01715 Tests und Übungen im BCM und ITSCM
|
Tests und Übungen sind im BCM und ITSCM elementar, um die Funktionsfähigkeit der Notfallvorsorge für Geschäftsprozesse und deren Ressourcen zu überprüfen und sicherzustellen. Neben der Überprüfung der Notfallvorsorgemaßnahmen trainieren Tests und Übungen die Beteiligten in den Notfallprozeduren und geben hierdurch eine größere Sicherheit im Umgang mit ungeplanten Ereignissen. Die wesentlichen Komponenten eines Test- und Übungsprogramms sind die übergreifende Test- und Übungsrahmenplanung, die Festlegung von Test- und Übungsarten zur Erreichung der Testziele, Methoden, Verfahren und Templates zur Vorbereitung, Durchführung und Auswertung von Tests und Übungen sowie zur Dokumentation.
Dieser Beitrag beschreibt auf der Basis etablierter Standards und Best Practices die Anforderungen an Tests und Übungen sowie die wesentlichen Komponenten zur Umsetzung des Test- und Übungsmanagements und gibt Hilfen für deren konkrete Umsetzung. von: |
1 Bedeutung von Tests und Übungen
Tests und Übungen sind ein elementarer Bestandteil im Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM).
Tests und Übungen dienen vor allem dazu,
| • | die Funktionsfähigkeit der Notfallvorsorge für BCM und IT zu überprüfen, |
| • | Schwachstellen und Verbesserungspotenziale zu identifizieren, |
| • | die Beteiligten in den Verfahren zu trainieren, |
| • | den Nachweis über die Funktionsfähigkeit der Notfallvorsorge zu führen und |
| • | damit gesetzlichen und regulatorischen Anforderungen nachzukommen. |
Nutzen von Tests und Übungen
Ein weiterer wesentlicher Nutzen von Tests und Übungen ist die Awareness-Bildung für BCM und ITSCM. Die Beteiligten erleben hautnah den Mehrwert einer guten Notfallvorsorge – eine gut vorbereitete und durchgeführte Übung vorausgesetzt. In diesem Beitrag werden die Anforderungen an Tests und Übungen auf der Basis von BCM- und ITSCM-Standards sowie Good Practices aufgezeigt. Auf der Grundlage eines Frameworks für Tests und Übungen werden nachfolgend die elementaren Bausteine eines Test- und Übungskonzepts dargestellt.
Ein weiterer wesentlicher Nutzen von Tests und Übungen ist die Awareness-Bildung für BCM und ITSCM. Die Beteiligten erleben hautnah den Mehrwert einer guten Notfallvorsorge – eine gut vorbereitete und durchgeführte Übung vorausgesetzt. In diesem Beitrag werden die Anforderungen an Tests und Übungen auf der Basis von BCM- und ITSCM-Standards sowie Good Practices aufgezeigt. Auf der Grundlage eines Frameworks für Tests und Übungen werden nachfolgend die elementaren Bausteine eines Test- und Übungskonzepts dargestellt.
Begriffe
Es gibt zahlreiche – nicht vereinheitlichte – Begrifflichkeiten für die unterschiedlichen Formen von Tests und Übungen. Hier wird generell der Begriff „Tests und Übungen” als Oberbegriff für alle Test- und Übungsarten verwendet. Tests decken die technisch orientierten Testverfahren ab, Übungen die simulationsbasierten Überprüfungen der Notfallvorsorge. Zum Business Continuity Management und der Einordnung der Tests und Übungen in den Lebenszyklus des BCM sei hier auch auf den Beitrag in Kap. 01710 verwiesen.
Es gibt zahlreiche – nicht vereinheitlichte – Begrifflichkeiten für die unterschiedlichen Formen von Tests und Übungen. Hier wird generell der Begriff „Tests und Übungen” als Oberbegriff für alle Test- und Übungsarten verwendet. Tests decken die technisch orientierten Testverfahren ab, Übungen die simulationsbasierten Überprüfungen der Notfallvorsorge. Zum Business Continuity Management und der Einordnung der Tests und Übungen in den Lebenszyklus des BCM sei hier auch auf den Beitrag in Kap. 01710 verwiesen.
2 Standards und Good Practices für Tests und Übungen im BCM und ITSCM
ISO/IEC 27031
Die Bedeutung von Tests und Übungen wird auch in den BCM- und ITSCM-Standards deutlich. Der Standard ISO/IEC 27031 „Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity" [1] (vgl. Kap. 07313) beschreibt die Anforderungen an Tests und Übungen für IT- und Telekommunikationsservices (ITK). Der Standard betont, dass Tests und Übungen sich nicht nur auf die Wiederherstellung der ITK-Services beschränken dürfen, sondern auch der Schutz der Assets vor Störungen jeglicher Stärke und die Minimierung der Schadensauswirkungen Teil der Tests und Übungen sein sollen.
Die Bedeutung von Tests und Übungen wird auch in den BCM- und ITSCM-Standards deutlich. Der Standard ISO/IEC 27031 „Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity" [1] (vgl. Kap. 07313) beschreibt die Anforderungen an Tests und Übungen für IT- und Telekommunikationsservices (ITK). Der Standard betont, dass Tests und Übungen sich nicht nur auf die Wiederherstellung der ITK-Services beschränken dürfen, sondern auch der Schutz der Assets vor Störungen jeglicher Stärke und die Minimierung der Schadensauswirkungen Teil der Tests und Übungen sein sollen.
Umfang von Tests und Übungen
Tests und Übungen müssen Teil eines übergreifenden Testprogramms sein, in dem Häufigkeit, Umfang und Form der Tests und Übungen laufend geplant werden. Der Umfang von Tests und Übungen wird im ISO/IEC 27031 ebenfalls adressiert: Gegenstand von Tests und Übungen sollen alle Elemente der Wiederherstellung der IT und Telekommunikation sein. Hierzu gehören nicht nur die technischen Komponenten, sondern auch IT-Prozesse und -Verfahren inklusive Alarmierung und Krisenmanagement. Da nicht alle diese Bestandteile des ITSCM initial gesamthaft getestet werden können, empfiehlt der Standard einen progressiven Ansatz, ausgehend vom Test einzelner Komponenten über gesamte Lokationen bis zu End-to-End-Tests mit Schwenks zwischen primärer und sekundärer Lokation.
Tests und Übungen müssen Teil eines übergreifenden Testprogramms sein, in dem Häufigkeit, Umfang und Form der Tests und Übungen laufend geplant werden. Der Umfang von Tests und Übungen wird im ISO/IEC 27031 ebenfalls adressiert: Gegenstand von Tests und Übungen sollen alle Elemente der Wiederherstellung der IT und Telekommunikation sein. Hierzu gehören nicht nur die technischen Komponenten, sondern auch IT-Prozesse und -Verfahren inklusive Alarmierung und Krisenmanagement. Da nicht alle diese Bestandteile des ITSCM initial gesamthaft getestet werden können, empfiehlt der Standard einen progressiven Ansatz, ausgehend vom Test einzelner Komponenten über gesamte Lokationen bis zu End-to-End-Tests mit Schwenks zwischen primärer und sekundärer Lokation.
