BCM-Handbuch

Ein zentrales Erfolgskriterium für wirkungsvolles Business Continuity Management ist eine klar definierte BCM-Organisation mit zugewiesenen Rollen, Verantwortlichkeiten und Kompetenzen.

Die Geschäftsleitung des Unternehmens trägt die oberste Verantwortung dafür, dass angemessene Vorkehrungen zur Aufrechterhaltung des Betriebs getroffen werden. Sie hat eine BCM-Policy verabschiedet, in der Umfang, Ziele und Grundsätze des Business Continuity Management festgelegt sind (z.B. maximale tolerierte Ausfallzeiten, Priorisierung von Schutzgütern). Zudem stellt die Geschäftsführung die nötigen Ressourcen (Personal, Budget, Zeit) für Planung, Umsetzung und Verbesserung des BCMS bereit. Ein Mitglied der Geschäftsleitung (z.B. COO oder technischer Geschäftsführer) fungiert als oberster BCM-Verantwortlicher und Sponsor, der intern wie extern als Ansprechpartner für die Kontinuitätsthemen dient. Dieses Engagement des Top-Managements entspricht den Anforderungen der ISO 22301 an Führung und Verpflichtung sowie den Vorgaben aus NIS2 bezüglich Governance für BCM.

Zur operativen Steuerung wurde die Rolle des Business Continuity Managers (BCM-Manager) geschaffen. Der BCM-Manager koordiniert das gesamte BCMS und berichtet direkt an die Geschäftsführung.

• Entwicklung und Pflege des BCM-Handbuchs einschließlich aller Pläne, Richtlinien und Dokumentationen.

• Koordination der Risikoanalyse und Business Impact Analyse in Zusammenarbeit mit Fachbereichen.

• Initiierung von BCM-Maßnahmen (strategische und operative) sowie Überwachung deren Umsetzung.

• Organisation von Schulungen und Übungen im Bereich Notfall-/Krisenmanagement.

• Moderation des Krisenstabs im Ereignisfall (siehe unten) bzw. Unterstützung des Krisenstabsleiters.

• Audit- und Compliance-Management: Vorbereitung auf Audits (BSI, Kunden, Zertifizierung) und Sicherstellung der Erfüllung der Normanforderungen.

• Kontinuierliche Verbesserung: Sammeln von Lessons Learned nach Vorfällen und Übungen und Aktualisierung der BCM-Dokumentation.

Der BCM-Manager besitzt die nötige fachliche Autorität und wird von der Unternehmensleitung mit entsprechenden Durchgriffsrechten ausgestattet, um im Krisenfall erforderliche Maßnahmen anordnen zu können. Vertretungsregelungen sind definiert (benannter Stellvertreter).

• Einsatzteams vor Ort (Notfallteams): An jedem Standort bzw. für jede Betriebsstätte existieren lokale Notfallteams, die aus Fachkräften der jeweiligen Bereiche bestehen (z.B. Facility-Management/Haustechnik, Sicherheitsbeauftragter, Ersthelfer, IT-Administrator). Diese Teams werden unmittelbar aktiv, wenn eine Störung oder Gefahrensituation auftritt – sie führen erste Sicherungsmaßnahmen durch, alarmieren weitere Stellen nach Vorgabe und versuchen, Schäden einzugrenzen. Beispiele: Das Gebäudetechnik-Team schaltet bei einem Wassereinbruch die Wasserzufuhr ab und aktiviert Pumpen; das IT-Team trennt bei Cyberangriffen betroffene Systeme vom Netz. Jedes Team hat einen Teamleiter (z.B. Leiter Gebäudetechnik, IT-Leiter vor Ort), der die Lage initial beurteilt und Entscheidungen im Rahmen von definierten Notfallplänen trifft. Diese First-Responder-Teams folgen den im Handbuch beschriebenen Ablaufschemata für technische Störungen bzw. Notfälle und stehen in engem Kontakt mit der zentralen Leitstelle (siehe unten).

• Zentrale Leitstelle / Service Desk: Für die Koordination der Meldungen und Maßnahmen existiert eine zentrale Leitstelle. Während der Geschäftszeiten übernimmt diese Funktion der Service Desk bzw. eine definierte Stabsstelle (z.B. Sicherheitszentrale oder Instandhaltungs-Leitstand). Außerhalb der Kernzeiten wird die Erreichbarkeit durch Rufbereitschaften sichergestellt. Die Leitstelle nimmt Störungsmeldungen aus allen Bereichen entgegen – sei es automatisch (z.B. Brandmeldeanlage, Gebäudeleittechnik) oder manuell (Mitarbeiter melden Vorfälle) – und alarmiert gemäß Eskalationsplänen die zuständigen Notfallteams oder Fachdienste. Beispielsweise wurde festgelegt, dass bei IT-Störungen der IT-Leitstand bzw. Service Desk als Single Point of Contact (SPoC) fungiert und umgehend die IT-Bereitschaft sowie ggf. die Gebäudetechnik informiert, während bei Gebäudetechnik-Störungen (Strom, Klima etc.) die Sicherheitszentrale den Bereitschaftsdienst der Haustechnik alarmiert. Die Leitstelle hält zudem ständig aktualisierte Kontaktlisten bereit (sowohl intern Verantwortliche als auch externe Servicefirmen).

• Krisenstab: Überschreitet ein Vorfall die lokale Ebene oder drohen gravierende Auswirkungen auf das Unternehmen, wird der Krisenstab einberufen. Der Krisenstab setzt sich aus Mitgliedern der Geschäftsleitung und leitenden Mitarbeitern zentraler Bereiche zusammen: typischerweise Geschäftsführungsmitglied (als Krisenstab-Leiter), BCM-Manager, Leiter Produktion, Leiter IT, Leiter Gebäudetechnik, Leiter Personal/Kommunikation, Jurist/Compliance-Beauftragter und weitere je nach Lage (z.B. Arbeitssicherheit, PR/Kommunikation). Der Krisenstab übernimmt die strategische Gesamtsteuerung in einer Krise: Er beurteilt die Lage, entscheidet über wichtige Maßnahmen (z.B. Betriebsunterbrechung, evtl. Werksschließung, Pressekommuniqué), priorisiert knappe Ressourcen und koordiniert externe Schnittstellen. Sobald der Krisenstab aktiv ist, arbeiten die operativen Notfallteams weiter in ihren Bereichen, berichten an den Krisenstab und setzen dessen Weisungen um. Die Übergabekriterien sind im Vorfeld definiert: Szenarien, die Leib und Leben gefährden oder bereits zu Personenschäden geführt haben, führen immer zur sofortigen Alarmierung des Krisenstabes. Ebenso werden Vorfälle, deren erwartete Wiederherstellungsdauer eine bestimmte Zeit überschreitet, an den Krisenstab eskaliert. Im Gebäudetechnik-Betriebshandbuch ist hierzu ein Prioritätenschema festgelegt, das wir sinngemäß übernehmen (siehe untenstehende Tabelle). Kurz gesagt: Kurze Unterbrechungen gelten als Störung und werden vom Fachteam gelöst; längere Ausfälle werden zum Notfall bzw. zur Krise erklärt, bei der der Krisenstab informiert oder übergibt wird.

Bei Personengefährdung ist die Priorität immer automatisch 1 (höchste) und es erfolgt sofortige Übernahme durch den Krisenstab ohne Ermessensspielraum. Dieses Schema dient als Orientierung – im Ernstfall kann der Notfallmanager vor Ort in Absprache mit dem Krisenbeauftragten die Priorität der Lage anpassen. Wichtig ist, dass Kriterien für die Alarmierung des Krisenstabs klar definiert und allen bekannt sind.

Die genannten Strukturen und Rollen stellen sicher, dass vom ersten Störsignal bis zur höchsten Eskalationsstufe stets klar ist, wer zuständig ist und was zu tun ist. Das Zusammenspiel von dezentralen Einsatzteams und zentralem Krisenstab erlaubt es, flexibel auf Vorfälle zu reagieren: lokale Teams sorgen für technische erste Hilfe, während der Krisenstab bei Bedarf die gesamtheitliche Unternehmenssicht einnimmt und strategische Entscheidungen trifft.

• Die Produktion/Fertigung identifiziert kritische Produktionsanlagen und Prozessschritte, schult Schichtleiter in Notfallverfahren (z.B. sicheres Herunterfahren von Anlagen bei Stromausfall, Not-Aus Prozeduren) und hält Notfall-Kits bereit (z.B. Ersatzteile, Werkzeug). In enger Kooperation mit der Instandhaltung sorgt sie für präventive Wartung aller produktionskritischen Maschinen. Zudem wirkt sie an BIA und Strategieentwicklung mit, um alternative Fertigungsmöglichkeiten oder Pufferlager für Zwischenprodukte zu etablieren.

• Der Bereich Gebäudetechnik/Facility Management nimmt eine Schlüsselrolle ein bei der Versorgungssicherheit (Strom, Klima, Wasser, Druckluft etc.) und der Infrastruktur-Wiederherstellung im Notfall. Das Unternehmen trägt als Betreiber seiner Gebäude und technischen Anlagen spezifische Betreiberverantwortung, d.h. es muss dafür sorgen, dass diese Anlagen den gesetzlichen Vorgaben entsprechen, regelmäßig geprüft werden und im Ernstfall sicher betrieben oder abgeschaltet werden können. Die Haustechnik-Abteilung hat hierfür ein eigenes Betriebshandbuch mit detaillierten technischen Informationen, Wartungsplänen und Störfallprozeduren. Sie verantwortet im Alltag die Instandhaltung aller gebäudetechnischen Einrichtungen, orientiert an DIN 31051 und internen Standards. Alle technischen Anlagen wurden einer Kritikalitätsbewertung (ABC-Analyse) unterzogen: Sehr wichtige Anlagen, deren Ausfall ein großes Risiko darstellt (z.B. Transformatoren, Rechenzentrumsklimatisierung), werden präventiv in kurzen Intervallen gewartet (zeitbasiert). Weniger wichtige Anlagen erhalten zustandsbasierte Wartung (nach Bedarf), alle übrigen nach Ausfall (reaktiv). Dieses abgestufte Instandhaltungsmanagement senkt die Ausfallwahrscheinlichkeit kritischer Infrastruktur deutlich. Im Ereignisfall stellt die Gebäudetechnik die erste Eingreiftruppe für Versorgungsstörungen: Sie behebt einfache Störungen sofort selbst (z.B. Umschalten auf redundante Pumpe bei Pumpenausfall) und alarmiert bei größeren Problemen externe Fachfirmen gemäß hinterlegter Notrufprozeduren (z.B. Siemens für Gebäudeleittechnik-Störungen, Spezialfirma für Kälteanlagen). Zudem hält sie stets Kontakt zur zentralen Leitstelle und gibt Rückmeldungen über Status und Ursachen an den IT-Leitstand bzw. Krisenstab. Die Betreiberverantwortung umfasst auch die Einhaltung aller Sicherheitsvorschriften: So werden Flucht- und Rettungswege, Feuerlöscheinrichtungen, Alarm- und Gefahrenmeldeanlagen etc. regelmäßig geprüft, und die Gebäudetechnik führt die vorgeschriebenen Unterweisungen und Dokumentationen (z.B. Prüfprotokolle, Wartungsnachweise) entsprechend den gesetzlichen Vorgaben. Im Notfall stellt sie sicher, dass technische Maßnahmen (z.B. Abschaltung von Anlagen, Aktivierung von Ersatzsystemen) in enger Abstimmung mit dem Krisenstab erfolgen.

• Die IT-Abteilung (inklusive OT, Operational Technology, falls im Produktionsumfeld relevant) ist verantwortlich für die IT-Notfallvorsorge und den Wiederanlauf der IT-Systeme. Sie unterhält ein IT-Service Continuity Management (ITSCM), das mit dem BCMS verzahnt ist. Konkret hat die IT sicherzustellen, dass von allen kritischen Anwendungen und Daten regelmäßige Backups existieren (ausgelagert an sicheren Orten), dass Ersatzhardware oder Cloud-Ressourcen bereitstehen, um im Notfall ausweichen zu können, und dass Cyber-Angriffsszenarien berücksichtigt werden. Im Ereignisfall betreibt die IT ein eigenes IT-Notfallteam (ähnlich dem CERT – Computer Emergency Response Team), das z.B. bei einem größeren Systemausfall oder Hackerangriff Sofortmaßnahmen einleitet (Notabschaltung, Incident Response gemäß Notfallhandbuch) und mit dem Unternehmens-Krisenstab koordiniert. Die IT stellt ebenfalls das Kommunikationsmittel bereit, z.B. Notfall-E-Mail-Verteiler, Krisentelefonkonferenzen, und sie verantwortet die technische Wiederherstellung ausgefallener IT-Services nach Plan.

• Weitere Bereiche wie Arbeitssicherheit, Umweltschutz, Personal/HR und Kommunikation haben jeweils definierte Aufgaben: Arbeitssicherheit unterstützt bei Evakuierungen, Unfallmanagement und Ersthilfe; Umweltschutz beim Umgang mit gefährlichen Stoffen, Entsorgung von Schadstoffen nach einem Unfall etc.; HR bereitet bei Bedarf personelle Notmaßnahmen vor (z.B. Versetzung von Personal, Betreuung von Mitarbeitern in Krisen) und stellt Lohnfortzahlung auch ohne IT sicher; die Kommunikationsabteilung ist federführend für Krisenkommunikation nach innen und außen.

Alle Bereiche zusammen bilden ein vernetztes Gefüge, in dem jeder seine Rolle kennt und die Schnittstellen geklärt sind. Diese Verantwortlichkeitsverteilung ist dokumentiert und im Intranet veröffentlicht, sodass jeder Mitarbeiter weiß, an wen er sich in bestimmten Notlagen wenden muss. Durch jährliche Schulungen und bereichsübergreifende Übungen (z.B. Simulation eines Stromausfalls) wird die Zusammenarbeit eingeübt. So wird aus Einzelmaßnahmen ein schlagkräftiges System, das – wie vom BSI und der ISO 22301 gefordert – die gesamte Organisation einbezieht und alle wichtigen Funktionen abdeckt.

Im nächsten Schritt des Business Continuity Managements erfolgt eine umfassende Risikoanalyse, um die Gefahren zu identifizieren, die die Geschäftsabläufe des Unternehmens bedrohen könnten. Ziel ist es, Verständnis über die Wahrscheinlichkeit und potenziellen Auswirkungen verschiedener Ereignisse zu erlangen und entsprechend priorisiert Vorsorgemaßnahmen zu planen. Diese Risikoanalyse ist integraler Bestandteil des unternehmensweiten Risikomanagements und wird mindestens jährlich oder bei wesentlichen Änderungen (neue Standorte, neue Technologien, veränderte Bedrohungslage) durchgeführt.

Zunächst wurde ein Risk Workshop mit Vertretern aller relevanten Bereiche durchgeführt, um mögliche Gefährdungen zu sammeln.

