betrieb finanzielle Auswirkungen 1 2 3 4 4

Verstoß gegen Gesetze, 1 1 1 1 2

Vorschriften oder Verträge

16 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Prozess Schadensszenario Schaden nach Bewertungsperiode

12 1 3 7 28
Std. Tag Tage Tage Tage

Beeinträchtigung der 1 2 3 4 4
Aufgabenerfüllung

negative Innen- und 1 1 2 3 4

Außenwirkung

Summe 4 6 9 12 14
Tabelle 4: Gesamtübersicht Schadensbewertung für mehrere Geschäftsprozesse
(1 = niedrig, 2 = mittel, 3 = hoch, 4 = sehr hoch)

4.1.5 Wiederanlaufparameter
Die Schadensanalyse liefert Aufschluss darüber, welcher Schaden durch den Aus-
fall eines Prozesses entstehen kann und ab welchem Zeitpunkt ein solcher Ausfall
für ein Unternehmen kritisch werden kann. Die ermittelten Werte können benutzt
werden, um verschiedene Kenngrößen zu bestimmen, mit denen Anforderungen
an den Wiederanlauf und das Niveau eines Notbetriebs beschrieben werden kön-
nen. Dies sind insbesondere die folgenden drei Parameter:
• Maximal tolerierbare Ausfallzeit (MTA)
Dieser Wert gibt an, wann ein Prozess spätestens wieder anlaufen muss,
damit die Überlebensfähigkeit einer Institution kurz- oder langfristig nicht
gefährdet ist.
• Wiederanlaufzeit (WAZ)
Dieser Wert gibt an, in welcher Zeit der Notbetrieb aufgenommen werden
sollte.
• Wiederanlauf-Niveau
Dieser Wert legt fest, welche Kapazität bezogen auf den Normalbetrieb ein
vorübergehender Notbetrieb zumindest aufweisen sollte, unabhängig
davon, ob dieser als eingeschränkter Betrieb in der Normalumgebung, als
Ersatzbetrieb an einem Ausweichstandort oder als völlig anders gestalteten
Alternativprozess organisiert wird.
In Tabelle 5 ist dargestellt, wie diese Parameter für die vier vorrangig betrachteten
Prozesse bei der RECPLAST GmbH bestimmt wurden. Sie enthält zusätzlich die
Werte für zwei weitere Parameter und zwar:
• Maximal tolerierbare Notbetriebszeit (MTN)
Dieser Parameter gibt an, wie lange der Notbetrieb eines Prozesses
längstens dauern sollte.
• Maximal tolerierbare Wiederherstellungszeit (MTW)
Dieser Wert entspricht der Summe aus Wiederanlauf- und maximal
tolerierbarer Notbetriebszeit.

Notfallmanagement bei der RECPLAST GmbH 17

4 Notfallvorsorge-Konzeption

Parameter Aufbereitung Fertigung IT-Wartung Server-Betrieb

Recycling- Endprodukte
Materialien

Maximal tolerier- 4 Wochen 3 Tage 1 Woche 3 Tage

bare Ausfallzeit
(MTA)

Wiederanlaufzeit 3 Woche 2 Tage 3 Tage 2 Tage

(WAZ)

Wiederanlauf- 80 Prozent 80 Prozent 75 Prozent 80 Prozent

Niveau

Maximal tolerier- 6 Wochen 2 Wochen 4 Wochen 2 Wochen

bare Notbetriebs-
zeit (MTN)

Maximal tolerier- 9 Wochen 3 Wochen 6 Wochen 3 Wochen

bare Wiederher-
stellungszeit
(MTW)
Tabelle 5: Wiederanlaufparameter ausgewählter Prozesse bei der RECPLAST
GmbH

Der Wert eines Wiederanlaufparameters ist von einer Vielzahl an Einflussfaktoren

abhängig. Grundlage ist der bei der Schadensanalyse ermittelte Schadensverlauf,
aber auch spezielle Erwägungen zur Unternehmensstrategie, Abhängigkeiten zwi-
schen den Prozessen oder auch die Frage, ob durch die Wiederanlaufparameter
gesteckten Ziele überhaupt realistisch sind, fließen in die Bestimmung der Werte
ein. Bei der RECPLAST GmbH wurden die Wiederanlaufparameter beispiels-
weise für den Querschnittprozess „IT-Wartung“ aufgrund einer Gesamtbetrach-
tung aller Prozesse heraufgesetzt. Bereits im Normalbetrieb hat dieser Prozess
eine hohe Bedeutung für viele weitere Geschäftsprozesse. Es wurde zudem davon
ausgegangen, dass seine Relevanz in Notfallsituationen unter Umständen noch
deutlich höher sein kann.

4.1.6 Kritikalität von Prozessen

Mit Hilfe entsprechender Kategorien kann die Kritikalität von Geschäftsprozessen
prägnant dargestellt werden. Diese sollten zu den Wiederanlaufparametern einer
Institution passen. Die folgende Tabelle zeigt ein Beispiel für die RECPLAST
GmbH.