ISO 22301
Für das Business Continuity Management (BCM) sind die Anforderungen an Tests und Übungen in den Standards ISO 22301 „Societal security – Business continuity management systems – Requirements” und ISO 22313 „Societal security – Business continuity management systems – Guidance" [2] beschrieben. ISO 22301 spezifiziert die Mindestanforderungen für eine Zertifizierung des Business-Continuity-Management-Systems (BCMS). Über die Zeit hinweg müssen alle Elemente der Notfallvorsorge inklusive der „interested parties" im Rahmen von Tests und Übungen überprüft werden. Der Begriff „interested parties” („Stakeholder”) wurde in ISO 22301 neu eingeführt und betont die Einbeziehung aller relevanten externen Parteien in das BCM. Hierzu zählen die Unternehmen der Lieferkette, Kunden und Vertriebsorganisationen, aber auch Behörden, Öffentlichkeit und Anwohner. Tests und Übungen sind zu geplanten Zyklen durchzuführen sowie bei größeren Änderungen in der Organisation. In der Übungsdokumentation müssen die Übungsergebnisse, identifizierte Schwachstellen, Empfehlungen und Maßnahmen enthalten sein. Für die Übungsformate wird auf die ISO 22398 verwiesen.
Für das Business Continuity Management (BCM) sind die Anforderungen an Tests und Übungen in den Standards ISO 22301 „Societal security – Business continuity management systems – Requirements” und ISO 22313 „Societal security – Business continuity management systems – Guidance" [2] beschrieben. ISO 22301 spezifiziert die Mindestanforderungen für eine Zertifizierung des Business-Continuity-Management-Systems (BCMS). Über die Zeit hinweg müssen alle Elemente der Notfallvorsorge inklusive der „interested parties" im Rahmen von Tests und Übungen überprüft werden. Der Begriff „interested parties” („Stakeholder”) wurde in ISO 22301 neu eingeführt und betont die Einbeziehung aller relevanten externen Parteien in das BCM. Hierzu zählen die Unternehmen der Lieferkette, Kunden und Vertriebsorganisationen, aber auch Behörden, Öffentlichkeit und Anwohner. Tests und Übungen sind zu geplanten Zyklen durchzuführen sowie bei größeren Änderungen in der Organisation. In der Übungsdokumentation müssen die Übungsergebnisse, identifizierte Schwachstellen, Empfehlungen und Maßnahmen enthalten sein. Für die Übungsformate wird auf die ISO 22398 verwiesen.
ISO 22398
ISO 22398 „Societal security – Guidelines for exercises and testing" [3] befindet sich zum Zeitpunkt der Veröffentlichung in der Entwicklung durch das Technical Committee 223 der ISO. ISO 22398 definiert ein Framework für Tests und Übungen, das dem PDCA-Zyklus folgt. Das Framework ist in Abbildung 1 dargestellt.
Framework für Tests und ÜbungenISO 22398 „Societal security – Guidelines for exercises and testing" [3] befindet sich zum Zeitpunkt der Veröffentlichung in der Entwicklung durch das Technical Committee 223 der ISO. ISO 22398 definiert ein Framework für Tests und Übungen, das dem PDCA-Zyklus folgt. Das Framework ist in Abbildung 1 dargestellt.
In der Phase „Establishing the foundation” werden die Grundlagen für das Übungs- und Testmanagement in Form eines Test- und Übungsframewoks gelegt. Grundlage für das Framework ist eine GAP-Analyse, in der Anforderungen, Ziele und Bedeutung des Test- und Übungsmanagements für das Unternehmen identifiziert werden. Eine weitere elementare Grundlage für ein erfolgreiches Test- und Übungsmanagement bildet die Unterstützung durch das Management, Beteiligte und Stakeholder. Das Framework hat das Ziel, Anforderungen, Kosten und Risiken angemessen auszubalancieren. Es bildet die Grundlage für die Planung der Tests und Übungen. Als Mindestanforderungen für die Test- und Übungsplanung definiert ISO 22398
| Mindestanforderungen | |
| • | eine Langzeitplanung, in der Tests und Übungen über einen Zeitraum von ein bis drei Jahren geplant werden. Die Langzeitplanung wird durch das Management freigegeben und bildet die Basis für die Jahresplanung; |
| • | eine Jahresplanung, in der Tests und Übungen gemäß den Zielen geplant werden. |
ISO 22398 unterscheidet zwischen Test- und Übungstypen und -Methoden. Test- und Übungstypen sind
| Test- und Übungstypen | |
| • | Alarmierungsübung: Test des Alarmierungsverfahrens |
| • | Startübung: Test der Aktivierung der Krisenmanagementorganisation |
| • | Mitarbeiterübung |
| • | Entscheidungsübung |
| • | Managementübung |
| • | Kooperationsübung |
| • | Krisenmanagementübung |
| • | Strategische Übung |
Übungsmethoden
Bei den Übungsmethoden differenziert der Standard grundsätzlich zwischen diskussionsbasierten (Seminar, Workshop, Schreibtischtest, Rollenspiele) und operativen Tests und Übungen (Drill, Funktionstest, Vollübung).
Bei den Übungsmethoden differenziert der Standard grundsätzlich zwischen diskussionsbasierten (Seminar, Workshop, Schreibtischtest, Rollenspiele) und operativen Tests und Übungen (Drill, Funktionstest, Vollübung).
ISO 22398 gesteht jedoch ein, dass es weltweit sehr unterschiedliche Begriffsdefinitionen für Tests und Übungen gibt und es daher schwierig ist, diese Begriffe zu standardisieren.
Es ist daher fundamental, dass ein Unternehmen zunächst für sich im Rahmen des Test- und Übungsframeworks die Methoden und Tools beschreibt und definiert (Glossar, Policy und Handbuch), um innerhalb der Organisation und vor allem auch in der Kommunikation mit anderen Unternehmen präzise und eindeutig kommunizieren zu können.
BSI 100-4
Der deutsche Standard für das Notfallmanagement BSI 100-4 [4] des Bundesamtes für Sicherheit in der Informationstechnik BSI definiert ebenfalls Test- und Übungsarten, beschreibt die erforderlichen Dokumentationen sowie den Prozess für die Durchführung von Tests und Übungen. Abbildung 2 stellt die Kategorisierung der Übungsarten im BSI 100-4 dar.