• Naturkatastrophen und Umwelteinflüsse: z.B. Brand (in Fertigungshallen, Lagern oder Büros), Überschwemmung (etwa durch Starkregen oder Hochwasser, insbesondere wenn Standorte in der Nähe von Gewässern liegen), Sturm und Unwetter (Sturmschäden an Gebäuden, Blitzschlag mit Stromausfall), Extremtemperaturen (Hitze kann Kühlanlagen überlasten, Kälte kann Leitungen einfrieren). Auch Erdbeben (falls relevant im Gebiet) oder Vulkanausbruch (Aschewolken, wenn global relevant) wurden betrachtet. In Zeiten des Klimawandels ist zu erwarten, dass die Häufigkeit extremer Wetterlagen zunimmt – darauf müssen wir vorbereitet sein.

• Technische und betriebliche Risiken: Darunter fallen Stromausfall (lokal am Standort oder großflächig im Versorgungsnetz), Ausfall der Kommunikationsinfrastruktur (Internet- oder Netzwerkstörung), IT-Systemausfall (Server-Crash, Datenbankkorruption, Storage-Ausfall), Cyberangriffe (Malware, Ransomware, Hackerangriff, der Systeme verschlüsselt oder Anlagensteuerungen lahmlegt). Ebenfalls kritisch: Gebäudetechnikausfälle wie Klimaanlagen-Defekt im Rechenzentrum, Ausfall einer Druckluftversorgung in der Produktion, Versagen der Sprinkleranlage oder Brandmeldeanlage. Brände oder Explosionen in Produktionsanlagen (etwa durch technische Defekte, menschliches Fehlverhalten oder Gefahrstoffe) gehören zu den schlimmsten Szenarien. Die Betriebsstörungen können zudem durch externe Versorgungsengpässe entstehen, z.B. Ausfall des öffentlichen Stromnetzes, längere Unterbrechung der Wasserversorgung oder Gasversorgung, oder auch Ausfall von Cloud-Diensten, auf die Teile unserer IT angewiesen sind.

• Lieferketten- und Ressourcenrisiken: Als Spezialmaschinenbauer ist das Unternehmen auf bestimmte Zulieferteile angewiesen (z.B. Spezialkomponenten, Elektronik, Materialien). Risiken sind Lieferantenausfälle (Insolvenz eines Lieferanten, Produktionsstörung dort, politische Krisen oder Handelsbeschränkungen), Logistikprobleme (Streik, Verkehrsstörungen, Zollprobleme) oder Mangel an kritischen Rohstoffen. Auch Preisschocks oder extreme Knappheit (wie z.B. Halbleitermangel) können die Produktion lahmlegen. Entsprechende Abhängigkeiten wurden identifiziert und bewertet.

• Menschliche Risiken: Personalausfall in größerem Umfang, z.B. durch eine Pandemie (hohe Krankenquote), durch gleichzeitige Kündigung/Abwerbung wichtiger Experten oder durch Streik der Belegschaft bzw. Zulieferer. Auch Fehlbedienungen oder Sabotage durch Mitarbeiter zählen zu dieser Kategorie. Der Erfahrungshorizont durch COVID-19 hat gezeigt, dass Pandemie und Quarantäne zum plötzlichen Ausfall signifikanter Teile der Belegschaft führen können – diese Szenarien fließen in unsere Planung mit ein (z.B. Möglichkeiten zum Remote-Arbeiten, Schichtmodelle, Vertretungsregelungen).

• Sicherheitsbedrohungen: Dazu zählen Einbruch, Diebstahl, Vandalismus an Anlagen oder IT, Spionage (Know-how-Abfluss), Bombendrohungen, Terroranschläge oder sonstige Gewalttaten am Standort. Gerade Unternehmen mit hohem technologischen Know-how können Ziel von Spionage oder Sabotage sein. Auch aktivistische Gruppen (z.B. gegen bestimmte Produktionstechnologien) könnten Störungen verursachen.

• Rechtliche und regulatorische Risiken: Ein eher indirektes Risiko ist das Nichteinhalten von gesetzlichen Auflagen. Wird z.B. beim Audit festgestellt, dass die Notfallvorsorge unzureichend ist, könnten Aufsichtsbehörden Maßnahmen oder Auflagen verhängen, die den Betrieb beeinträchtigen. Ebenso könnten Rechtsstreitigkeiten oder Haftungsfälle (z.B. nach einem Unfall) ernste Auswirkungen haben. Diese Aspekte werden im Risk-Assessment ebenfalls mit betrachtet, auch wenn sie nicht „plötzliche“ Ereignisse sind.

Diese Liste ist nicht abschließend; sie wird regelmäßig überarbeitet. Jedem identifizierten Risiko wurde ein Risikoeigner (Risk Owner) aus dem Management zugewiesen, der für die Bewertung und Behandlung dieses Risikos verantwortlich ist.

Nach der Identifikation erfolgte die Bewertung der Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß. Wir verwenden hierzu eine Risikomatrix mit z.B. fünf Stufen (sehr gering bis sehr hoch) für jede Dimension. Das Produkt aus beidem ergibt eine Risikoklasse, die visuell in einer Heatmap dargestellt wird.

• Eintrittswahrscheinlichkeit: Anhand historischer Daten, branchenspezifischer Statistiken und Experteneinschätzungen wurde für jedes Szenario eingeschätzt, wie oft es ungefähr auftreten könnte (pro Jahr oder Jahrzehnt). Beispiel: Kleinerer Serverausfall – eher häufig (mehrmals pro Jahr möglich); Großbrand im Werk – sehr selten (vielleicht alle 50 Jahre oder seltener, aber möglich); Stromausfall – moderat (Netzausfall im Stadtgebiet alle paar Jahre möglich, Kurzunterbrechungen häufiger).

• Schadensausmaß: Hier betrachten wir verschiedene Arten von Schaden: finanziell (Umsatzverlust pro Ausfalltag, Konventionalstrafen, Wiederherstellungskosten), operativ (Produktionsrückstand, Lieferverzug, Qualitätsprobleme), rechtlich (Vertragsstrafen, regulatorische Sanktionen), Reputation (Kundenvertrauen, Medienberichterstattung) und personenbezogen (Verletzungen, psychologische Folgen für Mitarbeiter). Das Worst-Case-Szenario je Risiko bestimmt die Bewertung. Beispiel: Ein Cyberangriff mit Datenabfluss könnte Millionenverluste und Reputationsschäden verursachen; eine Klimaanlagen-Störung im Rechenzentrum kann wenige Stunden toleriert werden, danach drohen Hardware-Schäden und IT-Ausfall mit entsprechend hohen Kosten.

• Risikolevel: Jedes Risiko erhielt eine Risikoklassifizierung (z.B. “akzeptabel”, “beobachten”, “kritisch”, “höchst kritisch”) basierend auf vordefinierten Schwellen in der Risikomatrix. Alles, was oberhalb der Risikotoleranz liegt, benötigt Gegenmaßnahmen. Besonders hohe Risiken wurden unmittelbar adressiert, teils mit sofortigen Maßnahmen noch vor Abschluss aller Analysen (z.B. Anschaffung zusätzlicher Ersatzteile, wenn ein Single Point of Failure ohne Backup identifiziert wurde).

Ergebnis der Risikoanalyse war u.a. eine Liste “Top-10 Risiken” mit entsprechendem Behandlungsplan. Außerdem ergab sich, dass gewisse Risiken bereits durch bestehende Maßnahmen akzeptabel reduziert waren – z.B. der Ausfall einzelner Werkzeugmaschinen ist durch vorhandene Ausweichkapazität in einem anderen Werk handhabbar. Andere Risiken hingegen erforderten neue Strategien, die in der nächsten Phase (Strategieentwicklung) erarbeitet wurden.

Bemerkenswert ist, dass wir festgestellt haben, dass BCM-Risiken und Informationssicherheitsrisiken eng zusammenhängen. So haben wir die IT-Risikoanalyse mit der BCM-Risikoanalyse abgestimmt, um sicherzustellen, dass z.B. Cyber-Bedrohungen sowohl aus Security-Sicht (Schutz vor Angriff) als auch aus BCM-Sicht (Weiterarbeiten bei IT-Ausfall) betrachtet werden. Diese Verzahnung entspricht den Empfehlungen des BSI-Grundschutz und vermeidet Lücken.

Alle Schritte und Ergebnisse der Risikoanalyse sind dokumentiert. Für jede kritische Anlage der Infrastruktur (Strom, Klima, etc.) wurde eine Detail-Risikoanalyse durchgeführt, ähnlich der im Gebäudetechnik-Handbuch erwähnten Risikomatrix für die Basisversorgung. Diese Analysen sind intern abrufbar und fließen direkt in die Business Impact Analyse ein.

Aufbauend auf der Risikoanalyse identifiziert die Business Impact Analyse (BIA) diejenigen Geschäftsprozesse und Ressourcen, deren Ausfall den gravierendsten Einfluss auf das Unternehmen hat. Ziel der BIA ist es, die kritischen Geschäftsprozesse zu bestimmen und deren Wiederanlaufziele festzulegen: Wie lange darf ein Prozess maximal unterbrochen sein (Maximal tolerierbare Ausfallzeit, engl. MTPD) und wie schnell muss er im Notfall zumindest auf einem minimalen Niveau wieder funktionieren (Recovery Time Objective, RTO)? Ebenso wird betrachtet, welches Service-Level nach Wiederanlauf zunächst erreicht werden muss (Minimum Business Continuity Objective, MBCO) und wie viel Datenverlust maximal hingenommen werden kann (Recovery Point Objective, RPO) für IT-gestützte Prozesse.

Die BIA wurde in enger Zusammenarbeit mit den Prozesseignern der Fachabteilungen durchgeführt. Im Folgenden werden Vorgehen und Kernergebnisse skizziert.

• Prozessidentifikation: Zunächst wurde eine vollständige Liste aller wesentlichen Geschäftsprozesse erstellt – von Forschung & Entwicklung, Beschaffung, Produktion, Logistik, Vertrieb bis hin zu Support-Prozessen wie IT, Personal, Finanzen. Hierbei halfen Organigramme, Ablaufdokumentationen und Interviews mit Abteilungsleitern. Besonders im Fokus standen Prozesse, die direkt mit der Wertschöpfung zusammenhängen (z.B. “Konstruktion neuer Maschinen”, “Fertigung Kernkomponente X”, “Versand/Installation beim Kunden”) sowie solche, die gesetzlich zwingend sind (“Lohn- und Gehaltsabrechnung”, “Finanzbuchhaltung/Reporting”).

• Festlegung Bewertungskriterien: Gemeinsam definierte man Bewertungsmaßstäbe für die Auswirkungen eines Ausfalls. Kriterien waren z.B.: finanzieller Schaden pro Zeiteinheit, Auswirkung auf Kunden (z.B. Vertragsstrafen, Verlust von Aufträgen), Auswirkung auf Betrieb (Stillstand weiterer Prozesse?), Auswirkung auf Reputation/Marke, rechtliche/politische Konsequenzen. Die Bewertung erfolgte häufig qualitativ (hoch/mittel/niedrig) und wo möglich quantitativ (€ X pro Tag Ausfall, Y Produkte nicht gefertigt etc.).

• Auswirkungsanalyse je Prozess: Für jeden Prozess wurde angenommen, er stünde still – und analysiert, was nach bestimmten Zeitintervallen passiert (z.B. nach 1 Stunde, 1 Tag, 1 Woche). Beispiel: Wenn die Montagelinie 1 Tag ausfällt, entstehen X Euro Kosten und Liefertermine verschieben sich um Y Tage; nach 1 Woche Ausfall drohen Konventionalstrafen und Kunden könnten abspringen, nach 2 Wochen wäre unser Jahresumsatzziel gefährdet etc. Oder: Wenn die IT-Infrastruktur (ERP-System) 4 Stunden ausfällt, können Auftragseingänge nicht erfasst werden, nach 1 Tag kann Produktion nicht mehr nach Plan arbeiten, nach 3 Tagen steht alles still usw.

• Ermittlung kritischer Abhängigkeiten: Es wurde pro Prozess geschaut, von welchen Ressourcen er abhängig ist: Personal (welche Schlüsselpersonen oder Mindestanzahl), IT-Systeme (Anwendungen, Datenbanken, Maschinensteuerungen), Gebäude/Standorte, externe Lieferanten/Dienstleister, Infrastruktur (Strom, Wasser, Klima, Transportwege). So versteht man, was genau einen Prozess lahmlegen kann. Z.B. der Prozess “CNC-Bearbeitung von Bauteil Y” hängt ab von CNC-Maschine M123, Stromversorgung, Druckluft, dem Bediener Herrn X und der IT-Steuerung; wenn eine dieser Ressourcen ausfällt, steht der Prozess still. Diese Abhängigkeiten fließen in die Strategien ein (Schutz dieser Ressourcen bzw. Redundanz planen).

• RTO (Wiederanlaufzeitziel): z.B. 8 Stunden für den Versandprozess (d.h. innerhalb 8h muss Versand zumindest eingeschränkt wieder möglich sein), 24 Stunden für die Hauptproduktionslinie, max. 1 Stunde für kritische IT-Systeme wie ERP, 72 Stunden für weniger kritische Prozesse usw.

• RPO (Datenwiederherstellungsziel): z.B. 0 (kein Datenverlust tolerierbar) für Finanztransaktionen, max. 4 Stunden für Produktionsdaten, 1 Tag für weniger zeitkritische Dokumente.

• MTPD (maximal tolerierte Ausfallzeit, in ISO manchmal “MAO” genannt): Dieser Wert liegt meist etwas über der RTO und markiert den Zeitpunkt, ab dem die Existenz des Prozesses (oder Unternehmens) gefährdet ist. Z.B. MTPD für Hauptproduktion könnte 5 Tage sein – länger darf sie keinesfalls stillstehen.

• MBCO (Minimal Business Continuity Objective): z.B. 50% der normalen Produktionsmenge innerhalb 2 Tagen, oder manuelle Notbearbeitung von Bestellungen mit 2 Mitarbeitern als Mindestbetrieb.

• Prozesskritikalität: Abschließend haben wir die Prozesse nach Kritikalität klassifiziert (A, B, C oder hoch/mittel/niedrig), basierend auf den Auswirkungen und den gesetzten RTO. “A-Kritische” Prozesse sind jene mit sehr kurzer tolerierter Ausfallzeit oder sehr hohem Schaden – diese stehen im Fokus der BCM-Maßnahmen. Prozesse mit langer Ausfalltoleranz oder geringem Einfluss erhalten niedrigere Priorität bei der Ressourcenallokation für Notfallmaßnahmen.

Ein wichtiges Ergebnis war auch die Erkenntnis, dass insbesondere die Versorgungstechnik und IT als Querschnittsfunktionen für viele Prozesse kritisch sind. Die BIA hat z.B. gezeigt, dass Stromausfall sofort oder binnen Minuten fast alle Kernprozesse stoppt, oder dass ein Ausfall der zentralen IT-Systeme (ERP, CAD, Produktionssteuerung) ebenfalls sämtliche Bereiche lahmlegt. Solche “Single Points of Failure” wurden dadurch sehr deutlich und untermauern die Notwendigkeit, insbesondere in die Resilienz der Infrastruktur zu investieren.

Im Ergebnis wurden alle Geschäftsprozesse mit ihren Impact-Bewertungen dokumentiert.