18 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Kategorie Wiederanlaufzeit Maximal Gesamtschaden Allgemein

tolerierbare nach einer
Ausfallzeit Woche

unkritisch länger als vier länger als vier niedrig Ausfälle haben
Wochen Wochen allenfalls geringfügige
Auswirkungen

wenig kritisch zwei bis vier zwei bis vier mittel Ausfälle haben
Wochen Wochen spürbare
Auswirkungen

kritisch zwischen drei zwischen drei hoch Ausfälle haben

Tagen und zwei Tagen und zwei beträchtliche
Wochen Wochen Auswirkungen

hoch kritisch weniger als drei weniger als drei sehr hoch Ausfälle haben
Tage Tage existenziell
bedrohliche
Auswirkungen
Tabelle 6: Beispiel für die Definition von Kritikalitätskategorien

Entsprechend dieser Definitionen ergeben sich damit für einige ausgewählte

Prozesse bei der RECPLAST GmbH die folgenden Einstufungen:
• der Prozess „Aufbereitung Recycling-Materialien“ als weniger kritisch,
• der Prozess „IT-Wartung“ als kritisch,
• der Prozess „Fertigung Endprodukte“ als hoch kritisch und
• der Prozess „Server-Betrieb“ ebenfalls als hoch kritisch.
Daneben gibt es auch als unkritisch bewertete Prozesse im Unternehmen. Dazu
gehört der Prozess „Entwicklung neuer Produktvarianten“, der zwar von großer
strategischer Bedeutung für das Unternehmen ist, dessen mehrwöchiger Ausfall
aber trotzdem keinen gravierenden Schaden bewirkt, da die Innovationszyklen in
der Branche, in der das Unternehmen tätig ist, eher lang sind.

4.1.7 Ressourcenbedarf im Normal- und im Notbetrieb

Diejenigen Prozesse, deren Kritikalität höher bewertet wurde, sind nachfolgend
genauer zu betrachten. Dabei ist zu untersuchen, welche Ressourcen (Personen,
Technik, Anwendungen, Räumlichkeiten etc.) erforderlich sind, damit ein Prozess
zu den gewünschten Ergebnissen führt. Diese Aufstellung ist zum einen für den
Normalbetrieb vorzunehmen, zum anderen für den Notbetrieb, der im Allgemei-
nen mit geringerer Kapazität und gegebenenfalls anderen Ressourcen betrieben
werden muss. Bei der RECPLAST GmbH wurden die Prozesse „Fertigung“ und
„IT-Wartung“ sehr hoch priorisiert. Tabelle 7 zeigt beispielhaft, welche Ressour-
cen diese Prozesse im Normal- und im Notbetrieb (in Klammern) benötigen.

Notfallmanagement bei der RECPLAST GmbH 19

4 Notfallvorsorge-Konzeption

Ressource Fertigung Endprodukte IT-Wartung

Personal 60 (30) Produktionsmitarbeiter 2 (1) IT-Wartungsmitarbeiter

an der Fertigungsstraße
4 (2) Fertigungsingenieure
1 (1) Produktionsleiter
5 (2) Mitarbeiter für die End-
kontrolle

Informationen Konstruktionspläne, Auswertungstabellen der Netzwerk-

Ressourcenplanung aus dem analyse-Werkzeuge
ERP-System Log-Dateien der Rechner
Betriebshandbücher
Informationsmaterial der Hersteller

Informationstechnik Hardware: Hardware:

5 (2) PCs in Halle 4, davon 1 in
den Büroräumen der Produk-
tionsleitung und
1 (1), der Industrie-PC zur Steue-
rung und Kontrolle der Produk-
tionsanlagen, im offenen Hallen-
bereich
Software:
ERP System
Anlagensteuerungs-System
3 (1) PC für die Durchführung von
Tests
Software:
Programme zur Analyse von Daten-
strukturen und Prozessen auf den zu
wartenden Rechnern

Spezialgeräte Formteile für Kunststoffprodukte Werkzeuge zur Reparatur von Rech-

nern
Tools für Software-Updates und die
Wiederherstellung von Systemen

Dienstleistungen Interne: Wartungstechnik des Herstellers

2 (1) Systemadministratoren
2 (1) Transportmitarbeiter
Extern: Wartungstechnik durch
den Hersteller

Infrastruktur 1 Fertigungsstraße Elektrizität

1 Produktionshalle
3 (2) Gabelstapler
80 (40) Prozent der maximal
möglichen Lagerbestände
Wasserversorgung
Gasversorgung
Elektrizität

Betriebsmittel 2 (1) Tonnen

Altkunststoffe/Stunde
10 (5) Paletten Verpackungs-
material
Tabelle 7: Ressourcenbedarf ausgewählter Prozesse bei der RECPLAST GmbH (in
Klammern: Bedarf für den Notbetrieb)

20 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

4.2 Risikoanalyse
Ziel der Risikoanalyse im Rahmen des Notfallmanagements ist es, diejenigen
Risiken zu bestimmen, die die Verfügbarkeit der kritischen Prozesse oder der von
diesen benötigten Ressourcen gefährden können.