Der deutsche Standard für das Notfallmanagement BSI 100-4 [4] des Bundesamtes für Sicherheit in der Informationstechnik BSI definiert ebenfalls Test- und Übungsarten, beschreibt die erforderlichen Dokumentationen sowie den Prozess für die Durchführung von Tests und Übungen. Abbildung 2 stellt die Kategorisierung der Übungsarten im BSI 100-4 dar.
Ergänzt wird der Standard seit Ende 2012 durch ein Umsetzungsrahmenwerk, das online auf den Seiten des BSI verfügbar ist [5].
Das Umsetzungsrahmenwerk richtet sich an Behörden und Unternehmen, die gerade dabei sind, ein Notfallmanagement aufzubauen. Es enthält Vorlagen und Templates als Basiswerkzeuge für die grundlegende Umsetzung aller Phasen des Notfallmanagements. Bestandteil dieses Umsetzungsrahmenwerks ist auch ein Modul „Tests und Übungen” mit Templates für die Gesamtrahmenplanung, Übungsplanung, -protokollierung, -auswertung und Ergebnisdokumentation.
Good Practice Guidelines (GPG)
Die Good Practice Guidelines (GPG) [6] des Business Continuity Institute (BCI) beschreiben Methoden und Verfahren zur Implementierung von Business Continuity Management. Im Gegensatz zu Standards steht bei den GPG das „wie” in Form von Expertenwissen im Vordergrund gegenüber dem „was” der ISO-Normen. Basis der GPG ist der BCM Lifecycle, der die unterschiedlichen Phasen zur Implementierung und den Betrieb eines BCM darstellt. Hierbei wird zwischen Management Practices (Policy und Programme Management) und Technischen Practices (Analysis, Design, Implementation, Validation) unterschieden.
Die Good Practice Guidelines (GPG) [6] des Business Continuity Institute (BCI) beschreiben Methoden und Verfahren zur Implementierung von Business Continuity Management. Im Gegensatz zu Standards steht bei den GPG das „wie” in Form von Expertenwissen im Vordergrund gegenüber dem „was” der ISO-Normen. Basis der GPG ist der BCM Lifecycle, der die unterschiedlichen Phasen zur Implementierung und den Betrieb eines BCM darstellt. Hierbei wird zwischen Management Practices (Policy und Programme Management) und Technischen Practices (Analysis, Design, Implementation, Validation) unterschieden.
Tests und Übungen sind neben Wartung und Review Bestandteil der Phase „Validation”. Abbildung 3 stellt den BCM Lifecycle aus dem GPG 2013 mit der Phase „Validation” dar.
BCM Lifecycle
3 Framework für Tests und Übungen
Die dargestellten Standards für das BCM und ITSCM fordern die Einbettung der Tests und Übungen in ein Gesamtframework. Dies stellt sicher, dass die Tests und Übungen einheitlichen Methoden und Verfahren folgen und vor allem inhaltlich und zeitlich aufeinander abgestimmt sind. Nur durch die Einbettung in ein Framework kann das Ziel einer ganzheitlichen Abdeckung erreicht werden. In diesem Beitrag wird nachfolgend ein solches Framework für Tests und Übungen entwickelt und die einzelnen Bausteine dieses Frameworks werden beschrieben.
Bestandteile des Test- und Übungsframeworks
Wesentliche Bestandteile des Test- und Übungsframeworks sind in Abbildung 4 dargestellt. Es sind
Wesentliche Bestandteile des Test- und Übungsframeworks sind in Abbildung 4 dargestellt. Es sind
| • | Policy, Organisation, Richtlinien, Methoden und Verfahren (Governance für Tests und Übungen), |
| • | Test- und Übungsprogramm und |
| • | Test- und Übungszyklus. |
BIA
Die wesentlichen Grundlagen für Tests und Übungen im BCM und ITSCM sind die Ergebnisse der Business Impact Analyse (BIA). Im Rahmen der BIA werden die unternehmenskritischen Prozesse und Produkte ermittelt, auf die ein primärer Fokus bei den Tests und Übungen gelegt werden muss.
Die wesentlichen Grundlagen für Tests und Übungen im BCM und ITSCM sind die Ergebnisse der Business Impact Analyse (BIA). Im Rahmen der BIA werden die unternehmenskritischen Prozesse und Produkte ermittelt, auf die ein primärer Fokus bei den Tests und Übungen gelegt werden muss.
Prozesse, Infrastruktur, Prozess-Ressourcen (IT, Personal, Gebäude/Arbeitsplätze) und Dienstleister sind zugleich wichtige Ressourcen, aber auch Gegenstand der Tests und Übungen. Die Einbeziehung der „interested parties” spielt eine immer größere Rolle. Kein Unternehmen kann ohne externe Partner überleben. Die Einbeziehung dieser Partner in die Tests und Übungen ist daher essentiell.
Die wesentlichen Komponenten dieses Frameworks werden nachfolgend im Einzelnen beschrieben.
3.1 Test- und Übungspolicy
Nachhaltige Unterstützung des Managements
Und noch eine Policy oder Richtlinie, werden Sie vielleicht denken. Wenn man sich jedoch die Gründe für Schwierigkeiten oder gar das Scheitern von Tests und Übungen ansieht, wird die Sinnhaftigkeit einer übergeordneten, vom Management verabschiedeten Test- und Übungsrichtlinie deutlich. Die kritischen Erfolgsfaktoren für erfolgreiche Tests und Übungen liegen weit vor der eigentlichen Durchführung. Bereits die Abstimmung eines gemeinsamen Termins mit allen Beteiligten oder die Bereitstellung aller notwendigen Ressourcen aus den erforderlichen Fachbereichen lässt Tests und Übungen oftmals frühzeitig scheitern. Ohne eine nachhaltige Unterstützung des Managements in der Bereitstellung dieser Ressourcen bleibt so manchem Testverantwortlichen nur das frustrierte Warten auf eine Feststellung der Wirtschaftsprüfer, um den nötigen Druck auf die Bereitstellung der Ressourcen zu erhalten. Unter derartigem Druck leiden dann die Qualität und vor allem die Motivation der Beteiligten. Ein Teufelskreis nimmt seinen Anfang.