• Auftragsbearbeitung und -management: Dieser Prozess umfasst vom Auftragseingang bis zur Auftragsplanung alles, was benötigt wird, um Kundenaufträge intern zu verarbeiten. Ausfall würde bedeuten, keine neuen Aufträge annehmen oder laufende Aufträge koordinieren zu können. RTO: 1 Tag, da sonst die Produktionsplanung durcheinandergerät; RPO: 4 Stunden (Eingangsdaten neu erfassbar aus E-Mails).

• Produktion/Fertigung der Schlüsselprodukte: Die eigentliche Herstellung der Spezialmaschinen. Besonders die Endmontage und einige eng getaktete Fertigungsstraßen gelten als kritisch. RTO: 24 Stunden (ein Tag Leerlauf ist schon sehr kritisch, da pro Tag hohes Produktionsvolumen); MBCO: Betrieb auf Notfallfertigungsplänen mit mind. 50% Kapazität innerhalb 2 Tagen.

• IT-Infrastruktur & Unternehmensnetzwerk: Hierunter fallen Server, Storage, Netzwerk und spezifische Anwendungen (ERP-System, Konstruktionssoftware CAD/PDM, Steuerungssoftware für Maschinen). Viele dieser Systeme wurden als so kritisch bewertet, dass RTOs zwischen 15 Minuten und wenigen Stunden definiert wurden (z.B. für ERP: RTO 4h, MTPD 1 Tag; für CAD-Server: RTO 1 Tag; für E-Mail: RTO 4h etc.). Folglich müssen Disaster-Recovery-Strategien (Redundanz, Backups, Failover) dies leisten können.

• Versand und Auslieferung/Logistik: Wenn fertige Maschinen oder Teile nicht zum Kunden gelangen, drohen Vertragsstrafen. RTO: 2 Tage (nach zwei Tagen Stillstand würden Liefertermine gerissen); Notbetrieb (MBCO): manuelle Auslieferungen via kleinere Speditionen etc. innerhalb 1 Tag organisiert.

• Kundensupport / Servicecenter: Da wir auch Wartungsverträge für ausgelieferte Maschinen haben, muss die Hotline und Ersatzteillogistik funktionieren, sonst drohen Imageschäden und Vertragsverletzungen. RTO: 4 Stunden für die Hotline (bzw. alternative Routings zu einem Ausweichcallcenter), da Kunden sonst ungehalten reagieren.

• Finanz- und Zahlungsprozesse: Gehaltszahlung, Zahlungen an Lieferanten und fakturierung an Kunden – diese müssen innerhalb gewisser Fristen laufen (gesetzlich und vertragsbedingt). RTO: 3-5 Tage (kurzfristig ginge es manuell, aber länger darf z.B. Lohn nicht verzögert werden); RPO: 0 (keine Buchungsdaten verlieren).

• Gebäudetechnik zur Standorterhaltung: Prozesse wie Stromversorgung, Klimatisierung, Brandschutz – ihr Ausfall hat indirekt riesige Auswirkungen (z.B. Temperaturanstieg im Rechenzentrum in minutes, Brand führt zu Totalausfall). Daher wird hier oft eher im Risiko-Management vorgesorgt (Redundanzen), aber die BIA hat auch Anforderungen gesetzt, z.B. Notstrom in 30 Sekunden verfügbar, Löschanlage sofort aktiv etc. (RTO für Strom: < 1 Minute durch USV-Überbrückung; RTO Klima im RZ: wenige Minuten bis Temperaturkritikalität erreicht, etc.).

Diese Ergebnisse flossen unmittelbar in die Strategieentwicklung: Für jeden kritischen Prozess oder jedes kritische Asset wurden konkrete Anforderungen und Maßnahmen abgeleitet. Beispielsweise weiß man nun, dass das ERP-System innerhalb 4 Stunden wiederhergestellt sein muss – also braucht es tägliche Backups und evtl. einen sekundären Standort. Oder: Die Fertigung darf max. 1 Tag stillstehen – also werden Notproduktionspläne entwickelt (Outsourcing-Optionen, Vorproduktion auf Lager, Schichtmodell nachholen etc.).

Die BIA-Dokumentation enthält für alle wesentlichen Prozesse ein Datenblatt mit: Prozessbeschreibung, verantwortliche Abteilung, Impact-Einschätzung, Abhängigkeiten, festgelegte RTO/RPO/MTPD, bereits vorhandene Notfallmaßnahmen, noch offene Maßnahmen. Diese Datenblätter dienen auch bei Audits als Nachweis dafür, dass wir unsere kritischen Geschäftsprozesse kennen und priorisiert schützen.

Zusammenfassend hat die BIA die Grundlage geschaffen, um in der nächsten Phase gezielt Kontinuitätsstrategien zu entwickeln, die zu unseren Anforderungen passen. Sie liefert die faktische Basis für BCM-Planung: Wir wissen jetzt, was besonders geschützt werden muss und wie schnell wir es im Notfall brauchen.

Basierend auf den Erkenntnissen aus Risikoanalyse und BIA wurden spezifische Business-Continuity-Strategien und Vorsorgemaßnahmen entwickelt. Diese Strategien verfolgen zwei Hauptansätze: präventive Maßnahmen, um das Eintreten von Ausfällen zu verhindern oder ihre Wahrscheinlichkeit zu reduzieren, und reaktive Maßnahmen, um im Fall eines dennoch eintretenden Ereignisses die Auswirkungen zu begrenzen und eine schnelle Wiederaufnahme zu ermöglichen. Dabei decken die Strategien alle Phasen ab – vom Notfall über den Übergang in den Wiederanlauf bis zur vollständigen Wiederherstellung.

Eine zentrale Voraussetzung für die Betriebsfähigkeit ist die Aufrechterhaltung der Grundversorgung: Strom, Kommunikationsnetz, Klimatisierung, Wasserversorgung, Druckluft und sonstige Medien. Unser Unternehmen hat hier erhebliche Vorkehrungen getroffen, teils in der Gebäudetechnik implementiert, um Redundanzen zu schaffen und Single Points of Failure zu eliminieren.

Die obige Tabelle gibt einen Eindruck der technischen Resilienzmaßnahmen. Wichtig ist, dass alle technischen Anlagen nach Vorschrift betrieben und gewartet werden, um Störungen vorzubeugen. So wird etwa die gesamte Beleuchtung (inkl. Notbeleuchtung) in regelmäßigen Intervallen auf Funktion geprüft und defekte Elemente sofort ersetzt. Ebenso folgen Prüfungen der Aufzugsanlagen, Druckbehälter, elektrischen Anlagen etc. strikten Intervallen, wie es gesetzlich gefordert ist. Durch diese vorbeugende Instandhaltung reduziert sich das Risiko technischer Notfälle erheblich.

• Stromausfall-Plan: Bei Stromausfall wird sofort automatisiert auf USV/Gensets umgeschaltet. Die Gebäudetechnik prüft umgehend, ob alle Generatoren wie vorgesehen laufen (Meldung in der GLT – Gebäudeleittechnik). Falls eine USV oder ein Generator störungsbedingt ausfällt, alarmiert das Team den entsprechenden Wartungsdienst (z.B. Hersteller Socomec für USV, Siemens für Mittelspannung) und entscheidet, ob ein mobiler Generator angefordert werden muss. Kritische Verbraucher wie Rechenzentrum werden priorisiert versorgt; weniger wichtige Bereiche können vom Netz getrennt werden, um Last zu reduzieren. Man hält den Krisenstab informiert, insbesondere wenn abzusehen ist, dass die Netzversorgung länger ausfällt (>30 Minuten) – dann könnte entschieden werden, z.B. Schichtarbeit zu stoppen und Mitarbeiter nach Hause zu schicken bis zur Wiederkehr des öffentlichen Netzes.

• Klimaausfall Rechenzentrum: Bei Ausfall der Kältemaschinen im Serverraum erhöht sich die Temperatur schnell. Die GLT gibt Alarm, wenn Grenzwerte überschritten werden. Die Maßnahmen: Sofort prüfen, ob eine redundante Kältemaschine anspringt. Falls nein, Notkühlmaßnahmen einleiten – z.B. Türen öffnen, provisorische Lüfter aufstellen (im Handbuch beschrieben), Information an Notdienstfirma (Kälteanlagen-Spezialist). Gleichzeitig bereitet das IT-Team die geordnete Herunterfahrt unkritischer Server vor, um Hitze zu reduzieren, und erwägt, bei weiter steigender Temperatur die wichtigsten Systeme kontrolliert abzuschalten (um Hardware vor Schaden zu bewahren). Im Worst Case wird der RZ-Notfallplan “Klimaanlagenausfall” aktiviert, der klare Schwellwerte definiert, wann der Krisenstab entscheiden muss, ob der ganze Standort evakuiert oder ein Ausweich-Rechenzentrum aktiviert wird.

• Wasseraustritt / Leck: Sollte ein Rohrbruch oder Wassereinbruch (z.B. durch Starkregen) erkannt werden – z.B. Wassermelder im Serverraum oder Kelleralarm – greift die Checkliste Wassereinbruch (siehe Anhang). Dort ist beschrieben: Stromzufuhr im betroffenen Bereich sofort abschalten (Sicherheit!), Wasserzufuhr absperren, Einsatz von Tauchpumpen oder Notfall-Teams der Haustechnik, gefährdete Güter in Sicherheit bringen. Bei Wassereinbruch im RZ hat Personenschutz Priorität, dann Hardware retten (wenn möglich Server vom Boden entfernen), dann erst reinigen/trocknen. Ein externer Dienstleister für Leckagebeseitigung kann über 24/7-Notruf angefordert werden. Nach dem Vorfall werden Feuchtigkeitssensoren weiter beobachtet und ggf. ein Gutachter hinzugezogen, bevor Normalbetrieb im Raum weitergeht.

• Gebäudeautomation-Ausfall: Fällt das zentrale Gebäudeleittechnik-System (GLT) aus, so gibt es Notfallroutinen: Viele Anlagen (Heizung, Lüftung) haben Vor-Ort-Handbedienebenen. Die Haustechniker schalten dann manuell in einen sicheren Betriebsmodus (z.B. Lüftungsanlagen auf festen Betrieb stellen, Temperaturen manuell regeln) bis die Automation wieder läuft. Wichtige Alarme wie Brand werden redundant hardwaremäßig gemeldet (nicht nur über GLT). Außerdem steht der GLT-Notdienst (z.B. Siemens) bereit, um binnen Stunden das System zu reparieren. In der Zwischenzeit werden Kontrollrunden manuell im Werk gefahren (Haustechniker prüfen regelmäßig die Anlagenparameter vor Ort).

Diese Beispiele zeigen, dass für die wichtigsten Gefahren detaillierte Notfallprozeduren existieren. Das Handbuch enthält im Anhang entsprechende Ablaufpläne und Anweisungen (z.B. Notfallablaufsplan Strom 1 & 2, Notfallablaufsplan Klima 1–4). Jeder Plan nennt Auslöser, Sofortmaßnahmen, Ansprechpartner, Eskalationsschritte und Dokumentationspunkte.

Neben der technischen Infrastruktur müssen auch die eigentlichen Kern- und Supportprozesse geschützt bzw. im Notfall alternative Lösungen gefunden werden.

• Ausweichstandorte / Notproduktionsflächen: Für den Fall, dass ein wichtiges Produktionsgebäude unbenutzbar wird (z.B. durch Brand), haben wir geprüft, welche Alternativstandorte verfügbar sind. Eine Möglichkeit ist, Fertigungskapazitäten auf andere Werke des Konzerns zu verlagern (sofern vorhanden) oder Kooperationen mit Partnerfirmen zu nutzen, die ähnliche Maschinen haben. In unserem Fall gibt es eine Vereinbarung mit einem befreundeten Unternehmen, im Notfall deren Maschinen zeitweise nutzen zu dürfen (Gegenleistung finanziell geregelt). Auch hausintern wurde festgelegt, dass z.B. die Versuchswerkstatt im Notfall als Montagefläche dienen könnte, oder Lagerhallen zu Fertigungshallen umgerüstet werden könnten. Diese Pläne sind als kontinuierliche Strategien dokumentiert und erfordern teils vorbereitende Maßnahmen (z.B. Bereithalten von Wechselvorrichtungen).

• Outsourcing und Dienstleister-Backups: Bei bestimmten Prozessen kann Outsourcing eine Notfalloption sein. Z.B. die Lohnbuchhaltung könnte notfalls durch unseren Steuerberater oder einen externen Payroll-Dienstleister übernommen werden, falls unsere HR-IT ausfällt. Dafür wurden mit zwei Dienstleistern Vorausverträge abgeschlossen, die innerhalb kurzer Frist aktiviert werden können. Ebenso gibt es ein Abkommen mit einem externen Call-Center, um bei Ausfall unseres Kundenservice oder zu hohem Anrufvolumen einspringen zu können. Solche Vertragsvereinbarungen sind Bestandteil der BCM-Strategie (Stichwort “Verlagerung auf Dritte” als Strategie).

• Manuelle Verfahren als Fallback: Ein klassisches Continuity-Prinzip ist die Fähigkeit, im Notfall manuell weiterzuarbeiten, wenn IT oder Automatisierung ausfällt. Daher wurden für wichtige Prozesse manuelle Workarounds entwickelt und dokumentiert. Z.B. kann der Warenausgang notfalls auch ohne IT anhand vorgedruckter Lieferscheine arbeiten; die Produktion kann Stückzahlen auf Tafeln notieren, und Qualitätsprüfungen können auf Papierformularen festgehalten werden. Für eine gewisse Zeit (oft einige Tage) lassen sich so Kernaktivitäten überbrücken. Das Personal wurde in diesen manuellen Verfahren geschult oder zumindest informiert (Checklisten liegen bereit). Natürlich ist das keine Dauerlösung, aber es erhöht die Überlebensfähigkeit in einer IT-Krise. Auch administrative Prozesse wie Bestellung von Material lassen sich per Fax/Telefon beim Lieferanten durchführen, falls unser ERP nicht geht.

• Ersatzmaschinen: Wo möglich, wurde in eine zweite Maschine investiert, die im Notfall die Produktion übernehmen kann (wenn nicht 100%, dann wenigstens teilweise). Wenn das finanziell nicht vertretbar ist (bei sehr teuren Unikaten), wurden Ersatzteilpakete geschnürt, um Reparaturen schnell durchführen zu können.

• Wartung intensiviert: Kritische Anlagen bekommen – wie bereits erwähnt – intensivere Wartung und Condition Monitoring. Vibrationssensoren und Thermografie prüfen ständig den Zustand, um drohende Ausfälle früh zu erkennen.

• Vorratsproduktion: Für kritische Produkte oder Komponenten, die wir selbst fertigen und die lange Durchlaufzeiten haben, wird ein kleiner Vorrat auf Lager produziert (Sicherheitsbestand). So können wir Kunden zumindest für kurze Zeit weiter beliefern, während wir die Produktion wiederherstellen.

• Werkzeug- und Formenmanagement: In unserem Bereich gibt es teure Spezial-Werkzeuge (z.B. Gussformen, Schablonen). Diese lagern wir redundant an getrennten Orten, damit nicht ein Brand alles zerstört. Teilweise wurden wichtige Formen digital vermessen, um sie im Notfall nachfertigen zu können.