4.2.1 Risiken identifizieren

Die RECPLAST GmbH hat bereits bei der Entwicklung ihrer Informationssicher-
heitskonzepte Risikoanalysen durchgeführt. Ein Teil der Ergebnisse konnte auch
bei der Notfallplanung verwendet werden. Zwei mehrstündige Workshops diente
außerdem dazu, weitere Risiken für die als besonders kritisch bewerteten Ge-
schäftsprozesse zu identifizieren, beispielsweise für die Prozesse „Fertigung End-
produkte“ und „IT-Wartung“ sowie den Server-Betrieb in Bad Godesberg und
Bonn-Beuel. Aufgrund der guten Erfahrungen, die bereits mit dieser Methode ge-
wonnen wurden, wurde die Brainstorming-Technik eingesetzt, um mögliche Ge-
fährdungen für die Verfügbarkeit der kritischen Geschäftsprozesse zu finden. Die
angesprochenen Risiken deckten das gesamte Spektrum an Gefährdungsszenarien
ab, beispielsweise Naturkatastrophen (Erdbeben, Überflutungen – beides kann
prinzipiell die Standorte des Unternehmens betreffen), technische Mängel, die
einen längeren Produktionsstillstand bewirken können, gezielte Angriffe auf die
IT, der Ausfall von Schlüsselpersonen oder von wichtigen Lieferanten.

4.2.2 Risiken bewerten

Wie hoch ein Risiko ist, hängt sowohl von der Wahrscheinlichkeit einer Gefähr-
dung ab als auch von der Höhe des Schadens, der dabei droht. Eine Risiko-
bewertung muss daher beide Einflussgrößen berücksichtigen. In der Praxis gibt es
hierfür viele Verfahren, eine häufig genutzte ist die so genannte Risikomatrix.
Tabelle 8 zeigt ein Beispiel. Grundlagen sind
• die zuvor bei der RECPLAST GmbH definierten Schadenskategorien,
• eine Klassifikation für die Eintrittswahrscheinlichkeit von Ereignissen
(sehr wahrscheinlich“ = einmal pro Woche oder öfter; „wahrscheinlich“ =
einmal pro Monat; „möglich“ = einmal pro Jahr; „unwahrscheinlich“ = alle
zehn Jahre oder seltener.) sowie
• eine Klassifikation der Risiken mit Hilfe der Kategorien „Niedrig“,
„Mittel“, „Hoch“ und „Sehr hoch“.

Notfallmanagement bei der RECPLAST GmbH 21

4 Notfallvorsorge-Konzeption

Wahrscheinlichkeit Auswirkung/Schaden

Niedrig Mittel Hoch Sehr hoch

Sehr wahrscheinlich gering mittel hoch sehr hoch

Wahrscheinlich gering mittel hoch hoch

Möglich gering gering mittel mittel

Unwahrscheinlich gering gering gering gering

Tabelle 8: Matrix zur Bewertung der Risiken bei der RECPLAST GmbH

Matrix zur Risikobewertung

Anhand der Eintrittswahrscheinlichkeit eines Ereignisses und der eingeschätzten
Schadenshöhe kann mit Hilfe der Risikomatrix sehr einfach eine Gesamt-
bewertung eines Risikos vorgenommen werden. Zwei Beispiele aus der Risiko-
analyse bei der RECPLAST GmbH sollen dies veranschaulichen:
• Da das Unternehmen nur über wenige Knowhow-Träger im Bereich der
„IT-Wartung“ verfügt, ist die Wahrscheinlichkeit sehr hoch, dass ein
Personalausfall diesen Prozess stört. Je nach Zeitpunkt kann dies auch
einen sehr hohen Schaden für das Unternehmen bedeuten. Das Risiko
Personalausfall für den Prozess „IT-Wartung“ ist also gemäß der Matrix
sehr hoch.
• Anders sieht es für den Fertigungsprozess aus. Hier sind die notwendigen
Kenntnisse und Fähigkeiten auf so viele Personen verteilt, dass auch bei
einer größeren Anzahl von abwesenden Mitarbeitern die Produktion noch
aufrecht erhalten werden kann. Trotz des sehr hohen Schadenspotenzials
bei einem Totalausfall der Belegschaft wurde das Risiko eines
Personalausfalls für den Geschäftsprozess „Fertigung“ daher nur als
„mittel“ bewertet.

4.2.3 Szenarien bilden

Es ist sinnvoll, die verschiedenen Risiken in Szenarien zu gruppieren und zu
untersuchen, welche Folgen jeweils ein Szenario für einen Prozess haben kann.
Bei der RECPLAST GmbH wurden die Prozesse „IT-Wartung“ und „Server-
Betrieb“ als kritisch bewertet. Diese Prozesse stützen sich im Wesentlichen auf
das Knowhow der zuständigen Mitarbeiter sowie die zu Wartungszwecken einge-
setzten IT-Systeme und Kommunikationsnetze. In der Beschreibung von Notfall-
szenarien wurde daher versucht, die Folgen eines Ausfalls der erforderlichen IT-
Systeme zu beschreiben. Dieser könnte beispielsweise durch Stromausfälle, Hoch-
wasser, Brände in Serverräumen, fehlerhafte Softwaresysteme oder Attacken aus
dem Internet verursacht worden sein. In einem weiteren Szenario wurden die Fol-
gen eines gravierenden Ausfalls der Knowhow-Träger, zum Beispiel aufgrund
einer Pandemie oder eines Streiks, analysiert.