Und noch eine Policy oder Richtlinie, werden Sie vielleicht denken. Wenn man sich jedoch die Gründe für Schwierigkeiten oder gar das Scheitern von Tests und Übungen ansieht, wird die Sinnhaftigkeit einer übergeordneten, vom Management verabschiedeten Test- und Übungsrichtlinie deutlich. Die kritischen Erfolgsfaktoren für erfolgreiche Tests und Übungen liegen weit vor der eigentlichen Durchführung. Bereits die Abstimmung eines gemeinsamen Termins mit allen Beteiligten oder die Bereitstellung aller notwendigen Ressourcen aus den erforderlichen Fachbereichen lässt Tests und Übungen oftmals frühzeitig scheitern. Ohne eine nachhaltige Unterstützung des Managements in der Bereitstellung dieser Ressourcen bleibt so manchem Testverantwortlichen nur das frustrierte Warten auf eine Feststellung der Wirtschaftsprüfer, um den nötigen Druck auf die Bereitstellung der Ressourcen zu erhalten. Unter derartigem Druck leiden dann die Qualität und vor allem die Motivation der Beteiligten. Ein Teufelskreis nimmt seinen Anfang.
Eine Policy kann an dieser Stelle keine Wunder vollbringen und Ressourcen schaffen, doch schafft sie wesentliche Grundlagen hierfür, indem klare Verantwortlichkeiten bis zum Management definiert werden. Tests und Übungen sind immer ein Ringen um Ressourcen und sie stehen oftmals in scharfem Wettbewerb mit Vorhaben, die einen größeren Return on Investment versprechen. Umso wichtiger ist die abgestimmte Festlegung eines Mindestumfangs unter Abwägung der Kosten und Nutzen sowie der gesetzlichen und aufsichtsrechtlichen Anforderungen.
Tabelle 1: Inhalte einer Test- und Übungspolicy
Tests und Übungen | |||||||||||
Geltungsbereich |
| ||||||||||
Anforderungen |
| ||||||||||
Organisation |
| ||||||||||
Test- und Übungsformen |
| ||||||||||
Mindestanforderungen |
| ||||||||||
Berichtswesen |
| ||||||||||
Auditierung |
| ||||||||||
Sign off Management |
| ||||||||||
Zyklus und Umfang
Die Regelungen in der Policy betreffen den Zyklus und den Umfang der Tests und Übungen. Abhängig von Kritikalität und Wiederanlaufanforderungen der Prozesse und deren Ressourcen wird der Mindestumfang der Tests und Übungen festgelegt. Dies kann zum Beispiel bedeuten, dass kritische Geschäftsprozesse und Ressourcen mindestens einmal jährlich getestet werden müssen. Besonderes Augenmerk ist auf Regelungen zu prozessketten-, unternehmens- und plattformübergreifenden Tests und Übungen zu legen. Diese erweisen sich in der Praxis als besonders anspruchsvoll in Planung und Durchführung. Auf der anderen Seite stellen sie die größtmögliche Realitätsnähe sicher und werden daher von den Aufsichtsbehörden zunehmend eingefordert. Die konkrete Ausgestaltung der Mindestanforderungen erfolgt in der Test- und Übungsrahmenplanung.
Die Regelungen in der Policy betreffen den Zyklus und den Umfang der Tests und Übungen. Abhängig von Kritikalität und Wiederanlaufanforderungen der Prozesse und deren Ressourcen wird der Mindestumfang der Tests und Übungen festgelegt. Dies kann zum Beispiel bedeuten, dass kritische Geschäftsprozesse und Ressourcen mindestens einmal jährlich getestet werden müssen. Besonderes Augenmerk ist auf Regelungen zu prozessketten-, unternehmens- und plattformübergreifenden Tests und Übungen zu legen. Diese erweisen sich in der Praxis als besonders anspruchsvoll in Planung und Durchführung. Auf der anderen Seite stellen sie die größtmögliche Realitätsnähe sicher und werden daher von den Aufsichtsbehörden zunehmend eingefordert. Die konkrete Ausgestaltung der Mindestanforderungen erfolgt in der Test- und Übungsrahmenplanung.
Rollen im Test- und Übungsmanagement
Bei der Planung und Durchführung von Tests und Übungen sind zahlreiche Rollen inner- und außerhalb des Unternehmens involviert. Eine klare Regelung der Aufgaben, Kompetenzen, Verantwortungen und Schnittstellen ist daher elementar. In der Regel gibt es in der Praxis in Unternehmen zentrale Verantwortlichkeiten für die Erstellung und Überwachung der Test- und Übungsrahmenplanungen. Die Durchführung der Tests und Übungen erfolgt dezentral in den Fachbereichen. Insbesondere bereichs- und länderübergreifende Übungen erfordern jedoch eine übergreifende koordinierende Stelle. In der Policy werden den Rollen die konkreten Aufgaben, Verantwortlichkeiten und Kompetenzen zugewiesen. Unternehmensinterne Rollen im Test- und Übungsmanagement sind in Tabelle 2 dargestellt.
Bei der Planung und Durchführung von Tests und Übungen sind zahlreiche Rollen inner- und außerhalb des Unternehmens involviert. Eine klare Regelung der Aufgaben, Kompetenzen, Verantwortungen und Schnittstellen ist daher elementar. In der Regel gibt es in der Praxis in Unternehmen zentrale Verantwortlichkeiten für die Erstellung und Überwachung der Test- und Übungsrahmenplanungen. Die Durchführung der Tests und Übungen erfolgt dezentral in den Fachbereichen. Insbesondere bereichs- und länderübergreifende Übungen erfordern jedoch eine übergreifende koordinierende Stelle. In der Policy werden den Rollen die konkreten Aufgaben, Verantwortlichkeiten und Kompetenzen zugewiesen. Unternehmensinterne Rollen im Test- und Übungsmanagement sind in Tabelle 2 dargestellt.
Tabelle 2: Rollen im Test- und Übungsmanagement
Rollen „Tests und Übungen” | |||||||||
Vertreter des Managements |
| ||||||||
zentrales BCM/ITSCM |
| ||||||||
Fachbereichsleitung |
| ||||||||
dezentrales BCM/ITSCM |
| ||||||||
Testpersonen |
| ||||||||
unabhängige Beobachter |
| ||||||||
Facility Management |
| ||||||||
IT |
| ||||||||
Anwendungsbetreuer |
| ||||||||
Test- und Übungssteuerung |
| ||||||||
Unternehmenssicherheit |
| ||||||||
Schauspieler, Komparsen |
| ||||||||
Externe |
| ||||||||
Test- und Übungsarten
Ein weiterer wichtiger Regelungspunkt ist die Definition von Test- und Übungsarten. Leider gibt es bei der Definition von Test- und Übungsarten einen regelrechten Wildwuchs, der zudem ständig zunimmt. Dies kann leicht zu Missverständnissen über den Inhalt und Umfang von Tests und Übungen führen. In der internen Kommunikation, insbesondere aber auch in der externen Kommunikation mit Kunden, Dienstleistern, Wirtschaftsprüfern und Aufsichtsbehörden ist eine eindeutige Begriffsdefinition daher unabdingbar. Grundlagen hierfür ist zum Beispiel der deutsche Standard BSI 100-4 oder der internationale Standard ISO 22398.