• Lieferanten-Resilienz: Um den Ausfall von Lieferanten abzufedern, verfolgen wir eine Mehrquellenstrategie: Für alle wirklich kritischen Zukaufteile haben wir, soweit möglich, zweite Lieferanten qualifiziert (Second Source). Falls der Primärlieferant ausfällt, kann der Zweitlieferant innerhalb angemessener Zeit liefern. Bei exotischen Komponenten, wo es keinen zweiten Anbieter gibt, halten wir Notfalllagerbestände vor Ort vor (für X Wochen Produktion). Zudem beobachten wir die Lieferkette unserer Zulieferer (Tier-2-Risiken) und haben für logistisch heikle Teile (z.B. aus Übersee) Pläne, im Notfall per Luftfracht oder alternativen Routen zu beschaffen. Verträge mit Speditionen enthalten Klauseln, damit wir im Notfall Priorität bekommen oder alternative Routen nutzen können.

• Personalstrategie und Wissen: Für den Fall eines hohen Personalausfalls (z.B. Pandemie) haben wir definierte Backup-Teams und Cross-Training: Schlüsselpersonen haben Stellvertreter, die in ihren Aufgaben eingearbeitet sind. Es wurde ein “Mindestbesetzungsplan” erstellt, der zeigt, welche minimalen Teams ausreichen, um den Betrieb aufrecht zu halten. Notfalls werden Büro-Mitarbeiter mit technischem Verständnis in die Produktion abgezogen oder umgekehrt einfache Bürotätigkeiten an ausgebildete Facharbeiter delegiert, falls dies Sinn ergibt. In Pandemieplänen ist festgelegt, wie wir im Ernstfall Schichtbetrieb verändern (keine Durchmischung, Teams in Kohorten) und Home-Office nutzen, um Ansteckung zu minimieren. Auch ein Teil der Produktion lässt sich ggf. auf Remote Monitoring umstellen, sodass weniger Leute vor Ort sein müssen (Industrie 4.0 Konzepte helfen hier).

• Finanzielle Vorsorge: Eine eher strategische Maßnahme ist, ausreichend Versicherungsschutz zu haben (z.B. Betriebsunterbrechungsversicherung, Feuer/Berufshaftpflicht etc.), um die finanziellen Folgen eines Ereignisses abzufedern. Außerdem hält das Unternehmen Liquiditätsreserven vor, um in Krisenzeiten zahlungsfähig zu bleiben. Verträge mit Kunden enthalten, wo verhandelbar, höhere Gewalt Klauseln oder moderate Pönalen, um im Notfall nicht die Existenz zu gefährden.

Alle diese Strategien sind im BCM-Maßnahmenplan dokumentiert. Für jede Maßnahme ist festgelegt, wer dafür verantwortlich ist und bis wann sie umzusetzen ist (sofern noch nicht umgesetzt). Einige Strategien waren bereits vor dem BCM vorhanden (z.B. Redundante Stromversorgung), andere wurden neu angestoßen (z.B. Vereinbarung mit externem Produktionspartner). Der BCM-Maßnahmenplan wird vom BCM-Manager nachverfolgt und regelmäßig im BCM-Lenkungsgremium (Managementrunde) besprochen, um Fortschritte sicherzustellen.

Es ist wichtig zu betonen, dass Strategien nicht statisch sind. Das Unternehmen evaluiert kontinuierlich neue Technologien und Lösungen, um die Resilienz zu erhöhen. Beispielsweise beobachten wir die Möglichkeit, Cloud-Dienste als Backup für gewisse IT-Systeme zu nutzen (Stichwort: Disaster Recovery as a Service), oder mobiles Arbeiten auszuweiten, um Standortrisiken zu reduzieren. Auch die Zusammenarbeit mit Kunden im Krisenfall (z.B. gegenseitige Unterstützung zwischen Hersteller und Kunde, falls beim Kunden ein Maschinenausfall unseren Service erfordert, trotz eigener Krise) wird in Serviceverträgen berücksichtigt.

Insgesamt verfolgen wir einen ganzheitlichen Ansatz: technische, organisatorische, personelle und prozessuale Maßnahmen greifen ineinander, um das Ziel zu erreichen, dass wir “auf beinahe jedes Szenario adäquat reagieren und die Unternehmensfortführung garantieren” können.

Das Notfallmanagement umfasst alle Aktivitäten, die unmittelbar nach Eintritt eines unerwünschten Ereignisses ergriffen werden, um Menschen zu schützen, Schäden einzudämmen und die Kontrolle über die Situation zu behalten. Es bildet die erste Phase der Reaktion, in der oft noch Chaos und Unsicherheit herrschen – klare Handlungsvorgaben sind hier essenziell.

• Eigenschutz und Personensicherheit vor Sachwerten: Oberste Priorität hat der Schutz von Leben und Gesundheit. Dies bedeutet z.B.: Im Brandfall erst Menschen in Sicherheit bringen und Feuerwehr rufen, bevor man versucht, das Feuer zu löschen; bei einem Chemieunfall nicht zuerst Maschinen retten, sondern verunfallte Personen versorgen und sich selbst schützen. Unsere Mitarbeitenden sind angehalten, im Zweifel immer auf Evakuierung oder persönliche Sicherheit zu setzen, anstatt Risiken einzugehen, um Equipment zu retten.

• Alarmierung der richtigen Stellen: Jede/r Mitarbeiter/in muss bei einem Notfall unverzüglich die dafür vorgesehenen Stellen informieren. Das bedeutet:

• Interne Meldung: z.B. über den Notruf-Button am Telefon, über eine Alarmnummer der Werkssicherheit oder Leitstelle. Diese interne Meldung löst die betriebliche Notfallkette aus.

• Externe Notrufe: Bei Gefahr für Personen oder Umwelt ist sofort der öffentliche Notruf (112) abzusetzen – z.B. Feuerwehr bei Brand, Rettungsdienst bei schweren Verletzungen, Polizei bei Straftaten. Unsere Telefonanlagen sind so eingestellt, dass die interne Leitstelle mithört bzw. informiert wird, wenn jemand 112 anruft, um parallel interne Kräfte zu mobilisieren.

• Benachrichtigung von Führungskräften: Zusätzlich soll – sobald Zeit ist – der direkte Vorgesetzte oder die Schichtleitung über den Vorfall informiert werden (dies läuft aber meist automatisch über die Notfallorganisation).

• Aktivierung des Notfallteams: Die interne Leitstelle oder der erste vor Ort verfügbare Notfallteamleiter alarmiert umgehend das zuständige Notfallteam gemäß den Alarmplänen. Diese Pläne (im Anhang als Alarm- und Meldepläne) zeigen für jede Art von Ereignis, wen man in welcher Reihenfolge informieren muss. Beispiel: “Störung der Stromversorgung” – alarmiere Gebäudetechnik-Team + Elektrofachkraft Bereitschaft; “IT-Ausfall” – alarmiere IT-Notfallteam; “Feuer/Unfall” – alarmiere Werkschutz/Sicherheitszentrale und Rettungskräfte; “Produktionsstörung” – alarmiere Instandhaltungsleiter etc. Die Alarmierung erfolgt telefonisch, per SMS und parallel über ein Alarmierungstool (eine Smartphone-App), die vorab konfiguriert ist mit den jeweiligen Gruppen. Dadurch erhalten alle Teammitglieder in Sekunden eine Nachricht mit Einsatzinfo.

• Erste Schadensbegrenzung: Bis das Notfallteam eintrifft bzw. parallel dazu sollen verfügbare Personen einfache Gegenmaßnahmen starten, sofern dies gefahrlos möglich ist und im Voraus definiert wurde:

• Z.B. Brandbekämpfung mit Feuerlöschern, wenn es ein Entstehungsbrand ist und man eingewiesen ist im Umgang.

• Abschalten von Anlagen über Not-Aus Schalter, um Folgeschäden zu verhindern (Maschinen, die kaputtgehen könnten).

• Leck eindämmen: Tropft z.B. Wasser von der Decke, Eimer drunterstellen; läuft Öl aus, Auffangwannen nutzen.

• Erste Hilfe leisten bei Verletzten durch geschulte Ersthelfer.

• Zugänge sichern: Einen Gefahrenbereich absperren, damit niemand Unbefugtes hineinläuft; bei IT-Vorfall betroffene Rechner vom Netz nehmen.

• Wichtig: Niemand soll hierbei seine Gesundheit riskieren oder unautorisiert komplexe Manöver durchführen. Deshalb werden in den Notfallchecklisten (Anhang) genau jene Handlungen beschrieben, die sinnvoll und sicher sind, von einem Laien bzw. Ersthelfenden getan zu werden.

• Kommunikation und Dokumentation: Sobald die Lage etwas unter Kontrolle ist (oder parallel von einem dafür eingeteilten Mitglied), beginnt die Ereignisdokumentation. Alle wichtigen Fakten – Wer (hat gemeldet), Was (ist passiert), Wo, Wann, Welche Maßnahmen schon ergriffen – werden im Ereignisprotokoll festgehalten. Dafür gibt es ein vorbereitetes Formular (siehe Anhang: Meldeformular/Notfallprotokoll). Dieses dient später der Nachverfolgung und Untersuchung. Ferner muss laufend die Kommunikation erfolgen: Das Notfallteam hält Kontakt zur Leitstelle, ggf. zum Krisenstab, und informiert laufend über Entwicklungen. Gerüchte und Fehlinformationen sollen vermieden werden – daher gilt intern: Alle Anfragen von Mitarbeitern oder Presse etc. werden an die Kommunikationsverantwortlichen verwiesen (dazu mehr im Krisenkommunikations-Teil).

Für wiederkehrende oder besonders riskante Störungsarten wurden detaillierte Ablaufpläne entwickelt, die im Handbuch (oder in Fachhandbüchern) hinterlegt sind.

• Plan: Stromausfall im Werk – Ursachen: z.B. Netzausfall der Stadtwerke, interner Kurzschluss, Lastabwurf. Maßnahmen: (1) Automatische Umschaltung auf USV und Notstrom prüfen (dies passiert in Sekunden automatisch). (2) Innerhalb der ersten Minute: Sicherheitsbeleuchtung aktiv, kritische Anlagen kontrollieren (läuft Notkühlung, laufen Lifteinrichtungen in Notbetrieb?). (3) Gebäudetechnik-Team alarmieren (falls noch nicht autom. durch Leittechnik) – sie überprüfen Trafostationen und Generatoren. (4) Falls nach 5 Minuten kein Netz zurück: Information an Krisenstab, dass größerer Stromausfall vorliegt. (5) Produktionsstopps: Schichtleiter fahren sicherheitsrelevante Prozesse kontrolliert runter (um Schäden an Werkstücken/Maschinen zu vermeiden). (6) Wenn Notstrom länger als 30 Minuten läuft, Treibstoffvorrat checken und bei Bedarf Nachlieferung veranlassen. (7) Externe Infos: Versorger kontaktieren für ETR (Estimated Time to Repair). (8) Entscheidung nach 1-2h: weiter warten oder geordnet die Belegschaft heimschicken (bei Tag) bzw. über Nacht weiter Notstrombetrieb. – Eskalation: Ab >30 Min Ausfall wird Krisenstab informiert (Notfallstufe), ab >2h wird Krise ausgerufen (siehe Prioritätenschema) und Krisenstab übernimmt, da erhebliche Auswirkungen drohen. – Hinweis: Der Plan verweist auf technische Anhänge wie Schaltpläne, Handstartanleitungen für Generatoren etc.

• Plan: Großbrand/Feuer im Betrieb – (Dieser Plan wird eng mit der Werkfeuerwehr/öffentl. Feuerwehr abgestimmt.) Maßnahmen: (1) Feueralarm wird automatisch durch BMA ausgelöst, Alarmton und Durchsage veranlasst Evakuierung. (2) Alle Mitarbeiter begeben sich an Sammelplätze, Evakuierungshelfer zählen Köpfe. (3) Werkssicherheit empfängt Feuerwehr am Tor, übergibt Feuerwehreinsatzplan (Lagepläne, Hydranten etc.). (4) Krisenstab wird sofort aktiviert (Krise Priorität 1). (5) Einsatzleitung liegt bei der Feuerwehr; unsere Notfallteams unterstützen mit Anlagenkenntnis (z.B. zeigen wo Gefahrenstoffe, wo elektrische Abschaltungen). (6) Parallel: IT-Team prüft, ob Serverraum vom Brand betroffen sein könnte – ggf. werden remote Daten gesichert. (7) Nach Löschung: Gebäudetechnik sperrt beschädigte Bereiche, organisiert erste Schadensbegrenzung (Planen über Öffnungen, Notabdichtung bei Sprinklerwasser etc.). (8) Krisenstab entscheidet über Produktionsverlagerung falls nötig. – Kommunikation: Pressesprecher bereitet Stellungnahme vor (bei größerem Brand ist Medieninteresse möglich), informiert ggf. Behörden (Gewerbeaufsicht, Umwelt falls Austritt von Stoffen). – Nachgang: Unfalluntersuchung mit Feuerwehr, Polizei; Versicherung informieren binnen 24h.

• Plan: Chemieunfall/Gefahrstoffaustritt – z.B. Austritt von Öl, Kühlmittel, Batteriesäure, Ammoniak aus Kälteanlage. Maßnahmen: (1) Bereich sofort räumen, nur mit Schutzausrüstung betreten. (2) Alarmierung Feuerwehr, wenn giftig/gesundheitsgefährdend (z.B. Ammoniak NH₃ -> Feuerwehr, Chemiealarm). (3) Gebäudetechnik schaltet Lüftungen ggf. ab oder in speziellen Modus (z.B. Abluft an, keine Umluft). (4) Einsatz von Bindemitteln/Leckdichtungen sofern möglich. (5) Fachfirma (z.B. für Kältemittel) alarmieren. – Für NH₃ (Ammoniak) gibt es einen spezifischen Notfallplan: Er beinhaltet z.B. Evakuierungsradius um die Anlage, Vorgehen der Einsatzkräfte (Wassernebel zum Binden, etc.), und liegt der Feuerwehr vor. – Nach dem Ereignis: kontaminiertes Material entsorgen, aufgefangene Stoffe fachgerecht entsorgen, beteiligte Personen medizinisch checken.

• Plötzlicher Ausfall zentraler Systeme (z.B. ERP down): IT-Notfallteam wird alarmiert, versucht binnen RTO das System neu zu starten oder auf Backup-System zu wechseln. Wenn Datenbankkorruption: Backup einspielen (RPO 4h). Anwender weichen auf Notfallformulare aus (siehe Anhang: Formulare für Bestellungen, Fertigungsaufträge). Engpass: Versenden/Empfangen von Bestellungen geht über Fax/E-Mail von externen Konten notfalls. – Krisenstab entscheidet, welche Prozesse priorisiert manuell laufen sollen.