22 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

4.2.4 Risikostrategien wählen

Zur Behandlung der Risiken sind grundsätzlich die folgenden Strategien denkbar:
• Risikoübernahme
Wenn der mögliche Schaden oder die Wahrscheinlichkeit, dass es zu einem
solchen kommt, lediglich gering sind, können Risiken akzeptiert werden.
Gleiches gilt, wenn für eine Gefährdung keine hinreichend wirksamen oder
wirtschaftlich vertretbaren Gegenmaßnahmen bekannt sind. Zu den
Risiken, die von der RECPLAST GmbH übernommen wurden, zählt die
Erdbebengefahr. Im Rheinland sind Erdbeben keine Seltenheit. Diese
verursachten in den letzten Jahrhunderten jedoch nur vergleichsweise
geringe Schäden. Bei der RECPLAST GmbH wurde daher keine
Notwendigkeit gesehen, durch Neubauten die Erdbebensicherheit der
Firmengebäude zu erhöhen.
• Risikotransfer
Beim Transfer von Risiken wird der mögliche Schaden an einen Dritten
verlagert. Viele finanzielle Risiken lassen sich beispielsweise durch den
Abschluss einer Versicherung abfedern. Die Delegation risikobehaftete
Aufgaben an einen externen Dienstleister verlagert ebenfalls das finanzielle
Risiko, ohne allerdings eine Institution von der Gesamtverantwortung für
seine Sicherheit und seine Notfallvorsorge zu entbinden. Ein Brand der
Produktionshallen gehört zu den größtmöglichen Katastrophen für die
RECPLAST GmbH. Die theoretische Möglichkeit, durch einen zweiten
Produktionsstandort für mehr Ausfallsicherheit zu sorgen, ist für das
Unternehmen betriebswirtschaftlich unsinnig. Neben der strikten
Beachtung des vorbeugenden Brandschutzes (Risikovermeidung) wurde
daher eine ausreichend dimensionierte und sowohl die Sachwerte als auch
Ertragsausfälle umfassende Industrieversicherung abgeschlossen, um auf
das Brandrisiko zu reagieren. Das Risiko wurde also im Wesentlichen
transferiert.
• Risikovermeidung
Der Geschäftsprozess wird so verändert, dass eine Gefährdung
ausgeschlossen ist. Hierfür können dessen Abläufe und
Rahmenbedingungen verändert werden. Wenn dies nicht sinnvoll möglich
ist, kann ein Geschäftsprozess auch ganz eingestellt werden. In der Leitlinie
zum Notfallmanagement hatte die RECPLAST GmbH den Grundsatz
formuliert, dass Aktivitäten, die mit einem untragbaren Risiko verbunden
wären, von dem Unternehmen nicht weiter verfolgt werden. Daher
untersagte sich das Unternehmen alle Herstellungsverfahren, die im Falle
eines Unglücks zu gravierenden Umwelt- oder Personenschäden in der
Umgebung des Firmengeländes führen könnten. Nach Möglichkeit sollten
keine hochgiftigen oder hochgradig explosiven Gefahrstoffe gelagert oder
verarbeitet werden.
• Risikoreduktion
Dies bedeutet, durch zusätzliche Schutzvorkehrungen oder Änderungen an

Notfallmanagement bei der RECPLAST GmbH 23

4 Notfallvorsorge-Konzeption

den Verfahrensabläufen die Wahrscheinlichkeit eines Schadens oder dessen

Auswirkungen zu verringern. In der Praxis dürfte dies die am häufigsten
gewählte Risikostrategie sein. Aufgrund ihrer beiden, in hinreichend großer
Entfernung voneinander angesiedelten Standorte, entschied sich die
RECPLAST GmbH dafür, die Ausfallsicherheit ihrer Informationstechnik
durch den Aufbau zusätzlicher Redundanzen zu erhöhen. Für wichtige
Arbeitsplätze in den Verwaltungsabteilungen des Unternehmens wurde
diskutiert, ob Voraussetzungen für Telearbeitsplätze geschaffen werden
sollten.

4.2.5 Dokumentation der Risikoanalyse

Bei der RECPLAST GmbH entschied sich der Notfallbeauftragte dafür, die
Dokumentation der Risikoanalyse anhand der Geschäftsprozesse zu gliedern, deren
Gefährdungen jeweils untersucht wurden. Anstelle einzelner Risiken wurden
Risikogruppen dargestellt. Die folgende Tabelle zeigt Ausschnitte aus diesem
Ergebnisdokument für die Geschäftsprozesse „IT-Wartung“, „Server-Betrieb“ und
„Fertigung Endprodukte“.