Ein weiterer wichtiger Regelungspunkt ist die Definition von Test- und Übungsarten. Leider gibt es bei der Definition von Test- und Übungsarten einen regelrechten Wildwuchs, der zudem ständig zunimmt. Dies kann leicht zu Missverständnissen über den Inhalt und Umfang von Tests und Übungen führen. In der internen Kommunikation, insbesondere aber auch in der externen Kommunikation mit Kunden, Dienstleistern, Wirtschaftsprüfern und Aufsichtsbehörden ist eine eindeutige Begriffsdefinition daher unabdingbar. Grundlagen hierfür ist zum Beispiel der deutsche Standard BSI 100-4 oder der internationale Standard ISO 22398.
Freigabe der Policy durch das Management
Die Freigabe der Policy durch das Management und die konkrete Benennung einer verantwortlichen Person in der Unternehmensleitung tragen wesentlich zur Durchsetzungsfähigkeit der verbindlichen Regelungen der Policy zu Tests und Übungen bei.
Die Freigabe der Policy durch das Management und die konkrete Benennung einer verantwortlichen Person in der Unternehmensleitung tragen wesentlich zur Durchsetzungsfähigkeit der verbindlichen Regelungen der Policy zu Tests und Übungen bei.
3.2 Test- und Übungsprogramm
Übungsrahmenplan
„Wer das erste Knopfloch verfehlt, kommt mit dem Zuknöpfen nicht zu Rande”, stellte bereits Johann Wolfgang von Goethe fest. Für Tests und Übungen gilt dies analog. Der „erste Knopf” ist hierbei die Planung. Ressourcen für Tests und Übungen sind „Mangelware”. Dies gilt ganz besonders für Testtermine im IT-Umfeld. Dass es nur wenige freie Zeitfenster für Tests und Übungen in der IT gibt, ist der Normalfall. Frozen Zones für Jahresabschlussarbeiten und Wartungsarbeiten schränken die freien Zeiträume weiter ein. Diese Zeitfenster liegen zudem in der Regel an Wochenenden. Nur durch eine sehr langfristige Planung mit rund einem Jahr Vorlauf können diese Zeitfenster für Tests und Übungen auch effektiv genutzt werden.
„Wer das erste Knopfloch verfehlt, kommt mit dem Zuknöpfen nicht zu Rande”, stellte bereits Johann Wolfgang von Goethe fest. Für Tests und Übungen gilt dies analog. Der „erste Knopf” ist hierbei die Planung. Ressourcen für Tests und Übungen sind „Mangelware”. Dies gilt ganz besonders für Testtermine im IT-Umfeld. Dass es nur wenige freie Zeitfenster für Tests und Übungen in der IT gibt, ist der Normalfall. Frozen Zones für Jahresabschlussarbeiten und Wartungsarbeiten schränken die freien Zeiträume weiter ein. Diese Zeitfenster liegen zudem in der Regel an Wochenenden. Nur durch eine sehr langfristige Planung mit rund einem Jahr Vorlauf können diese Zeitfenster für Tests und Übungen auch effektiv genutzt werden.
Langfristige Vorbereitung
Die Übungsrahmenplanung sollte daher in Form einer gestaffelten Planung durchgeführt werden, bestehend aus einer strategischen Rahmenplanung über zwei bis drei Jahre und einer weiteren taktischen Planung über einen Zeitraum von zwölf Monaten. Die Abbildung 5 stellt den Zusammenhang zwischen strategischer Rahmenplanung, taktischer und operativer Planung dar.
Die Übungsrahmenplanung sollte daher in Form einer gestaffelten Planung durchgeführt werden, bestehend aus einer strategischen Rahmenplanung über zwei bis drei Jahre und einer weiteren taktischen Planung über einen Zeitraum von zwölf Monaten. Die Abbildung 5 stellt den Zusammenhang zwischen strategischer Rahmenplanung, taktischer und operativer Planung dar.
3.2.1 Strategische Rahmenplanung
Strategische Test- und Übungsrahmenplanung
Die strategische Test- und Übungsrahmenplanung umfasst einen Zeithorizont von zwei bis drei Jahren. Für diesen Zeitrahmen werden die Zeitfenster der Übungen mit den Beteiligten abgestimmt. Dies sind unternehmensintern neben den Fachbereichen insbesondere die IT, das Facility Management, die Fachbereiche sowie das Management für deren Beteiligung an Krisenstabsübungen. Extern werden Test- und Übungstermine in der strategischen Rahmenplanung mit Kunden, Dienstleistern und Behörden sowie „Blaulichtorganisationen” abgestimmt. Die strategische Rahmenplanung legt, neben den Terminen, Beteiligte sowie Test- und Übungsart im Planungszeitraum fest. Geplant wird „was” „wann” „durch wen” und „mit wem” „wie” getestet wird.
Die strategische Test- und Übungsrahmenplanung umfasst einen Zeithorizont von zwei bis drei Jahren. Für diesen Zeitrahmen werden die Zeitfenster der Übungen mit den Beteiligten abgestimmt. Dies sind unternehmensintern neben den Fachbereichen insbesondere die IT, das Facility Management, die Fachbereiche sowie das Management für deren Beteiligung an Krisenstabsübungen. Extern werden Test- und Übungstermine in der strategischen Rahmenplanung mit Kunden, Dienstleistern und Behörden sowie „Blaulichtorganisationen” abgestimmt. Die strategische Rahmenplanung legt, neben den Terminen, Beteiligte sowie Test- und Übungsart im Planungszeitraum fest. Geplant wird „was” „wann” „durch wen” und „mit wem” „wie” getestet wird.
Wesentliche Parameter
Wesentliche Parameter für die strategische Test- und Übungsrahmenplanung sind
Wesentliche Parameter für die strategische Test- und Übungsrahmenplanung sind
| • | externe und interne Anforderungen an Tests und Übungen, |
| • | Ergebnisse der Business-Impact-Analysen, |
| • | die Testobjekte, |
| • | Verantwortliche und Beteiligte der Tests und Übungen, |
| • | Zeitfenster der internen Bereiche und externen „interested parties” für die Durchführung von Tests und Übungen, |
| • | unternehmensübergreifende Koordination der Aktivitäten, |
| • | Abdeckung der qualitativen und quantitativen Anforderungen an Tests und Übungen gemäß Policy. |
Kritische Infrastrukturen
Die Anforderungen an die Durchführung von Tests und Übungen ergeben sich aus gesetzlichen und regulatorischen sowie intern definierten Anforderungen. Insbesondere Unternehmen und Organisationen der Kritischen Infrastrukturen (KRITIS) unterliegen besonderen Anforderungen an die Ausgestaltung des Business Continuity Management und des Nachweises der Funktionsfähigkeit durch Tests und Übungen. Zu den Branchen der Kritischen Infrastrukturen zählen Unternehmen, Behörden und Organisationen der Sektoren Energie, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung, Medien und Kultur. Weitere Informationen gibt es auf der KRITIS-Webseite des Bundes [7].