• Cyberangriff Malware/Ransomware: Sobald verdächtige IT-Aktivitäten entdeckt (z.B. Dateien verschlüsselt), reagiert SOC (Security Operations Center) nach Cyber-Notfallplan. Betroffene Systeme vom Netz isolieren, notfalls gesamtes Netzwerk vom Internet trennen. Externe Incident Response Spezialisten hinzu rufen (Vertrag vorhanden). Krisenstab wird einberufen (IT-Sicherheitsvorfall). Kommunikation an Mitarbeiter: PCs nicht mehr einschalten etc. Backups werden geprüft auf Integrität. Forensik läuft parallel zur Wiederherstellung. – Hier greift auch die Meldepflicht an BSI (nach NIS2) innerhalb 24 Stunden, was der CISO/IT-Leiter übernimmt. Währenddessen aktiviert man Notfall-E-Mails (extern gehosteter Mailverteiler) um kommunizieren zu können. Der Plan priorisiert die Wiederanlaufreihenfolge der Systeme.

• Ausfall Telekommunikation/Internet: Alternative Kommunikationswege nutzen (Ausweich-ISP, Satellitentelefon, Mobilfunk-Router). Informieren der Partner, dass man temporär eingeschränkt erreichbar ist.

• Plan: Ausfall einer Schlüsselmaschine in der Produktion – Wenn z.B. die einzige vorhandene Sondermaschine für Bearbeitung X ausfällt (trotz aller Prävention kann das passieren): (1) Instandhaltung sofort rufen, Versuch der schnellen Reparatur. (2) Falls längerer Ausfall > RTO droht: Krisenstab Produktion + Logistik bewerten Lagerbestand – können Kundenaufträge aus Puffer beliefert werden? (3) Entscheidung: Produktion umplanen – kann man andere Produkte vorziehen, während Ersatz kommt? (4) Falls nein, aktivieren Plan B: Fertigungsschritt outzusourcen (Lieferanten anfragen, die ähnliches machen können) oder Ersatzmaschine mieten/kaufen. Wir haben eine Liste solcher Ersatzoptionen in der Hinterhand. (5) Kundeninformierung, falls Liefertermine wackeln (besser proaktiv). – Dieser Plan ist eng verzahnt mit Lieferketten- und Produktionsplanung.

Die obigen Pläne sind nur Ausschnitte. Insgesamt gibt es eine Vielzahl an Notfall- und Störfallplänen, u.a.: - Ausfall einzelner Gebäude (z.B. Sperrung wegen Evakuierung – Business Continuity durch Verlagerung ins Ausweichgebäude oder Home Office), - Bombendrohung (Checkliste für telefonische Drohung, Evakuierungsentscheidung mit Polizei), - Pandemieplan (Maßnahmen bei verschiedenen Infektionsstufen, Social Distancing im Betrieb, Schutzausrüstung, Schichttrennung), - Datenschutzvorfall (bei Verlust vertraulicher Informationen – gehört zwar mehr zum ISMS, aber hat auch BCM-Aspekt in Kommunikation und rechtlicher Meldung), - Kundenkrise (wenn bei einem wichtigen Kunden unsere Maschine ausfällt, wie unterstützen wir trotz eigener Probleme).

Jeder dieser Pläne enthält auch ein vorgefertigtes Eskalationsschema: Wer meldet an wen, wer entscheidet was. Zum Beispiel im Plan “Ausfall Rechenzentrum” steht: Wenn nach 30 Minuten die Systeme nicht hochkommen, Benachrichtigung an den Krisenmanager; ab 1 Stunde Ausfall Übergabe an Krisenstab.

Wichtig ist, dass die Pläne geübt werden, damit im Ernstfall die Reaktion routiniert abläuft. Außerdem liegen alle Pläne in gedruckter Form in der Notfalldokumentation an zentraler Stelle aus (und sind elektronisch offline verfügbar – z.B. als PDF auf Notfall-Laptops und auf Papier in der Sicherheitszentrale). So ist gewährleistet, dass auch bei IT-Ausfall jeder Plan einsehbar bleibt.

• Notfallausrüstung: In definierten Notfall-Schränken an strategischen Punkten gibt es Feuerlöscher, Erste-Hilfe-Kästen, Taschenlampen, Megaphone, Warnwesten für Einsatzkräfte, Absperrband, Werkzeug, etc. Auch mobile USV-Koffer (Batteriepacks) für wichtige Elektronik und Notfall-Notebooks (mit vorgeladenen relevanten Dateien wie Kundenlisten, Notfallhandbuch) sind vorhanden.

• Notfallräume: Der Krisenstab hat einen Krisenraum (Besprechungsraum mit Notstromversorgung, Telefonkonferenzanlage, Whiteboards, Kopien aller Pläne). Für die operativen Teams gibt es je nach Lage Einsatzräume (z.B. Feuerwehrstützpunkt am Werkstor als Sammelstelle bei Evakuierung).

• Kommunikationsmittel: Zusätzlich zu Telefon und E-Mail existieren Gruppen-Messenger (eine gesicherte Messenger-Gruppe aller Notfallteams), Funkgeräte für die Evakuierungshelfer, und ein Lautsprecherdurchsagesystem im Werk zur allgemeinen Alarmierung.

• Dokumentationsmittel: Jede Einsatzgruppe führt ein Einsatztagebuch, sei es auf Papier oder elektronisch (wenn Systeme verfügbar). Vorlagen dafür sind vorbereitet (siehe Anhang). Auch Fotoapparate/Kameras liegen bereit (zur Schadenserfassung, Beweissicherung). Für IT-Logs gibt es eine zentrale Syslog-Server (mit USV), der weiter protokolliert.

• Externe Kontakte: Eine Notfallkontakte-Liste (siehe Anhang) enthält alle wichtigen Rufnummern: Polizei, Feuerwehr (mit Direktkontakt zum zuständigen Inspektionsleiter), Krankenhäuser, Giftnotruf, Energieversorger-Störungsstellen, Wasser/Abwasser Notdienste, Kälteanlagen-Notdienst (wie Fa. NTC für Klima), Elektrikernotdienst (Siemens etc. mit Kundennummer), Dienstleister für Schadstoffreinigung, Security-Firmen, Lieferanten-Hotlines, IT-Dienstleister (Hardware-Ersatz). Diese Liste wird alle 3 Monate auf Aktualität geprüft.

Abschließend sei betont: Das Notfallmanagement geht fließend in das Krisenmanagement über, sobald die Komplexität oder Dauer des Vorfalls es erfordert.

Während das Notfallmanagement die erste Reaktion auf akute Störungen abdeckt, übernimmt das Krisenmanagement die übergeordnete Steuerung bei größeren oder längeren Ereignissen. Eine Krise zeichnet sich dadurch aus, dass normale Entscheidungsprozesse nicht ausreichen, mehrere Unternehmensbereiche betroffen sind oder erhebliche strategische Weichenstellungen notwendig werden.

Wie beschrieben, wird der Krisenstab gemäß definierten Kriterien alarmiert (Priorität 1-Fälle sofort, sonst ab bestimmten Schwellen der Ausfalldauer). Die Alarmierung erfolgt durch den Krisenbeauftragten oder die Leitstelle via “K-Stab-Alarm”-Gruppe (Sammelruf/SMS an alle Mitglieder).

Nach Alarm trifft sich der Krisenstab umgehend im vorgesehenen Krisenraum (oder schaltet sich per Telefonkonferenz zusammen, falls physisches Treffen nicht sofort möglich ist, z.B. nachts). Der vorab bestimmte Krisenstabsleiter (ein Geschäftsleitungsmitglied oder dessen Vertreter) übernimmt die Leitung. Ein Protokollführer wird benannt (führt das Krisenprotokoll und Aufgabenliste).

Jedes Mitglied trägt Informationen aus seinem Bereich bei. Es wird ein gemeinsames aktuelles Lagebild erstellt: Was ist passiert, was ist der Status der Maßnahmen, wer/was ist betroffen? Dazu dienen Berichte der vor-Ort-Einsatzleiter (z.B. Notfallmanager Gebäudetechnik, IT-Einsatzleiter etc.), die entweder persönlich oder telefonisch zugeschaltet werden. Ggf. nutzt man ein Whiteboard oder digitales Board, um Fakten zu sammeln (Zeitachsen, betroffene Assets, Medienberichte etc.). Wichtig: Unklarheiten kennzeichnen, aktiv nach weiteren Infos fragen (z.B. bei Polizei/Feuerwehr). Der Stab achtet darauf, Gerüchte von bestätigten Fakten zu trennen.

• Lagebeurteilung: Anhand des Lagebildes werden Hauptprobleme identifiziert und Prioritäten gesetzt. Was ist das drängendste Problem? (z.B. “Feuer breitet sich aus in Halle 2” oder “IT-System verschlüsselt – Produktion steht”). Der Stab analysiert: Welche Auswirkungen hat die Lage auf kurz und lang? Welche Unsicherheiten bestehen (was wissen wir nicht)? Diese Einschätzung hilft bei Schritt 3.

• Maßnahmenplanung (Entschluss): Der Krisenstab entwirft Handlungsoptionen: z.B. “Produktion Schicht ausfallen lassen?”, “Ersatzteillieferung anfordern?”, “Pressemitteilung rausgeben?”. Für jede Option werden Vor-/Nachteile diskutiert. Dann trifft der Leiter oder im Konsens der Gruppe Entscheidungen: Was wird getan? Entscheidungen werden klar formuliert (“Wir evakuieren Gebäude X bis Ende des Tages”; “Wir informieren Kunden über Lieferverzögerung von 1 Woche”; “Wir zahlen vorerst Löhne pauschal weiter trotz IT-Ausfall, basierend auf letztem Monatswert”). Wichtig: Auch Nichtstun kann Entscheidung sein, aber begründet. Entscheidungen werden protokolliert mit Verantwortlichem und Deadline.

• Maßnahmenumsetzung: Die beschlossenen Maßnahmen werden an die jeweiligen Verantwortlichen delegiert. Jedes Krisenstab-Mitglied kommuniziert in seinen Bereich hinein, was zu tun ist, oder steuert zentral (z.B. Kommunikationschef gibt Presseinfo raus). Die Umsetzung wird laufend verfolgt. Der Protokollführer führt eine Action-Item-Liste und hakt Erledigtes ab.

• Lageüberwachung: Der Stab bleibt fortlaufend in Kontakt und überwacht die Auswirkungen der getroffenen Maßnahmen. Gibt es neue Entwicklungen? Muss der Plan angepasst werden? In regelmäßigen Abständen (z.B. stündlich oder bei neuen Ereignissen) kehrt man zu Schritt 1 zurück und aktualisiert die Lage.

Dieser Zyklus läuft so lange, bis die Krise bewältigt ist. In der akuten Phase sitzt der Krisenstab oft permanent zusammen. Wenn die Lage stabiler wird, können sie sich auf Jour-Fix-Abstände einigen (z.B. tägliche Lagebesprechung) und zwischendurch normal arbeiten lassen.

Im Krisenstab gelten einige Grundregeln: - Klare Rollenverteilung: Es gibt einen Leiter, einen Kommunikationsverantwortlichen, einen für Logistik/Produktion, einen für Finanzen, etc. Jeder bleibt in seinem Verantwortungsbereich, bringt aber Infos in die Runde. - Sprechen mit einer Stimme: Nach außen darf es keine widersprüchlichen Aussagen geben (siehe Krisenkommunikation). Intern wird offen diskutiert, extern wird nur abgestimmt kommuniziert. - Dokumentationspflicht: Alles wird protokolliert – Entscheidungen mit Uhrzeit, Begründung, wer informiert. Dieses Protokoll kann später für Versicherung oder Analyse sehr wichtig sein. - Stress- und Zeitmanagement: Krisenstäbe arbeiten oft unter Stress. Deshalb sind Pausen, Ablösung, und ggf. Schichtbetrieb im Krisenstab einzuplanen, insbesondere bei längeren Krisen. Wir haben genug personelle Redundanz vorgesehen, dass jemand mal ruhen kann.

Wenn externe Behörden involviert sind (z.B. Polizei-Einsatzleitung bei Bombendrohung, Feuerwehr bei Großbrand), tritt unser Krisenstab in den Hintergrund bezüglich Gefahrenabwehr, unterstützt jedoch und konzentriert sich auf Business-Aspekte (z.B. Ersatzproduktion organisieren, Betreuung der Mitarbeiter, etc.). Der Krisenstab hält Kontakt zu den Behördeneinsatzleitungen, idealerweise über Liaison-Personen (z.B. unser Sicherheitschef steht in Kontakt mit Polizeiführer und gibt Infos an Krisenstab weiter).

Sobald die akute Gefahrenlage beseitigt ist und in den Wiederanlauf übergegangen wird, entscheidet der Krisenstab, wann er sich auflöst bzw. die Führung an die Linie zurückgibt. Oft bleibt der Krisenstab bestehen, bis nahezu Normalbetrieb wieder hergestellt ist – dann kann die Restarbeit in normale Organisation überführt werden. Eine offizielle Krisenende-Mitteilung wird erstellt, um alle zu informieren.

Eine der wichtigsten Aufgaben in Krisen ist die Kommunikation nach innen: Mitarbeiter, Management, Betriebsrat etc. müssen rasch, transparent und angemessen informiert werden. Gute interne Kommunikation verhindert Gerüchte, erhält die Moral und sorgt für Sicherheit.

• Schnellwarnsystem: Bei unmittelbaren Gefahren (Feuer, Bombendrohung etc.) erfolgen Durchsagen, Sirenenalarm, Handy-Alarmierungen, um alle vor Ort zu warnen und zu leiten (z.B. Evakuierung durchführen). Dafür gibt es definierte Texte im Alarmierungssystem.

• Mitarbeiterinformationen: Der Krisenstab formuliert früh eine Interne Mitteilung, sobald die Grundfakten bekannt sind. Inhalt: Was ist passiert (soweit bekannt), welche Maßnahmen laufen, wie betrifft es die Mitarbeiter (z.B. “Bleiben Sie an Ihrem Platz und warten Sie auf Anweisungen” oder “Alle Produktionsteams Schicht A, bitte nach Hause gehen und morgen wiederkommen”), und wo gibt es weitere Infos. Diese Info geht über mehrere Kanäle: E-Mail (sofern verfügbar), Aushang an Info-Tafeln, Unternehmens-Intranet (sofern noch online), ggf. SMS an alle Führungskräfte zur Verteilung.

• Regelmäßige Updates: Je nach Dauer der Krise wird mindestens einmal pro Tag eine interne Lageinformation herausgegeben, selbst wenn es wenig Neues gibt (“Die Reparatur läuft, voraussichtliche Dauer… Wir arbeiten an Alternativlösungen…”). Wichtig ist, die Mitarbeiter nicht im Unklaren zu lassen. Bei längeren Ausfällen richten wir ein Krisen-Newsletter oder eine Telefon-Hotline ein, wo sich Beschäftigte informieren können. Auch ein FAQ im Intranet kann Fragen klären (“Wird Lohn weitergezahlt? Soll ich morgen zur Arbeit kommen?” etc.).

• Führungskräfte als Multiplikatoren: Alle Bereichsleiter und Teamleiter werden angewiesen, aktiv mit ihren Teams zu sprechen, Sorgen aufzunehmen und Feedback zurück zu melden. Einmal am Tag gibt es eine Telefonkonferenz aller Führungskräfte mit dem Krisenstab, um ein gemeinsames Lagebild sicherzustellen.