Risikogruppe (-szenario) Risiko-Bewertung Gewählte Strategie

(Erläuterung) (Alternativen)

Geschäftsprozess: IT-Wartung

Personalausfall sehr hoch Risikoreduktion

(Knowhow auf wenige (Risikoakzeptanz)
Personen konzentriert)

Verlust von Räumlichkeiten hoch Risikoreduktion

(z. B. durch Brand) (geringe Wahrscheinlichkeit, (Risikoakzeptanz)
aber große Auswirkungen)

usw. usw. usw.

Geschäftsprozess: Fertigung Endprodukte

Personalausfall mittel Risikoakzeptanz

(mittlere Personalausfälle (ggf. auch Risikoreduktion)
können verkraftet werden)

Zerstörung des sehr hoch Risikotransfer

Produktionsgebäudes (mittlere Wahrscheinlichkeit, (Risikoreduktion kann überlegt
aber sehr hohe Auswirkungen) werden)

Erdbeben gering Risikoakzeptanz

usw. usw. usw.

Geschäftsprozess: Server-Betrieb

Verlust wichtiger Hardware mittel Risikoreduktion

(Ersatzsysteme können schnell (Risikoakzeptanz)
beschafft werden)

24 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Risikogruppe (-szenario) Risiko-Bewertung Gewählte Strategie

(Erläuterung) (Alternativen)

Verlust des Serverraums hoch Risikoreduktion

(z. B. durch Brand) (geringe Wahrscheinlichkeit, (ggf. auch Risikotransfer oder
aber große Auswirkungen) Risikoakzeptanz)

Hacker mittel Risikoreduktion

(die Bewertung berücksichtigt (Risikoakzeptanz)
bereits vorgenommene
Absicherungen, ohne die das
Risiko sehr hoch wäre)

usw. usw. usw.

Tabelle 9: Dokumentation der Risikoanalyse bei der RECPLAST GmbH

4.3 Kontinuitätsstrategien
Im nächsten Schritt bei der Notfallvorsorge-Konzeption geht es darum, Strategien
zur Absicherung der als kritisch identifizierten Prozesse zu entwickeln. Kosten
und Nutzen der einzelnen Strategieoptionen sind anschließend zu bewerten, um
besser entscheiden zu können, welche der Optionen umgesetzt werden sollte.

4.3.1 Optionen entwickeln

Im Rahmen der Business Impact Analyse wurden bei der RECPLAST GmbH
unter anderem die Prozesse „Fertigung Endprodukte“ und „IT-Wartung“
analysiert. Die folgende Tabelle beschreibt mögliche Lösungen für Absicherung
dieser Prozesse im Notfall.

Strategieoption Prozess „Fertigung Endprodukte“ Prozess „IT-Wartung“

Minimallösung Lagerbestände werden erhöht, um Maschinentechniker erhalten

auch im Fall der Einstellung oder einen Kurs in IT-Wartung, um im
Reduzierung der Produktion Liefer- Notfall einige Arbeiten
verpflichtungen nachkommen zu durchführen zu können.
können. Zusätzlich wird eine Pro-
duktionsausfallversicherung abge-
schlossen.

Kleine Lösung Einzelne Elemente der Fertigungs-
straße werden redundant ausgelegt,
Personal aus dem Verwaltungsbe-
reich wird geschult, um im Notfall in
der Produktion tätig zu werden.
Für die IT-Wartung werden
häusliche Arbeitsplätze mit
VPN-Zugängen in das
Unternehmensnetz eingerichtet.
Technische Systeme sind
redundant vorhanden.

Notfallmanagement bei der RECPLAST GmbH 25

4 Notfallvorsorge-Konzeption

Strategieoption Prozess „Fertigung Endprodukte“ Prozess „IT-Wartung“

Mittlere Lösung Ein Vertrag mit einem externen
Dienstleistungsunternehmen wird
geschlossen, von dem im Notfall
Produkte zugekauft werden.
Ein Rahmenvertrag bindet ein ex-
ternes Unternehmen zur Wartung
der IT-Systeme an die
RECPLAST GmbH. Dieses
Unternehmen übernimmt im
Notfall die IT-Wartung.

Große Lösung Ein zweiter Produktionsstandort wird Es existieren zwei vollständige

aufgebaut, der die Produktion Teams für die Wartung der IT-
übernehmen kann. Dieser zweite Systeme.
Standort kann auch genutzt werden,
um die Produktion auszuweiten und
Nachfragespitzen zu befriedigen.
Tabelle 10: Kontinuitätsstrategien für zwei Beispielprozesse bei der RECPLAST
GmbH

4.3.2 Kosten und Nutzen analysieren

In einer Kosten-Nutzen-Analyse werden die möglichen Handlungsoptionen den
Anforderungen gegenübergestellt, die in der Business Impact Analyse ermittelt
wurden. Dabei sind die Schadenszenarien und die daraus abgeleiteten Wieder-
anlaufparameter wichtige Kenngrößen. Zielsetzung ist es, wirtschaftlich vertret-
bare Lösungen für die Erfüllung der Wiederanlaufziele zu finden. Dafür wird in
einem ersten Schritt der Nutzen einer Notfall-Lösung beschrieben. Dies sind unter
anderem die vermiedenen Schäden, die in der Business Impact Analyse
spezifiziert werden. Diesem Nutzen werden die Kosten der verschiedenen Notfall-
Lösungen gegenübergestellt. Die Darstellung wird so aufbereitet, dass sie als
Grundlage einer Entscheidung dienen kann.