Die Anforderungen an die Durchführung von Tests und Übungen ergeben sich aus gesetzlichen und regulatorischen sowie intern definierten Anforderungen. Insbesondere Unternehmen und Organisationen der Kritischen Infrastrukturen (KRITIS) unterliegen besonderen Anforderungen an die Ausgestaltung des Business Continuity Management und des Nachweises der Funktionsfähigkeit durch Tests und Übungen. Zu den Branchen der Kritischen Infrastrukturen zählen Unternehmen, Behörden und Organisationen der Sektoren Energie, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung, Medien und Kultur. Weitere Informationen gibt es auf der KRITIS-Webseite des Bundes [7].
MaRisk
Zahlreiche Branchen unterliegen zudem spezifischen branchenspezifischen Anforderungen und Regularien. Für Finanzdienstleister sind diese beispielsweise in den Mindestanforderungen für das Risikomanagement (MaRisk) definiert[8]. Neben diesen externen Anforderungen können sich Unternehmen zusätzlichen Anforderungen an die Durchführung von Tests und Übungen stellen, zum Beispiel, um Kunden, der Öffentlichkeit, Geschäftspartnern und Dienstleistern die Effektivität des Business Continuity Management nachzuweisen.
Zahlreiche Branchen unterliegen zudem spezifischen branchenspezifischen Anforderungen und Regularien. Für Finanzdienstleister sind diese beispielsweise in den Mindestanforderungen für das Risikomanagement (MaRisk) definiert[8]. Neben diesen externen Anforderungen können sich Unternehmen zusätzlichen Anforderungen an die Durchführung von Tests und Übungen stellen, zum Beispiel, um Kunden, der Öffentlichkeit, Geschäftspartnern und Dienstleistern die Effektivität des Business Continuity Management nachzuweisen.
Business- Impact- Analyse
Wesentliche Parameter für die strategische Test- und Übungsrahmenplanung liefern die Ergebnisse der Business-Impact-Analyse (BIA) im Rahmen des Business Continuity Management. In der Business-Impact-Analyse werden die kritischen Geschäftsprozesse des Unternehmens, die erforderlichen Ressourcen und zeitlichen sowie quantitativen Wiederanlaufanforderungen ermittelt. Die Kritikalität der Geschäftsprozesse und deren Ressourcen (IT, Personal, Gebäude, Dienstleister) legt auch deren Test- und Übungsrhythmus fest. Kritische Ressourcen sollten mindestens einmal jährlich getestet werden. Geschäftsprozessketten sollten im Verbund miteinander und im Verbund der gemeinsamen Ressourcen getestet werden.
Wesentliche Parameter für die strategische Test- und Übungsrahmenplanung liefern die Ergebnisse der Business-Impact-Analyse (BIA) im Rahmen des Business Continuity Management. In der Business-Impact-Analyse werden die kritischen Geschäftsprozesse des Unternehmens, die erforderlichen Ressourcen und zeitlichen sowie quantitativen Wiederanlaufanforderungen ermittelt. Die Kritikalität der Geschäftsprozesse und deren Ressourcen (IT, Personal, Gebäude, Dienstleister) legt auch deren Test- und Übungsrhythmus fest. Kritische Ressourcen sollten mindestens einmal jährlich getestet werden. Geschäftsprozessketten sollten im Verbund miteinander und im Verbund der gemeinsamen Ressourcen getestet werden.
Über einen Zeithorizont von zwei bis drei Jahren sollte eine Gesamtabdeckung aller wesentlichen Geschäftsprozesse und deren Ressourcen durch Tests und Übungen erreicht werden. Dies sicherzustellen ist eines der wesentlichen Ziele der strategischen Rahmenplanung.
Testobjekte
Ein weiterer wichtiger Inputparameter für die strategische Test- und Übungsrahmenplanung ist die Festlegung, was getestet werden muss, die Testobjekte. Neben den im Rahmen der Business-Impact-Analyse ermittelten kritischen Geschäftsprozessen, IT-Anwendungen, IT-Systemen, Dienstleistern und Gebäuden sind dies alle Verfahren und Systeme zur Notfallerkennung und -bewältigung sowie des Krisenmanagements.
Ein weiterer wichtiger Inputparameter für die strategische Test- und Übungsrahmenplanung ist die Festlegung, was getestet werden muss, die Testobjekte. Neben den im Rahmen der Business-Impact-Analyse ermittelten kritischen Geschäftsprozessen, IT-Anwendungen, IT-Systemen, Dienstleistern und Gebäuden sind dies alle Verfahren und Systeme zur Notfallerkennung und -bewältigung sowie des Krisenmanagements.
Hierzu zählen beispielsweise Alarmierungs- und Eskalationsverfahren, das Krisenmanagement in Form von Krisenstabsübungen, die interne und externe Krisenkommunikation sowie die Zusammenarbeit mit Behörden. Testobjekte bestehen aus Komponenten (IT-Anwendungen, IT-Systemen und Prozessen/Verfahren).
Die grundlegenden Test- und Übungsformen wurden in der Policy bereits festgelegt. In der strategischen Übungsrahmenplanung wird für jedes Testobjekt die zu verwendende Test- und Übungsform festgelegt.
Für die Testobjekte wird die grundlegende Test- und Übungsorganisation festgelegt. Hierzu gehört die Bestimmung der Verantwortlichkeiten und der weiteren Beteiligten (Testpersonen, Beobachter, Revision etc.).
Tests und Übungen werden über einen Horizont von zwei bis drei Jahren terminiert. Hilfreich ist es, bei wiederkehrenden Tests und Übungen feste Rhythmen zu bilden, so dass sich alle Beteiligten gut darauf einstellen können.
Der strategische Test- und Übungsplan wird durch das Management freigegeben.
Inhalte der Test- und Übungsplanung sind in Tabelle 3 dargestellt.
Tabelle 3: Inhalte der Test- und Übungsplanung
Test- und Übungsplanung | ||||||||||||||||||
Was | Testobjekt |
| ||||||||||||||||
Testkomponenten |
| |||||||||||||||||
Wer | Testverantwortliche |
| ||||||||||||||||
Testteilnehmer |
| |||||||||||||||||
Beobachter |
| |||||||||||||||||
Wie | Test-, Übungsform |
| ||||||||||||||||
Wann | Plan-Termin |
| ||||||||||||||||
3.2.2 Taktische Test- und Übungsplanung
Taktische Test- und Übungsplanung
Die strategische Test- und Übungsrahmenplanung bildet die Grundlage für die taktische Test- und Übungsplanung. Die taktische Planung umfasst einen Zeitraum von 12 Monaten und detailliert die Inhalte der strategischen Rahmenplanung. Verantwortlich für die taktische Planung der BCM- und ITSCM-Übungen ist das zentrale BCM/ITSCM. Die Jahresplanung dient dem zentralen BCM und ITSCM zur Steuerung, Koordination und zum Controlling der Durchführung der Tests und Übungen.