• Betriebsrat: Der Betriebsrat wird eng eingebunden, insbesondere wenn Maßnahmen die Belegschaft stark betreffen (z.B. temporäre Betriebsschließung). Durch Einbeziehung vermeiden wir interne Konflikte und der Betriebsrat kann unterstützen, z.B. beim Betreuen der Mitarbeiter.

Ein besonderes Augenmerk gilt der Mitarbeiterbetreuung: In heftigen Krisen (z.B. ein Kollege verunglückt tödlich, Großbrand) bieten wir psychologische Betreuung an. Ein EAP (Employee Assistance Program) mit Psychologen steht bereit, um Traumatisierungen zu begegnen. Diese Info wird ebenfalls kommuniziert (“Wenn Sie Hilfe brauchen, wenden Sie sich an…”).

Bei sicherheitsrelevanten Vorfällen (z.B. Amokdrohung) wird intern nur das Nötigste bekannt gegeben, um Panik zu vermeiden, aber ausreichend, damit jeder sich richtig verhält (z.B. “Bleiben Sie in Räumen, schließen Sie ab – es gibt eine Gefahrensituation, die Polizei ist vor Ort.”).

Nach Abklingen der Krise wird schließlich ein internes Dank- und Abschlusskommuniqué versendet, in dem auch auf die nächsten Schritte (Aufräumarbeiten, Rückkehr zum Normalbetrieb, ggf. Siegerehrung der Krisenhelfer) eingegangen wird.

Die externe Kommunikation in Krisen ist ebenso kritisch, da sie das Image des Unternehmens und rechtliche Folgen beeinflussen kann. Grundsatz: Alle externen Kommunikation erfolgt zentral gesteuert durch die Kommunikationsabteilung bzw. den dafür benannten Sprecher im Krisenstab. Andere Mitarbeiter dürfen sich nicht unkoordiniert äußern.

• Presse- und Öffentlichkeitsarbeit: Für medienrelevante Vorfälle (Brand, Unfall mit Verletzten, Umweltschaden etc.) bereiten wir Pressemitteilungen vor. Der Pressesprecher hat vorgefertigte Templates, die nur angepasst werden. Wir betonen Fakten, was unternommen wird und ggf. Mitgefühl (z.B. bei Verletzten). Wir vermeiden Spekulationen über Ursachen, solange nicht geklärt – verweisen auf laufende Untersuchungen. Medienanfragen werden gesammelt und vom Pressesprecher beantwortet. Falls nötig, organisieren wir eine Pressekonferenz, insbesondere wenn öffentliches Interesse hoch ist (z.B. bei Gefahr für Anwohner).

• Kunden und Lieferanten: Je nach Krisenart informieren wir proaktiv unsere Kunden, vor allem wenn Lieferverzögerungen oder Qualitätsprobleme entstehen könnten. Der Vertrieb bzw. Kundenservice übernimmt dies nach Abstimmung mit Krisenstab. Beispiel: “Aufgrund eines unvorhergesehenen Produktionsstillstands kann sich die Lieferung Ihrer Anlage um 1 Woche verzögern. Wir arbeiten mit Hochdruck…”. Transparent, aber auch lösungsorientiert (evtl. Kompensation anbieten). Gleiches gilt für Lieferanten: Wenn wir absehen, dass wir Bestellungen verschieben oder stornieren müssen, informiert der Einkauf die Lieferanten, um auch deren Disposition zu erleichtern und Vertrauen zu erhalten.

• Behörden und Aufsichtsorgane: Hier gibt es gesetzliche Pflichten. Bei bestimmten Vorfällen müssen wir unverzüglich melden: - IT-Sicherheitsvorfälle, die Ausfall unserer kritischen Dienstleistung verursachen, an das BSI (nach BSIG/NIS2) innerhalb 24 Stunden. - Arbeitsunfälle mit schwerer Verletzung/Todesfall an die zuständige Berufsgenossenschaft und Gewerbeaufsicht sofort. - Umweltereignisse (z.B. Schadstoffaustritt ins Wasser) an Umweltbehörde. - Datenschutzverletzungen (z.B. Verlust personenbezogener Daten) an den Datenschutzbeauftragten und die Aufsichtsbehörde binnen 72 Stunden.

Wir haben für solche Meldungen Vorlagen vorbereitet (siehe Anhang: Meldeformular BSI, Meldeformular Datenschutz), sodass wir schnell alle Fakten zusammenbekommen und formal korrekt melden können. Die Verantwortung für behördliche Meldungen liegt beim jeweiligen Beauftragten (CISO für BSI, Datenschutzbeauftragter für Datenschutz, Sicherheitsfachkraft für Arbeitsunfälle etc.), jedoch koordiniert durch den Krisenstab, um konsistente Aussagen zu treffen.

Im Fall von Einsätzen von Polizei/Feuerwehr kommunizieren diese Behörden oft selbst mit der Presse. Wir stehen mit deren Pressestellen in Kontakt und stimmen Aussagen ab, um Widersprüche zu vermeiden. - Investoren, Gesellschafter: Falls relevant (bei AG oder größeren privaten Gesellschaftern), werden diese zeitnah unterrichtet, vor allem wenn die Krise finanzielle Auswirkungen haben kann. Hier übernimmt i.d.R. die Geschäftsführung direkt die Kommunikation. - Öffentlichkeit und Anwohner: Sollte unsere Krise Auswirkungen auf die Öffentlichkeit haben (z.B. Rauchentwicklung, Straßensperrungen, Gefahrgut-Austritt), kümmern sich primär die Behörden um Warnungen (z.B. KatWarn Alarm). Wir unterstützen mit Informationen (Webseite, Hotline). Unsere Webseite kann z.B. Banner schalten “In unserem Werk gab es Vorfall X, Behörden sind informiert, keine Gefahr für Bevölkerung” etc., um Transparenz zu zeigen.

Während der Krise protokollieren wir alle Presseberichte und Social Media-Reaktionen (Pressespiegel). Falschinformationen werden, soweit sinnvoll, durch offizielle Statements korrigiert. Nach der Krise evaluieren wir die Kommunikation und justieren unsere PR-Strategie entsprechend.

Sonderfall Erpressung/Ransom: Sollte es zu einer Erpressung (z.B. mit Kundendaten) kommen, erfolgt externe Kommunikation nur in Abstimmung mit Strafverfolgungsbehörden. Wir legen solche Infos i.d.R. nicht sofort offen, um die Ermittlungen nicht zu behindern, halten aber regulatorische Pflichten ein (z.B. Datenschutz-Benachrichtigung der Betroffenen falls nötig).

Im Großen und Ganzen folgt unsere Krisenkommunikation dem Motto: “so offen wie möglich, so zurückhaltend wie nötig.” – Transparent informieren, um Vertrauen zu erhalten, aber auch keine Spekulation oder ungeprüfte Infos verbreiten. Das Unternehmen will nachweisen, dass es kompetent und verantwortungsvoll mit der Krise umgeht. Eine gut gehandhabte Krisenkommunikation kann sogar reputationsschädigende Ereignisse abmildern.

Alle diese Kommunikationsregeln sind in einer Krisenkommunikationsrichtlinie festgehalten, die Teil des Handbuchs ist. Darin stehen auch Kontaktdaten externer PR-Berater, die wir im Zweifel hinzuziehen können.

Nachdem ein Notfall eingedämmt und die akute Krise überstanden ist, steht die Phase des Wiederanlaufs (Recovery) an. Ziel ist es, den Normalbetrieb schrittweise wiederherzustellen – zunächst oft auf minimalem Niveau, dann hochfahrend – und langfristig alle Systeme und Prozesse wieder in den Zustand vor dem Ereignis zu versetzen (Wiederherstellung).

Diese Phase ist kritisch, weil hier entschieden wird, wie und wann der Übergang vom Notbetrieb zurück zum Standard erfolgt. Zudem werden in dieser Phase provisorische Lösungen zurückgebaut und Reserven wieder aufgefüllt.

Für jeden kritischen Prozess bzw. jede Ressource existieren Wiederanlaufpläne (auch Wiederanlauf- und Wiederherstellungspläne, WAP/WHP genannt). Diese Pläne beschreiben Schritt für Schritt, wie nach einem Stillstand die Funktion wieder hochgefahren wird.

• Wiederanlaufplan Produktion: Nachdem z.B. ein Brand in einer Halle gelöscht ist und der Bereich freigegeben wurde, definiert der Plan: (1) Technische Überprüfung der Maschinen auf Schäden durch Instandhaltung; (2) Reinigung der Fläche, Funktionstest Sicherheitseinrichtungen; (3) gestaffelter Anlauf der Maschinen – erst eine Testproduktion mit Ausschussteilen um zu schauen, ob Qualität stimmt; (4) Rückkehr der Mitarbeiter, Sicherheitsunterweisung falls sich Arbeitsumgebung geändert hat; (5) Hochfahren der Produktionsmenge in Stufen bis zum Normalniveau. Der Plan legt Prioritäten fest, welche Produkte zuerst wieder gefertigt werden (z.B. dringende Kundenaufträge). Falls ein Ausweichstandort genutzt wurde, koordiniert der Plan die Rückverlagerung auf den Hauptstandort (inkl. sicherer Transport der ggf. extern gefertigten Teile). Außerdem enthält er Checklisten, um sicherzustellen, dass die Ursachen des Vorfalls behoben sind (z.B. “Brandursache geklärt? Brandschutz wiederhergestellt? Ersatzteile aufgefüllt?”).

• Wiederanlaufplan IT: Hier sind im Grunde unsere Disaster-Recovery-Pläne subsummiert. Nach einem größeren IT-Ausfall wird in definierter Reihenfolge die IT wieder hochgefahren: (1) Zuerst grundlegende Infrastruktur (Netzwerk, AD-Server etc.), (2) dann wichtige Server und Applikationen nach Priorität (z.B. ERP vor weniger kritischen Tools), (3) anschließend weniger kritische Services. Wir berücksichtigen Abhängigkeiten (Datenbank-Server vor Applikationsserver). Der Plan beinhaltet auch einen Backout-Abschnitt: Falls beim Wiederanlauf Probleme auftreten (z.B. Recovery-Daten sind korrupt), wie geht man vor? Außerdem muss validiert werden: Datenintegrität prüfen (stichprobenartige Kontrollen), Schnittstellen testen, Benutzer melden Fehler. Erst wenn alle Checks okay, wird der IT-Notfall offiziell für beendet erklärt. Der Plan weist auch an, die Backup-Strategie nach dem Vorfall schnell wiederherzustellen (nicht vergessen, neue Backups anzustoßen!). Dokumentation: Welche Daten wurden evtl. verloren (RPO-Lücke)? Müssen wir das irgendwo melden (z.B. verlorene Buchungen nachtragen)?

• Wiederherstellungsplan Gebäude/Infrastruktur: Angenommen, ein Trafo ist durchgebrannt und die Notversorgung lief über mobile Aggregate: Der Plan regelt, wie der Originalzustand wiederhergestellt wird: (1) Neuen Trafo beschaffen und installieren (inkl. Prüfung durch Elektriker, VDE-Abnahmen etc.), (2) Umschaltung zurück von Notstrom auf Normalstrom (geplant in kurzer Produktionspause, um riskante Umschaltmomente zu minimieren), (3) Testläufe, (4) Rückbau der mobilen Generatoren. Ähnlich für andere Infrastruktur: z.B. nach temporärer Druckluft-Anlage auf Mietkompressor zurück auf fest installierte etc.

• Personelle Rückkehr: Nach Personalausfall (z.B. Pandemie) – Plan, wann Schichtbetrieb wieder normalisiert wird, wann Homeoffice-Aufruf zurückgefahren wird, wie man Nachholbedarf (Urlaub, Überstunden) behandelt. Auch hier: Kommunizieren, damit jeder weiß, was gilt (z.B. “Ab Montag wieder voller Präsenzbetrieb, Teststrategie bleibt 2 Wochen bestehen”).

Viele dieser Pläne sind in Dokumentvorlagen gegossen, die im BSI-Standard 200-4 vorgeschlagen werden. Zum Beispiel haben wir ein Template “Geschäftsfortführungsplan” (Business Continuity Plan) für kritische Prozesse, wo Kernteam, Ressourcen, Notmaßnahmen, Wiederanlaufschritte etc. drinstehen. Diese sind in diesem Handbuch in zusammengefasster Form beschrieben und im Anhang detailliert (z.B. ein BCP für Produktionsausfall, ein BCP für Rechenzentrumsausfall, etc.). Einige davon sind identisch mit bereits erwähnten Notfallplänen; der Unterschied: Notfallplan = Sofortreaktion, Wiederanlaufplan = geordnete Rückkehr.

Ein wichtiger Aspekt ist die Koordination zwischen den Plänen. Nach einem größeren Ereignis laufen Wiederanläufe parallel in verschiedenen Bereichen. Daher steuert der Krisenstab oder später ein eingesetzter Wiederanlauf-Koordinator die Reihenfolge: z.B. erst IT-Basisdienste hochfahren, dann Fertigungssysteme; erst Gebäude sicher (Strom, Klima normal), dann Leute zurück. Es gilt, Engpässe zu beachten (z.B. alle wollen gleichzeitig wieder anfahren, Stromspitzen vermeiden, evtl. gestaffelt). Die Kommunikation in dieser Phase ist weiterhin zentral – alle Beteiligten müssen wissen, wer wann was macht.

Sobald alle betroffenen Bereiche wieder angelaufen sind und zumindest ein Grundniveau an Leistung erbringen, wird der Notfallmodus beendet. Der Krisenstab löst sich formal auf, die Linie übernimmt wieder das Ruder. Dies geschieht mit einer offiziellen Erklärung “Krise beendet” durch den Krisenleiter. Ab dann gelten wieder die üblichen Organisationsstrukturen.

• Nacharbeiten: Oft gibt es einen Stau an Aufgaben, der aus dem Zwischenfall resultiert. Z.B. Produktionsrückstände aufholen (Sonderschichten einlegen, falls vereinbart), Bestellungen nacharbeiten, Inventuren falls Unklarheiten entstanden, Rechnungsstellung korrigieren etc. Jede Abteilung erstellt einen Recovery-Fahrplan, um in absehbarer Zeit (z.B. 2 Wochen) wieder den normalen Output und Stand zu erreichen.

• Schäden beseitigen: Falls Anlagen beschädigt wurden, geht möglicherweise die Reparatur noch weiter, während man schon wieder teilliefert. Ersatzinvestitionen werden geplant. Versicherungen werden final eingebunden: Begutachtung und Schadensabwicklung. Hierzu pflegt das Krisenprotokoll-Team weiter Kontakt mit Versicherungssachverständigen, liefert Dokumentationen (Fotos, Protokolle). Eventuell müssen Gutachten erstellt werden (Brandursache usw.).

• Mitarbeiter-Rückkehr: Sollte es z.B. eine Evakuierung oder temporäre Standortschließung gegeben haben, müssen die Mitarbeiter geordnet zurückgeführt werden. Gebäude werden von Fachleuten freigegeben (Statik okay nach Brand? Luftqualität okay nach Chemieunfall?), dann Einladung an Mitarbeiter zurückzukommen. Dabei vielleicht gestaffelt (erst Führungskräfte zur Briefing, dann gesamte Mannschaft).