Beispiel 1: Prozess „Fertigung Endprodukte“

Tabelle 11 zeigt die möglichen Kosten für die Handlungsalternativen zur Ab-
sicherung des Prozesses „Fertigung Endprodukte“. Die Verantwortlichen der
RECPLAST GmbH wägen ab, ob ein zweiter Produktionsstandort aufgebaut wer-
den sollte. Dies würde für den kritischen Prozess „Fertigung Endprodukte“ eine
risikoarme Notfallstrategie bedeuten. Wegen der hohen Kosten wurde jedoch da-
von zunächst abgesehen. Es wurde beschlossen, diese Option jedoch langfristig
im Auge zu behalten und entsprechende Rücklagen zu bilden, da ein zweiter Pro-
duktionsstandort zum einen die Chance bietet, sehr flexibel auf Erhöhungen der
Nachfrage reagieren zu können, zum zweiten die Ausweitung der Produktion auch
neue Produkte und höhere Umsätze ermöglichen kann. Vorläufig entschied sich
die Firma daher für die Minimallösung zur Absicherung der Fertigung der
Endprodukte, sprich eine Lösung über eine Produktionsausfallversicherung zu
wählen. Die gegenüber den Strategien S2 und S3 erzielte Kostenersparnis sollte
zumindest teilweise in entsprechende Rücklagen einfließen. Die Entscheidung für
eine Minimallösung entsprach im Übrigen auch dem in der Leitlinie zum Notfall-

26 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

management des Unternehmens festgelegten Grundsatz zur Wahl wirtschaftlicher,

an den begrenzten Möglichkeiten des Unternehmens orientierter Notfallstrategien.

Strategieoption Wieder- Kosten Schaden bis Anmerkungen

anlaufzeit in Euro zum
Wieder-
anlauf

S1 : zweiter < 2 Tage 8 Mio. gering Sehr hohe Zuverlässigkeit,

Produktionsstandort Nutzen geht über die Not-
(Große Lösung) fallabsicherung hinaus und
ermöglicht auch Produkti-
onsausweitung.

S2 : Externer Dienstleister 4 Tage 700.000 mittel Verfügbare Produktions-

als Produktlieferant für kapazitäten des Lieferan-
den Notfall ten müssen ausreichen.
(Mittlere Lösung) Eventuell vertraglich eine
Vorranglieferung verein-
baren. Hier wären die
Kosten höhe.

S3 : Teilweise 7 Tage 500.000 mittel Mittlere Zuverlässigkeit,

Redundanzen in der (bei Ausfall Produktionsniveau kann
Fertigungsstraße von Teil- nicht stabil gehalten wer-
(Kleine Lösung) funktionen), den.
6 Monate
(bei zerstör-
ter Halle)

S4 : Lagerhaltung für 14 Tage 50.000 pro hoch hohe Restrisiken

Endprodukte erhöhen und (bei Ausfall Jahr
Produktionsausfall- von Teil- (erhöhte La-
versicherung funktionen), gerhaltung),
(Minimallösung) 6 Monate 5.000
(bei zerstör- (monatliche
ter Halle) Prämie für
Versiche-
rung)
Tabelle 11: Strategieoptionen für den Geschäftsprozess „Fertigung Endprodukte“
(Maximal tolerierbare Ausfallzeit: 1 Woche)

Beispiel 2: Prozess „Server-Betrieb“

Bei der Unternehmens-IT sahen Geschäftsführung und Notfallbeauftragter
hingegen aufgrund der vorhandenen beiden Standorte vergleichsweise einfach
umzusetzende Möglichkeiten für eine bessere Absicherung, zum Beispiel durch
die redundante Bereitstellung wichtiger Server. Der Leiter der IT-Abteilung
wurde daher beauftragt, entsprechende Konzepte zur Absicherung der Prozesse
„IT-Wartung“ und „Server-Betrieb“ zu entwickeln.
Für den Prozess „Server-Betrieb“ bedeutete dies beispielsweise, alle wichtigen
Server an beiden Standorten vorrätig zu halten, so dass bei Ausfall eines Standorts
der jeweils andere die erforderlichen IT-Leistungen bereitstellen kann. Für eine
solche Lösung wurden drei Varianten überlegt:

Notfallmanagement bei der RECPLAST GmbH 27

4 Notfallvorsorge-Konzeption

• „Cold Standby“, die billigste Lösung: Die erforderliche Hardware und

Software muss am zweiten Standort noch beschafft und in Betrieb
genommen werden. Der dafür erforderliche zeitliche Aufwand wurde auf
zwei Wochen geschätzt.
• „Warm Standby“, die mittlere Lösung: Die Hardware ist am zweiten
Standort bereits vorhanden, ebenso alle Software, deren Installation einen
höheren Aufwand erfordert. Im Notfall müssen lediglich einfach zu
installierende Software sowie Datenbestände eingespielt werden. Der
zeitliche Aufwand für diese Lösung wurde mit zwei Tagen kalkuliert.
• „Hot Standby“, die teuerste, aber im Notfall auch schnellste Lösung: Alle
Server werden parallel betrieben, so dass im Notfall binnen weniger
Stunden der Normalbetrieb der Server wiederhergestellt werden kann.
Die Zuständigen der RECPLAST GmbH entschieden sich für die zweite Lösung
(„Warm Standby“), da diese – anders als ein „Cold Standby“ – den Wiederanlauf-
zielen der Prozesse genügt, gleichzeitig aber auch kostengünstiger ist als ein
„Warm Standby“. Es entstehen zwar Kosten für Hardware und Softwarelizenzen,
aber weitaus geringere Personalaufwände als bei der großen Lösung.