Die strategische Test- und Übungsrahmenplanung bildet die Grundlage für die taktische Test- und Übungsplanung. Die taktische Planung umfasst einen Zeitraum von 12 Monaten und detailliert die Inhalte der strategischen Rahmenplanung. Verantwortlich für die taktische Planung der BCM- und ITSCM-Übungen ist das zentrale BCM/ITSCM. Die Jahresplanung dient dem zentralen BCM und ITSCM zur Steuerung, Koordination und zum Controlling der Durchführung der Tests und Übungen.
Die in der strategischen Rahmenplanung festgelegten Tests und Übungen werden für den Planungszeitraum konkretisiert. Teilnehmer werden konkret benannt, Termine verbindlich für alle Beteiligten festgelegt sowie Test- und Übungsarten festgelegt, soweit noch nicht erfolgt.
In die taktische Jahresplanung werden zusätzlich kurzfristig geplante Tests und Übungen aufgenommen sowie die Beteiligung an externen Tests und Übungen mit Dienstleistern, Kunden oder Behörden. Ressourcenkonflikte müssen in der taktischen Planung erkannt und gelöst werden.
Veröffentlichte und vertrauliche Variante
Die taktische Test- und Übungsplanung kann aus einer veröffentlichten und einer vertraulichen Variante bestehen. In der vertraulichen Variante sind zusätzlich die nicht angekündigten Tests und Übungen enthalten. Die vertrauliche Variante ist nur einem eng begrenzten Personenkreis zugänglich.
Die taktische Test- und Übungsplanung kann aus einer veröffentlichten und einer vertraulichen Variante bestehen. In der vertraulichen Variante sind zusätzlich die nicht angekündigten Tests und Übungen enthalten. Die vertrauliche Variante ist nur einem eng begrenzten Personenkreis zugänglich.
Die taktische Jahresplanung wird vom zentralen BCM und ITSCM erstellt und von der Geschäftsführung freigegeben.
3.3 Test- und Übungszyklus
Der Test- und Übungszyklus (vgl. Abbildung 6) wird für jeden Test und jede Übung durchlaufen. Er besteht aus den Phasen
| Phasen | |
| • | operative Planung und Vorbereitung, |
| • | Durchführung, |
| • | Nachbereitung, |
| • | Bewertung, |
| • | Maßnahmen. |
Die einzelnen Phasen werden nachfolgend detailliert beschrieben.
3.3.1 Operative Planung und Vorbereitung
Wesentliche Komponenten
Die operative Test- und Übungsplanung besteht aus den wesentlichen Komponenten:
Die operative Test- und Übungsplanung besteht aus den wesentlichen Komponenten:
| • | Test- und Übungskonzept |
| • | Test- und Übungsprojektplan |
| • | Aufbau der Testorganisation |
| • | Testfälle |
| • | Übungsdrehbuch |
| • | Kommunikationskonzept |
| • | Dokumentationskonzept |
Die Durchführung von Tests und Übungen sollte wie ein Projekt behandelt werden. Wie bei jedem Projekt kommt auch bei Test und Übungen der Planungsphase eine besondere Bedeutung als kritischer Erfolgsfaktor zu.
Grundlage für die Planung ist ein dokumentiertes und abgestimmtes Test- und Übungskonzept.
Test- und Übungskonzept
Das Test- und Übungskonzept umfasst:
Das Test- und Übungskonzept umfasst:
| • | Festlegung der zu erreichenden Testziele |
| • | Technische, personelle und organisatorische Voraussetzungen für die Durchführung |
| • | Festlegung der Testorganisation |
| • | Meilensteine des Testplans |
| • | Dokumentation der Test- und Übungsinhalte sowie Negativabgrenzung mit Ausschlüssen |
| • | Dokumentation der Testinfrastruktur |
| • | Risikoanalyse mit Testabbruchkriterien |
| • | Festlegung der Testdokumentation (was, wie, durch wen und wann) |
| • | Abnahmekriterien |
Test- und Übungsziele
Test- und Übungsziele beschreiben, was mit dem Test bzw. der Übung erreicht werden soll. Test- und Übungsziele können beispielhaft darin bestehen,
Test- und Übungsziele beschreiben, was mit dem Test bzw. der Übung erreicht werden soll. Test- und Übungsziele können beispielhaft darin bestehen,
| • | die Effizienz, Effektivität und Korrektheit der BCM- und ITSCM-Verfahren sowie deren Dokumentation zu überprüfen; |
| • | die Funktionsfähigkeit organisatorischer und technischer Notfallvorsorgemaßnahmen zu überprüfen; |
| • | IT-Disaster-Recovery-Maßnahmen auf ihre Funktionsfähigkeit zu testen; |
| • | die Test- und Übungsteilnehmer in Prozessen und Verfahren zu trainieren; |
| • | den Reifegrad der Notfallvorsorge- und -bewältigungsmaßnahmen zu prüfen und nachzuweisen. |
Technische, organisatorische, personelle Voraussetzungen
Technische, organisatorische sowie personelle Voraussetzungen beschreiben die Rahmenbedingungen, die sichergestellt sein müssen, damit der Test oder die Übung erfolgreich durchgeführt werden kann. Hierzu gehören technische Voraussetzungen wie die Verfügbarkeit von IT- und Kommunikationssystemen sowie die Verfügbarkeit von Experten und Räumlichkeiten.
Technische, organisatorische sowie personelle Voraussetzungen beschreiben die Rahmenbedingungen, die sichergestellt sein müssen, damit der Test oder die Übung erfolgreich durchgeführt werden kann. Hierzu gehören technische Voraussetzungen wie die Verfügbarkeit von IT- und Kommunikationssystemen sowie die Verfügbarkeit von Experten und Räumlichkeiten.
Zu unterscheiden ist hierbei zwischen Tests und Übungen im Live-Betrieb und in gesonderten Test- und Übungsumgebungen, da die Voraussetzungen und Rahmenbedingungen jeweils unterschiedlich sind.