• Dank und Motivation: Nach harten Krisen ist es wichtig, Erfolge zu feiern und Dank auszusprechen. Man organisiert evtl. ein kleines Event oder zumindest ein Schreiben, um allen zu danken, die geholfen haben (auch externe Helfer). Das stärkt die Moral und die Kultur der Organisation.

Sobald das Unternehmen im Großen und Ganzen wieder im Normalbetrieb ist, wird ein Abschlussbericht zur Krise erstellt.

Ein Business Continuity Management System kann nur funktionieren, wenn die geplanten Verfahren und Maßnahmen bekannt, erprobt und verinnerlicht sind. Daher sind regelmäßige Tests und Übungen unerlässlich. Ebenso müssen Mitarbeiter und beteiligte Partner in Friedenszeiten geschult werden, damit im Ernstfall keine Unsicherheit besteht.

• Technische Tests: Überprüfung der Notfallsysteme und -prozesse (z.B. vierteljährlicher Testlauf der Notstromaggregate unter Last, Test der USV-Batterien[40], Probealarm der BMA/Sirenen, Wiederherstellungsprobe eines Backups in einer Testumgebung, Fire-Drill im Rechenzentrum um Notfallkühlkonzept zu testen).

• Planerische Übungen (Table-Top-Übungen): Der Krisenstab und/oder lokale Notfallteams treffen sich, um an einem Planspiel ein Szenario durchzugehen. Dabei wird eine vorbereitete Übungslage (z.B. “Wintersturm, Stromausfall, Lieferkette unterbrochen”) simuliert. Die Teilnehmer besprechen, welche Maßnahmen sie ergreifen würden, welche Entscheidungen anstehen. Das Ziel ist, die Pläne auf Lücken zu prüfen und die Zusammenarbeit zu trainieren. Diese Übungen werden mindestens halbjährlich für den Krisenstab abgehalten, jeweils mit wechselnden Schwerpunkten. Sie sind kostengünstig und trotzdem effektiv, um Entscheidungsprozesse zu üben.

• Simulationsübungen (Drills): Hier werden realitätsnahe Bedingungen geschaffen. Beispiele: Ein unangekündigter Evakuierungsalarm in einem Bürogebäude, um die Räumung zu üben (mit Auswertung Evakuierungszeit). Oder ein IT-Disaster-Recovery-Test, bei dem angenommen wird, das primäre Rechenzentrum fällt aus – das IT-Team muss innerhalb der vorgegebenen RTO die Systeme aus Backup hochziehen (möglichst an einem Wochenende, damit keine echte Störung entsteht). Ebenfalls möglich: Ausfallübung in der Produktion – z.B. man stellt eine Maschine bewusst ab und schaut, ob die Mannschaft gemäß Notfallprozedur reagiert (wird vorher natürlich sicherheitstechnisch geprüft).

• Gemeinsame Übungen mit Dritten: In gewissen Abständen werden Übungen zusammen mit Feuerwehr oder anderen Behörden durchgeführt, insbesondere bei Szenarien wie Gefahrgut, Großbrand, Amoklauf. Hierbei können wir einerseits unseren Notfallplan prüfen, andererseits Schnittstellen klären. Oft laden Behörden Industrieunternehmen zu solchen Übungen ein oder wir regen es selbst an (z.B. stellt Feuerwehr eine Verrauchung im Lager dar und wir spielen gemeinsam Evakuierung und Brandbekämpfung durch).

• Vorher gibt es einen Übungsplan, Ziele der Übung, Einbindung evtl. Beobachter (z.B. Auditoren oder Betriebsrat).

• Während der Übung werden Beobachtungen notiert, aber man lässt die Teilnehmer agieren wie im Ernstfall (bei Drills möglichst ohne Vorwarnung, außer falls Sicherheitsgründe dagegensprechen).

• Nachher erfolgt ein Debriefing: Was lief gut? Wo gab es Probleme oder Verwirrung? Wurden Zeitziele erreicht (z.B. wie lange brauchte Krisenstab zum Versammeln? War RTO einhaltbar im Test)? Was haben wir daraus gelernt?

Aus jeder Übung resultiert ein Übungsbericht und oft Maßnahmenempfehlungen zur Verbesserung. Diese werden ins BCM-Maßnahmenregister übernommen und nachverfolgt.

• Einführungsschulungen: Jeder neue Mitarbeiter erhält im Rahmen der Onboarding-Sicherheitsschulung auch eine Einführung in die Notfall- und Alarmprozesse des Unternehmens: Was bedeuten Alarmsignale, wo sind Notausgänge, wen ruft man an bei was, wo findet man die Notfallnummern. Auch dieses Handbuch ist zumindest auszugsweise Thema (z.B. werden wichtige Verhaltensregeln vorgestellt).

• Spezialschulungen für Notfallteams: Mitglieder der Feuerlöschtruppe, Ersthelfer, Räumungsteams, IT-Notfallteam etc. bekommen spezifische Trainings. Etwa Feuerlösch-Übungen praktisch, Erste-Hilfe-Kurse alle 2 Jahre, IT-Team besucht externe DR-Trainings. Ebenso Krisenstab-Mitglieder nehmen an Krisenmanagement-Seminaren teil (z.B. Simulationstrainings, wie kommuniziert man als Krisenleiter, oder spezielle Kurse wie vom BSI oder DRK).

• Führungskräfte-Schulungen: Da Vorgesetzte in Krisen oft Multiplikatoren sind, werden sie jährlich gebrieft über BCM: Was ist ihre Rolle, wie informieren sie ihre Mitarbeiter, an wen leiten sie Notfallinfos weiter. Dies kann in Management-Meetings geschehen.

• Awareness-Kampagnen: Um das Thema präsent zu halten, nutzen wir interne Kommunikationskanäle: Poster “Bist du vorbereitet, wenn’s brennt? Kennst du deinen Sammelplatz?”, Info-Mails zum Beginn der Sturmzeit “So bereitest du dich auf Stromausfall vor – zuhause und im Betrieb”, kleine Videos mit Sicherheitstipps. Solche Aktionen erhöhen die allgemeine Aufmerksamkeit für Resilienz.

Der BCM-Verantwortliche führt einen Schulungsplan, der sicherstellt, dass alle kritischen Rollen (Krisenstab, Notfallteams) mindestens jährlich geschult oder geübt werden. Auch Vertretungen werden einbezogen, damit Redundanz besteht.

• Interne Audits durch unsere Revision oder QM-Abteilung, die checken, ob alle Dokumente aktuell, Übungen erfolgt, Mitarbeiter geschult etc. (z.B. jährliches ISO 22301 Readiness Audit).

• Externe Audits: Falls wir uns nach ISO 22301 zertifizieren lassen, kommen Prüfer und bewerten unser BCMS. Ebenso könnten Kunden bei Lieferantenaudits das Notfallkonzept sehen wollen, oder – falls KRITIS – das BSI alle 2 Jahre einen Nachweis gem. §8a BSIG fordern. Wir bereiten uns darauf vor, indem wir die Anforderungen (Muss-Kriterien) in einer Checkliste abgleichen. Im Anforderungskatalog des BSI ist z.B. festgelegt, dass Notfallpläne existieren, Verantwortlichkeiten geregelt, regelmäßige Tests nachweisbar – diese Punkte können wir alle bedienen mit unseren Dokumentationen.

Erkenntnisse aus Audits fließen wiederum als Verbesserungsmaßnahmen zurück ins System.

Durch konsequentes Testen und Schulen erreichen wir, dass unser Notfallmanagement nicht nur auf dem Papier existiert, sondern in der Realität funktioniert. Jeder im Unternehmen soll die Wichtigkeit erkennen – BCM ist keine einmalige Sache, sondern ein kontinuierlicher Prozess, der geübt und gelebt werden muss.

Ein BCMS ist ein lebendes System. Die Erfahrungen aus realen Zwischenfällen und Übungen werden genutzt, um das System ständig zu verbessern (KVP – Kontinuierlicher Verbesserungsprozess). Ebenso muss die gesamte BCM-Dokumentation gepflegt und aktuell gehalten werden, damit im Ernstfall nichts veraltet ist.

• Es wurde ein Dokumentenverantwortlicher (der BCM-Manager) bestimmt, der für die Aktualität sorgt.

• Mindestens einmal jährlich erfolgt eine Durchsicht des gesamten Handbuchs. Dabei werden Änderungen in Organisation, Personal (z.B. geänderte Telefonnummern, neue Ansprechpartner), Prozessen oder externen Anforderungen eingearbeitet. Beispielsweise: Wenn es neue NIS2-Vorschriften gibt, werden diese hier nachgetragen; oder wenn eine Abteilung umbenannt wurde, passt man das an.

• Zusätzlich werden nach jeder Übung oder realen Bewältigung Lessons Learned eingearbeitet: Hat sich ein Abschnitt als unklar erwiesen, wird er präzisiert; gab es einen Fall, der nicht abgedeckt war, wird ein neuer Plan hinzugefügt. - Jede Änderung wird im Änderungsdienst dokumentiert und am Ende gibt es eine Änderungshistorie mit Versionsnummer, Datum, Änderungsbeschreibung und Freigabe. - Alle Empfänger des Handbuchs erhalten entweder digital die neue Version oder bei Papierexemplaren einen Austausch. Veraltete Versionen werden eingezogen oder als ungültig markiert, um Verwirrung zu vermeiden.

• Notfallkontaktlisten (interne Telefonliste, externe Dienstleister) werden quartalsweise aktualisiert. Zuständig ist je eine Person: z.B. HR pflegt Mitarbeiterkontakte, Einkauf pflegt Lieferantenkontakte, IT pflegt IT-Dienstleisterkontakte usw., berichten an BCM-Manager.

• Checklisten und Ablaufpläne: Diese werden nach Übungen auf Tauglichkeit geprüft. Wenn beispielsweise bei einer Übung auffällt, dass eine Checklisten-Position fehlt, wird sie ergänzt.

• Wartungs- und Prüfpläne der Technik (die ja Teil der Notfallvorsorge sind) werden ebenfalls dokumentiert. Die Gebäudetechnik führt z.B. Aufzeichnungen über alle Prüfungen von Generatoren, Sprinklern etc., die im Auditfall zeigen: Alles gewartet – das gehört zwar mehr ins Wartungsmanagement, hat aber Überschneidung mit BCM. Schnittstelle hier ist, dass der BCM-Manager Zugriff auf solche Nachweise hat.

BCM folgt dem PDCA-Zyklus (Plan-Do-Check-Act). Nachdem Plan (Analysen, Strategien, Pläne) erstellt und Do (Umsetzung/Schulung) erfolgt ist, kommt Check (Monitoring, Audit, Test) und dann Act – die Verbesserungen.

• Nachbesprechung von Vorfällen: Jedes real auftretende Ereignis, ob klein oder groß, wird im Nachhinein analysiert (After Action Review). Dabei werden Fragen gestellt: Was war die Ursache? Wurde sie vollständig behoben? Haben unsere Leute richtig reagiert? Waren die Pläne ausreichend? Was lief gut, was schlecht? Die Erkenntnisse werden dokumentiert. Insbesondere wenn etwas nicht optimal lief (z.B. Alarm hat nicht funktioniert, Zuständigkeiten unklar), werden Maßnahmen definiert, um dies zu beheben. Beispiel: Bei einem Sturm wurde festgestellt, dass die Kommunikation mit Nachtschichtmitarbeitern lückenhaft war – also vielleicht ein neuer SMS-Verteiler nötig. Solche Maßnahmen kommen auf die Agenda.

• BCM-Review Meeting: Mindestens einmal pro Jahr – oft nach dem großen jährlichen Notfalltest – findet ein Management Review des BCMS statt, analog der ISO-Forderungen. Dort berichtet der BCM-Manager an die Geschäftsleitung: Stand der BCM-Aktivitäten, Ergebnisse von Übungen/Audits, eingetretene Vorfälle und Lessons Learned, Status offener Verbesserungsmaßnahmen, Änderungsbedarfe (z.B. aufgrund neuer Risiken oder Geschäftsänderungen). Die Geschäftsleitung nimmt hierzu Stellung und gibt ggf. strategische Impulse (z.B. mehr Budget für gewisse Maßnahmen, Prioritätsänderungen).

• Aktualisierung der Analysen: Alle 1-2 Jahre wird die Risikobewertung und BIA neu durchgeführt bzw. zumindest validiert. Änderungen im Geschäftsmodell, neue Produkte oder Technologien können neue kritische Prozesse schaffen oder alte relativieren. Auch externe Veränderungen (neue Bedrohungen wie Cyber, Pandemien, Kriegslagen) werden einbezogen. Beispielsweise NIS2 bringt neue Pflichten – wir checken: haben wir alles abgedeckt? So bleibt das BCMS dynamisch und immer an der aktuellen Lage orientiert.

• Kultur und Awareness: Kontinuierliche Verbesserung ist nicht nur formal, sondern auch kulturell. Wir fördern eine Kultur, in der Melden von Beinahe-Zwischenfällen gewünscht ist. Wenn jemand auffällt “die Notausgangstür ist verstellt” oder “beim Test letzte Woche klappte die Notstromumschaltung nicht sauber”, dann soll das gemeldet werden (an HSE oder BCM). So können wir proaktiv verbessern.

• Benchmarking: Wir vergleichen uns gelegentlich mit anderen (z.B. Teilnahme an Fachkreisen, OpenKRITIS Community etc.) – dort holen wir uns Best Practices. Laut OpenKRITIS werden ja z.B. Kritis- und NIS2-Vorgaben kontinuierlich konkretisiert. Wir bleiben da am Ball und passen unser BCMS frühzeitig an neue “state of the art” Kriterien an.

Alle beschlossenen Verbesserungsmaßnahmen, ob aus Übung oder Review, kommen ins BCM-Verbesserungsregister. Dieses wird vom BCM-Manager geführt. Jede Maßnahme hat Frist und Verantwortlichen. Fortschritt wird überwacht – ähnlich einem Maßnahmenplan in Audit-Trails.

Durch diesen systematischen Verbesserungsprozess stellen wir sicher, dass das BCM-System immer wirksamer wird und nicht veraltet. Gerade im Bereich Notfallmanagement gibt es laufend Neuerungen (neue Technik wie Notfall-Apps, Satellitenkommunikation, neue Normen wie ISO 22361 für Krisenmanagement). Wir integrieren sinnvolle Neuerungen. Beispielsweise überlegen wir aktuell, ein automatisches BCM-Tool einzuführen, das z.B. im Notfall digital Checklisten verteilt und Rückmeldungen einsammelt (Softwareunterstützung).

Am Ende soll das BCMS so reif sein, dass es im Ernstfall zuverlässig funktioniert und gleichzeitig sich adaptiv verbessern kann. Dies erfüllt nicht nur Normanforderungen, sondern tatsächlich unseren Unternehmenswert Resilienz. Denn wir haben gelernt: BCM ist ein kontinuierlicher Prozess, der nur durch ständige Pflege und Verbesserung seine Schutzwirkung entfaltet.

• BCM (Business Continuity Management): ganzheitliches Managementverfahren, das potenzielle Bedrohungen für eine Organisation identifiziert und den Aufbau von Fähigkeiten und Maßnahmen zur Reaktion auf Störungen ermöglicht, um die wesentlichen Geschäftsprozesse aufrechtzuerhalten. Beinhaltet Notfall- und Krisenmanagement sowie Vorsorgeplanung.