4.4 Konzept erarbeiten und umsetzen

Maßnahme Personalaufwand Sachkosten

einmalig wiederkehrend einmalig wiederkehrend

Beschaffung, 3 PT 0,5 PT/Monat 8.000 Euro 200 Euro/Jahr

Installation und (einschließlich (Reparaturen)
Wartung von Funktionstests)
Hardware für
zusätzliche Server
in Bad Godesberg
und Beuel

Beschaffung, 2 PT 0,5 PT/Monat 2.000 Euro 300 Euro/Jahr

Installation und (einschließlich (Aktualisierung
Wartung der Funktionstests) der Lizenzen)
wichtigsten
Software

Anpassung des 5 PT 0,5 PT/Monat 6.000 Euro 500 Euro/Jahr

Serverraums in (höhere Kosten
Bonn-Beuel an für Strom)
die zusätzlichen
IT-Systeme
(USV, bessere
Klimatisierung
usw.)

Summe 10 PT 1,5 PT/Monat 16.000 Euro 1.000 Euro

Tabelle 12: Kostenaufstellung zu Vorsorgemaßnamen der RECPLAST GmbH
(PT = Personentage)

28 Notfallmanagement bei der RECPLAST GmbH

 4 Notfallvorsorge-Konzeption

Bei der Umsetzungsplanung gilt es, die Maßnahmen zu präzisieren, die aus der
Entscheidung für eine Kontinuitätsstrategie folgen. Dazu gehört, die Kosten der
Maßnahmen genauer zu bestimmen, insbesondere auch, um die Vereinbarkeit der
Maßnahmen mit dem festgelegten Budget zu prüfen. Wie vorstehend beschrieben,
wurde bei der Notfallvorsorge-Konzeption für die RECPLAST GmbH beispiels-
weise unter anderem beschlossen, den Betrieb der wichtigen Server des Unter-
nehmens durch die redundante Vorhaltung der erforderlichen Hard- und Software
an beiden Standorten abzusichern. Aus dieser Entscheidung resultierten die in
Tabelle 12 dargestellten (und mit dem bewilligten Budget realisierbaren) Kosten
und Personalaufwände.

5 Notfälle bewältigen
Zur Notfallvorsorge dienen sowohl präventive Maßnahmen, um Notfälle und
Krisen möglichst zu verhindern, als auch Pläne und Vorkehrungen, um
handlungsfähig zu sein und den Schaden möglichst gering zu halten, sollte es
trotzdem zu einer solchen Ausnahmesituation kommen. Ersteres ist in
Notfallvorsorgekonzepten, letzteres in Notfallplänen beschrieben.
Ein Notfallplan enthält alle zur Behandlung von Krisen und Notfällen wichtigen
Angaben. Dazu zählen:
• Sofortmaßnahmen zur unmittelbaren Abwehr von Gefahren,
• Aufgabenbeschreibungen für bestimmte Situationen und Personen,
• Zuständigkeiten und Festlegungen für das Krisenmanagement
(Rollen, Meldewege, Treffpunkte, Regelungen zur Arbeit in Krisenstäben),
• Regelungen zur Öffentlichkeitsarbeit im Krisenfall,
• Detaillierte Beschreibungen zur Wiederherstellung von Ressourcen und zur
Wiederaufnahme und Fortführung des Geschäftsbetriebs, sowie
• Angaben dazu, wie Personen und Institutionen, die zur Bewältigung des
Notfalls beitragen, erreicht werden können.
Der Notfallplan der RECPLAST GmbH beschreibt:
• Das Krisenmanagement
Bei der RECPLAST GmbH wurde beschlossen, sowohl am Verwaltungssitz in
Bad Godesberg als auch am Produktionsstandort in Bonn-Beuel jeweils einen
der vorhandenen Besprechungsräume für einen gegebenenfalls erforderlichen
Krisenstab zu wählen und diese Entscheidung im Notfallplan zu dokumentie-
ren. Beide Räume sind mit Telefonen für das Festnetz ausgestattet und haben
obendrein Anschluss an das Internet. Ein weitergehender Ausstattungsbedarf
wurde nicht gesehen. Als potenzielle Mitglieder des Krisenstabs wurde die
Geschäftsführung, der Notfallbeauftragte und der Leiter der Abteilung „Haus