• BCMS (Business Continuity Management System): Managementsystem nach ISO 22301 oder BSI-Standard 200-4 zur Implementierung des BCM-Prozesses, inkl. Policy, Verantwortlichkeiten, Prozessen, Überprüfung und kontinuierlicher Verbesserung.

• Kritische Infrastruktur (KRITIS): Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall nachhaltig wirkende Versorgungsengpässe oder Gefährdungen eintreten würden (Sektoren wie Energie, Wasser, Telekommunikation, Gesundheit etc.). In Deutschland im BSI-Gesetz geregelt. Unser Unternehmen gehört nicht direkt dazu, orientiert sich aber an ähnlichen Pflichten.

• NIS2: Europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (2022/2555). Weitet den Geltungsbereich der NIS-Regulierung aus, sodass nun auch viele Industrieunternehmen als “wichtige Einrichtungen” gelten und Vorgaben zu Risikomanagement, BCM, Meldungen etc. erfüllen müssen.

• BSI: Bundesamt für Sicherheit in der Informationstechnik. Nationale Cyber-Sicherheitsbehörde Deutschlands. Zuständig für KRITIS-Aufsicht, Zertifizierungen, Standards (IT-Grundschutz). Kann in unserer BCM-Dokumentation als Auditstelle auftreten.

• ISO 22301: Internationale Norm für Business Continuity Management Systeme. Definiert Anforderungen, um ein BCMS aufzubauen, aufrechtzuerhalten und kontinuierlich zu verbessern, sodass Organisationen gegen Unterbrechungen geschützt sind und angemessen reagieren können.

• BSI-Standard 200-4: Deutscher Standard/Leitfaden für BCM, orientiert an ISO 22301, praxisnah mit Stufenmodell und Hilfsmitteln (Glossar, Anforderungskatalog, Vorlagen). Hat den alten BSI-Standard 100-4 abgelöst.

• Notfall: In unserem Kontext ein Ereignis, das eine Störung wichtiger Geschäftsprozesse verursacht, die kurzfristig beherrschbar ist, aber besondere Maßnahmen erfordert. Abgrenzung: Eine Störung ist kleiner, ein Krise größer/lang andauernd. (Siehe Prioritätenschema: Notfall z.B. ab 1–4h Ausfall eines kritischen Prozesses).

• Krise: Eine außergewöhnliche Situation, die erhebliche Auswirkungen auf das Unternehmen hat und mit normalen Mitteln nicht bewältigt werden kann. Erfordert Krisenstab und strategische Entscheidungen. Geht oft aus einem Notfall hervor, wenn dieser eskaliert oder langanhält.

• Risikomanagement: Gesamtheit der Tätigkeiten zur systematischen Identifikation, Analyse, Bewertung, Bewältigung und Überwachung von Risiken. Im BCM-Kontext vor allem bezogen auf Ausfallsrisiken (z.B. Schadensereignisse).

• Business Impact Analyse (BIA): Verfahren zur Ermittlung der Auswirkungen möglicher Unterbrechungen auf die Geschäftsprozesse. Identifiziert kritische Prozesse und Ressourcen, und definiert Anforderungen (RTO, RPO etc.).

• RTO (Recovery Time Objective): Vorgabezeit, innerhalb derer ein Prozess oder System nach einem Ausfall wieder funktionieren muss (Wiederanlaufziel). Wird in BIA festgelegt. Beispiel: RTO = 4 Stunden bedeutet, spätestens nach 4h muss zumindest ein minimaler Betrieb wieder möglich sein.

• RPO (Recovery Point Objective): maximal tolerierbarer Datenverlust, gemessen in Zeit. Z.B. RPO = 1 Stunde bedeutet, Daten dürfen max. 1h zurückgesetzt werden (z.B. via Backup-Stand), neuere Daten müssen anderweitig erhalten bleiben.

• MTPD / MAO (Maximum Tolerable Period of Disruption / Maximum Acceptable Outage): Maximale tolerierte Ausfallzeit – der Zeitraum, nach dessen Verstreichen der Fortbestand des Prozess/Unternehmens ernsthaft gefährdet ist, wenn nicht wiederhergestellt wurde. Liegt meist etwas über RTO (RTO ist Ziel, MTPD absolute Schmerzgrenze).

• MBCO (Minimum Business Continuity Objective): Minimallevel an Leistung, das nach Wiederanlauf zunächst erreicht werden soll. Z.B. 50% Produktionsvolumen binnen 2 Tagen als Zwischenziel.

• Notfallplan: Konkret ausformulierter Plan mit Anweisungen, was bei Eintreten eines bestimmten Ereignisses zu tun ist, um Menschen zu schützen und Schaden zu begrenzen. Synonym auch “Notfallhandbuch” im engeren Sinne für eine Sammlung solcher Pläne. Enthält oft Checklisten, Ansprechpartner, Ablaufdiagramme.

• Wiederanlaufplan / Wiederherstellungsplan: Plan für die schrittweise Wiederaufnahme eines ausgefallenen Prozesses oder Systems, sobald das unmittelbare Notfallgeschehen vorbei ist. Kann auch provisorische Lösungen enthalten, um Kontinuität zu ermöglichen, bis Normalzustand erreicht.

• Krisenstab: Ad-hoc-Führungsgremium, zusammengesetzt aus Leitungspersonen, das im Ernstfall die Steuerung übernimmt. Unser Krisenstab folgt definierten Strukturen.

• Notfallteam (Einsatzteam): Gruppe von Mitarbeitern, oft Bereich-spezifisch (IT, Facility, Sicherheit), die im Ereignisfall operative Maßnahmen ergreifen (Feuer löschen, Systeme neu starten etc.). Haben meist Bereitschaftsdienst.

• Leitstelle / Sicherheitszentrale: Zentrale Stelle, die Notfälle entgegennimmt, Alarme auslöst und die Koordination bis zum Eintreffen der Teams übernimmt. Kann physisch eine Sicherheitszentrale sein (24/7 besetzt) oder zu Geschäftszeiten ein Service Desk.

• GLT (Gebäudeleittechnik): Computergesteuertes System zur Überwachung und Steuerung der Gebäudetechnik (Heizung, Lüftung, Klima, Strom, Sicherheit). Meldet Störungen (z.B. Pumpenausfall) und erlaubt Ferneingriffe. Wichtig im technischen Notfallmanagement.

• USV (Unterbrechungsfreie Stromversorgung): Batteriepuffer, der bei Stromausfall sofort einspringt, um Verbraucher überbrückungsweise zu versorgen. Dient v.a. dazu, die Zeit zu überbrücken, bis Notstromaggregate anlaufen, oder um geordnetes Herunterfahren zu ermöglichen.

• NEA (Notstrom-Ersatzanlage): i.d.R. Dieselgenerator, der bei Stromausfall Strom erzeugt. Braucht meist ~15 Sekunden bis Hochlauf, daher zusammen mit USV eingesetzt. Miet-NEA: mobil einsetzbares Aggregat von Dienstleister.

• NTC, Stulz, Siemens etc.: Beispiele für externe Servicepartner: NTC könnte ein Kälteanlagen-Notdienst sein, Stulz ein Klimatechnik-Hersteller, Siemens für Gebäudeautomation/Elektrik. Diese Firmen haben oft 24/7-Hotlines, die wir im Notfall kontaktieren.

• Exkulpation: Begriff im Betreiberverantwortungs-Kontext – Entlastung von Verantwortung durch Auslagerung oder organisatorische Pflichtenübertragung. Im Handbuch-Kontext: sicherstellen, dass alle gesetzlichen Betreiberpflichten erfüllt sind, um sich von Haftung zu entlasten (z.B. Prüfungen dokumentiert).

• ISMS (Information Security Management System): Managementsystem für Informationssicherheit (z.B. nach ISO 27001). BCM verzahnt sich damit, insbesondere im Bereich der IT-Notfallplanung.

• ITSCM (IT Service Continuity Management): Teil des BCM, fokussiert auf IT-Services. Entspricht im Prinzip dem, was ISO 27031 beschreibt – sicherstellen der IT-Continuity.

(Das Glossar kann bei Bedarf erweitert werden, insbesondere um firmenspezifische Begriffe oder Abkürzungen. Alle Mitarbeiter werden aufgefordert, Unklarheiten zu melden, damit das Glossar kontinuierlich verbessert werden kann.)

Im Anhang sind unterstützende Dokumente, Vorlagen und Checklisten zusammengestellt, die im Notfall oder für die Vorbereitung benutzt werden. Dieser Anhang ermöglicht es, schnell auf konkret nutzbare Hilfsmittel zuzugreifen.

• A.1.1 Notfallablaufplan Stromausfall: Diagramm/Checkliste mit Aktionen bei Stromstörung (Umschaltung, Entscheidung Mietaggregat, Kontakte Energieversorger).

• A.1.2 Notfallablaufplan Klimaanlage Rechenzentrum: Schrittfolge bei Ausfall der RZ-Kühlung (Tür auf, Notventilation, NTC-Service rufen etc.).

• A.1.3 Notfallablaufplan Wassereinbruch: inkl. Checkliste Wassereinbruch im RZ und allgemeiner Wasserschaden (Absperren, Abpumpen).

• A.1.4 Notfallablaufplan Feuer / Evakuierung: Wer macht Alarm, Räumungshelfer Aufgaben, Übergabe an Feuerwehr.

• A.1.5 Notfallablaufplan IT-Ausfall (Cyberangriff): Erste Maßnahmen bei Malwarebefall, Isolieren, Notbetrieb IT. - A.1.6 … (weitere Pläne je nach definierten Szenarien, z.B. NH3-Leck, Ausfall Telekommunikation, Bombendrohung etc.)

Diese Pläne liegen i.d.R. als Diagramme/Ablauflisten vor. In diesem Handbuch sind sie ggf. auszugsweise wiedergegeben, in der digitalen Version oder separaten Anlagen aber vollständig verfügbar.)

• A.2.1 Interne Alarmierungskette: Liste aller Mitglieder der Notfallteams und Krisenstab mit privaten Kontaktdaten (Telefon mobil, privat; E-Mail privat falls Firmenmail ausfällt). Ebenfalls Vertreterregelungen.

• A.2.2 Externe Notfallkontakte: Wichtige Telefonnummern externer Stellen (Feuerwehr, Polizei – lokal zuständige Dienststellen; Krankenhäuser/Urgent Care Center in der Nähe; Energieversorger Störungsdienst Strom/Gas/Wasser; Telekom Anbieter Notfallhotline; Umweltbehörde für Störfallmeldung; spezialisierte Dienstleister wie Kälteanlagen-Notdienst, Elektro-Notdienst, Gebäudereinigung Spezial (Brandreinigung), Notdruckerei für Etiketten falls unser IT ausfällt etc.). Diese Liste ist ein Auszug aus unserer zentralen Datenbank und wird quartalsweise aktualisiert.

• A.2.3 Lieferanten- und Kundeninfo (Notfall): Liste der Top-10 Lieferanten mit 24/7-Ansprechpartnern, ebenso Top-Kunden, um in der Krise direkt kommunizieren zu können (z.B. Großkunde hat ebenfalls BC-Ansprechpartner). [Vertraulich – nur für Krisenstab]

• A.3.1 Ereignis-Meldeformular: Standardformular zur ersten Aufnahme eines Vorfalls. Wird von der Leitstelle oder dem Notfallteam ausgefüllt. Enthält Felder: Zeitpunkt, Melder, Ereignisbeschreibung, betroffener Bereich, getroffene Sofortmaßnahmen, noch benötigte Unterstützung, Einstufung (Störung/Notfall/Krise). Dient auch als Ausgangsdokument fürs Krisenprotokoll.

• A.3.2 Einsatztagebuch Vorlage: Tabellenblatt zum Mitschreiben aller Ereignisse und Maßnahmen während des Notfalls, mit Spalten für Zeit, Ereignis/Entscheidung, Verantwortlicher, Status.

• A.3.3 Checkliste Evakuierungshilfe: Schritt-für-Schritt-Liste für Räumungshelfer (was tun bei Alarm, wo sammeln, wen informieren wenn Bereich leer etc.).

• A.3.4 Kommunikationsvorlagen: Vorformulierte Texte für erste Mitarbeiterinfo, Pressemitteilung Grundgerüst, Kundenbenachrichtigung (“Leider hat ein unvorhergesehener Zwischenfall…wir tun alles um...”) – individualisierbar im Ernstfall.

• A.3.5 Berichtsvorlage für Vorfallauswertung: Template, das nach einem Ereignis vom Krisenstab auszufüllen ist, um Hergang, Ursache, Auswirkungen, Kosten, Lessons Learned etc. zu dokumentieren. Hilft bei der formalen Nachbereitung und ggf. für Versicherung.

• A.3.6 BCM-Übungsbericht Vorlage: Struktur um Ergebnisse von Übungen festzuhalten (Ziele, Ablauf, Beobachtungen, Maßnahmenliste).

• A.3.7 Kritische Anlagen Übersicht: Tabelle aller technischen Anlagen mit Kritikalitätsklasse (A/B/C), Verantwortlicher Betreiber, Wartungsintervall, Notfall-Ersatzmaßnahmen. (Auszugsweise aus Gebäudetechnik-Handbuch: z.B. Trafostation – Klasse A, Wartung jährl., Ersatz: mobile Einspeisung möglich; Druckluft – Klasse B, Redundanz intern etc.).

• A.4.1 BCM-Policy Dokument: Offizielle Leitlinie der Geschäftsführung zum BCM (Vision, Ziele, Geltungsbereich) – bereits im Handbuchtext integriert, hier nochmal separat unterschrieben.

• A.4.2 Ausbildungsnachweise: Liste geschulter Personen (Ersthelfer, Brandschutzhelfer, BCM-Team Schulungen) – für Audit bereitgestellt.

• A.4.3 Versicherungsverträge (kurze Übersicht): Auflistung relevanter Versicherungen mit Policennummern und Notfall-Hotlines (für schnelle Schadenmeldung).

• A.4.4 Genehmigungen und behördliche Auflagen: Kopien von Auflagen, die im Notfall relevant sind (z.B. Störfallverordnung-Betriebe müssen bestimmte Infos bereithalten, Emissionsschutz-Genehmigung mit Auflagen bei Störfall – hier abgelegt zur Einsicht für Einsatzleiter).

• A.4.5 Änderungshistorie des BCM-Handbuchs: Tabelle mit Version, Datum, Verantwortlichem, Beschreibung der Änderung. Zeigt z.B. “Version 1.0 Jan 2025 – Erstausgabe; Version 1.1 Okt 2025 – Anpassung an NIS2-Umsetzungsgesetz etc.”.

Der Anhang ist gemäß unseren internen Verteilungsrichtlinien teils vertraulich. Beispielsweise detaillierte Kontaktlisten enthalten personenbezogene Daten (Telefonnummern), die geschützt behandelt werden. Das Handbuch wird daher in einer gekürzten öffentlichen Version ohne sensible Anhangteile bereitgestellt, während die vollständige Version kontrolliert intern verteilt wird.