Notfallmanagement bei der RECPLAST GmbH 29

5 Notfälle bewältigen

und Gebäudetechnik“ vorgesehen. Abhängig von der Art des Notfalls sollten
weitere Mitarbeiter hinzugezogen werden, beispielsweise
 bei einem Ausfall der Fertigung der Leiter der Produktionsabteilung,
 bei einem Ausfall der Informationstechnik der Leiter der IT-
Abteilung oder
 bei Notfallsituationen, in denen es wichtig ist, Externe zu
informieren, der für die Öffentlichkeitsarbeit des Unternehmens
zuständige Leiter der Abteilung Marketing und Vertrieb.
• Die Krisenkommunikation
Bei der RECPLAST GmbH ist der Leiter der Abteilung Marketing und
Vertrieb auch für die Unternehmenskommunikation verantwortlich. Daher
wurde ihm auch die Zuständigkeit für die Krisenkommunikation
übertragen. Als vorbereitende Maßnahme wurde beschlossen, eine
Übersicht über die relevanten externen Kommunikationspartner und deren
Kontaktdaten in das Notfallhandbuch des Unternehmens aufzunehmen,
sowie Regeln zu formulieren, wann diese jeweils zu informieren seien. In
technischer Hinsicht sieht sich die Firma durch die Vielzahl an
vorhandenen Kommunikationsmitteln (Festnetz, Mobilfunk, Internet) gut
vorbereitet, da auch bei Ausfall eines Mediums Ausweichmöglichkeiten für
die Krisenkommunikation gegeben sind.
• Die Wiederherstellung von Ressourcen und Wiederanlauf des
Geschäftsbetriebs
In übersichtlicher Form wurde zusammengestellt, mit welchen Schritten
auf einen Ausfall wichtiger Ressourcen und Prozesse zu reagieren ist. So
wurde beispielsweise die Inbetriebnahme des Ersatz-Serverraums detailliert
beschrieben. Diese Beschreibungen wurden um Verweise zu
gegebenenfalls weiteren benötigten Dokumenten ergänzt.
Alle für die Behandlung des Notfalls erforderlichen Informationen werden sowohl
in Papierform, als auch elektronisch vorgehalten. Durch hinreichende Zugriffs-
schutzmechanismen wurde dafür gesorgt, dass nur Berechtigten auf die Informa-
tionen zugreifen können.

6 Testen und üben

Die Notfallpläne und die präventiven Maßnahmen gegen Notfälle sind auf ihre
Funktionsfähigkeit hin zu testen. Gleichzeitig ist es wichtig, dass die betroffenen
Personen ausreichend im Umgang mit den vorgesehenen Verfahren eingeübt wer-
den. Die RECPLAST GmbH hat sich daher dazu entschieden, jeden Monat mit
einem Funktionstest zu überprüfen, ob die redundant ausgelegt Server so wie
geplant arbeiten, wenn die Produktionsserver ausfallen. Die Notfallmaßnahmen
für die IT-Wartung werden einmal im Jahr durch eine Vollübung getestet. Hier

30 Notfallmanagement bei der RECPLAST GmbH

 6 Testen und üben

erhalten die Mitarbeiter kurzfristig die Anweisung, vom häuslichen Arbeitsplatz

aus ihre Arbeiten durchzuführen.
Diese Maßnahmen wurden in einem Übungsplan beschrieben. Sowohl für den
Funktionstest als auch die Vollübung existieren ein Konzept und ein Drehbuch.
Bei der RECPLAST GmbH übernimmt der IT-Leiter die Koordination der Server-
tests, entsprechend der von den IT-Organisatoren entwickelten Konzepte. Der
Notfallbeauftragte des Unternehmens ist der Übungsleiter für die jährlich stattfin-
dende Übung der IT-Wartung. Er wird unterstützt durch die Brandschutz- und die
Ersthelfer, dem Team assistiert der Assistent des Geschäftsführung als Protokol-
lant und Beobachter.

7 Notfallmanagement verbessern
Die Geschäftsprozesse eines Unternehmens unterliegen ebenso einem Wandel wie
das äußere Umfeld, in dem es tätig ist. Die zur Notfallvorsorge getroffenen Vor-
kehrungen sind daher regelmäßig auf ihre Aktualität und Angemessenheit zu
überprüfen. Um festzustellen, ob die vorhandenen Maßnahmen und Regelungen
noch zu den Geschäftsprozessen, den von ihnen genutzten Ressourcen und
infrastrukturellen Rahmenbedingungen sowie der Gefährdungslage passen, wurde
daher bei der RECPLAST GmbH entschieden:
• alle zwei Jahre einen externen Auditor mit der Überprüfung des
Notfallmanagements zu beauftragen und
• in den Zwischenjahren durch den Notfallbeauftragten Selbstbewertungen
zur Einschätzung des Niveaus des Notfallmanagement-Prozesses
vornehmen zu lassen, um Mängel und Verbesserungsmöglichkeiten zu
identifizieren.
In halbjährlichen Berichten sollte der Notfallbeauftragte darüber hinaus der
Geschäftsführung einen Statusbericht zum Notfallmanagement des Unternehmens
vorlegen.

Notfallmanagement bei der RECPLAST GmbH 31