Test im Live-Betrieb
Bei einem Test im Live-Betrieb erfolgt die Durchführung mit realen Geschäftsvorfällen während der Geschäftszeiten. Bei einem Test der vorgesehenen Ausweichlokationen für einen Gebäudeausfall werden die Geschäftsvorfälle im Live-Betrieb an den Ausweichplätzen bearbeitet. Bei diesem Vorgehen ist in der Vorbereitung darauf zu achten, dass die Testfälle aus dem Testfallkonzept auch so in der Praxis eintreten. Die Geschäftsprozesse dürfen durch die Übung nicht behindert oder unterbrochen werden. Insbesondere sind auch Voraussetzungen zu berücksichtigen, die bei Auftreten einer Störung im Testablauf zu deren Behebung erforderlich sind. Dies können Experten sein, deren Erreichbarkeit sichergestellt sein muss, oder Ersatzsysteme als Back-up.
Bei einem Test im Live-Betrieb erfolgt die Durchführung mit realen Geschäftsvorfällen während der Geschäftszeiten. Bei einem Test der vorgesehenen Ausweichlokationen für einen Gebäudeausfall werden die Geschäftsvorfälle im Live-Betrieb an den Ausweichplätzen bearbeitet. Bei diesem Vorgehen ist in der Vorbereitung darauf zu achten, dass die Testfälle aus dem Testfallkonzept auch so in der Praxis eintreten. Die Geschäftsprozesse dürfen durch die Übung nicht behindert oder unterbrochen werden. Insbesondere sind auch Voraussetzungen zu berücksichtigen, die bei Auftreten einer Störung im Testablauf zu deren Behebung erforderlich sind. Dies können Experten sein, deren Erreichbarkeit sichergestellt sein muss, oder Ersatzsysteme als Back-up.
Test in einer Testumgebung
Bei einem Test in einer Testumgebung werden Systeme, Daten und Prozesse in einer synthetischen Testumgebung nachgebaut. Dies ermöglicht Tests, ohne die Live-Umgebung zu beeinträchtigen. Die Testumgebung kann zum Beispiel aus den Standby-Systemen einer Ausweichlokation bestehen. Die Testumgebung muss eingerichtet und getestet werden. Testdaten müssen eingespielt werden, Datenbanken gegebenenfalls isoliert sowie Schnittstellen und Batch-Läufe angepasst werden. Für die Einhaltung des Datenschutzes kann die Beseitigung realer Namen und Transaktionsdaten erforderlich sein. Wird im Test ein anderer Arbeitstag simuliert (zum Beispiel Test eines Arbeitstags an einem Wochenende), müssen gegebenenfalls Daten und Prozeduren angepasst werden, damit Geschäftsvorfälle durchgehend bearbeitet werden können.
Bei einem Test in einer Testumgebung werden Systeme, Daten und Prozesse in einer synthetischen Testumgebung nachgebaut. Dies ermöglicht Tests, ohne die Live-Umgebung zu beeinträchtigen. Die Testumgebung kann zum Beispiel aus den Standby-Systemen einer Ausweichlokation bestehen. Die Testumgebung muss eingerichtet und getestet werden. Testdaten müssen eingespielt werden, Datenbanken gegebenenfalls isoliert sowie Schnittstellen und Batch-Läufe angepasst werden. Für die Einhaltung des Datenschutzes kann die Beseitigung realer Namen und Transaktionsdaten erforderlich sein. Wird im Test ein anderer Arbeitstag simuliert (zum Beispiel Test eines Arbeitstags an einem Wochenende), müssen gegebenenfalls Daten und Prozeduren angepasst werden, damit Geschäftsvorfälle durchgehend bearbeitet werden können.
Es bewährt sich, für diese Voraussetzungen eine Checkliste zu führen, die vor Test-/Übungsbeginn abgearbeitet sein muss.
Test- und Übungsorganisation
Die Test- und Übungsorganisation ist im Testkonzept zu konkretisieren. Hierzu zählt die personelle Besetzung der internen sowie der externen Rollen.
Die Test- und Übungsorganisation ist im Testkonzept zu konkretisieren. Hierzu zählt die personelle Besetzung der internen sowie der externen Rollen.
Die Abbildung 7 zeigt die Rollen einer Test-/Übungsorganisation für eine umfangreiche Übung.
Meilensteine der Test- und Übungsplanung
Die wesentlichen Meilensteine der Test- und Übungsplanung für die Planungs-, Durchführungs- und Nachbereitungsphase werden im Testkonzept dokumentiert. Die Detailplanung erfolgt bei umfangreichen Tests und Übungen in einer separaten Planung.
Die wesentlichen Meilensteine der Test- und Übungsplanung für die Planungs-, Durchführungs- und Nachbereitungsphase werden im Testkonzept dokumentiert. Die Detailplanung erfolgt bei umfangreichen Tests und Übungen in einer separaten Planung.
Test- und Übungsinhalte
Test- und Übungsinhalte beschreiben was Gegenstand des Tests/der Übung ist. Dies erfolgt in Form der Testobjekte und Testkomponenten (siehe Abschnitt 3.2.1). Beschrieben werden die Prozesse, Verfahren, IT- und Telekommunikationssysteme, Dienstleister und Gebäude wie Rechenzentren, die Gegenstand des Tests/der Übung sind. Eine eindeutige Abgrenzung des Inhalts wird durch die Beschreibung von Ausschlüssen (Negativ-Abgrenzung) erreicht.
Test- und Übungsinhalte beschreiben was Gegenstand des Tests/der Übung ist. Dies erfolgt in Form der Testobjekte und Testkomponenten (siehe Abschnitt 3.2.1). Beschrieben werden die Prozesse, Verfahren, IT- und Telekommunikationssysteme, Dienstleister und Gebäude wie Rechenzentren, die Gegenstand des Tests/der Übung sind. Eine eindeutige Abgrenzung des Inhalts wird durch die Beschreibung von Ausschlüssen (Negativ-Abgrenzung) erreicht.
Technische und organisatorische Infrastruktur
Für die Durchführung der Tests und Übungen ist eine technische und organisatorische Infrastruktur erforderlich. Hierzu gehören Gebäude, Räume sowie technische Einrichtungen und IT- sowie Kommunikationssysteme. Gerade bei Tests außerhalb der gewöhnlichen Arbeitszeiten an Wochenenden und nachts kann der fehlende Zutritt zu (Technik-)Räumen oder außer Betrieb befindlichen Anlagen und Computersystemen die Testdurchführung massiv gefährden. Ein Schreibtischtest und eine Begehung vor der eigentlichen Durchführung können vor unliebsamen Erfahrungen schützen.
Für die Durchführung der Tests und Übungen ist eine technische und organisatorische Infrastruktur erforderlich. Hierzu gehören Gebäude, Räume sowie technische Einrichtungen und IT- sowie Kommunikationssysteme. Gerade bei Tests außerhalb der gewöhnlichen Arbeitszeiten an Wochenenden und nachts kann der fehlende Zutritt zu (Technik-)Räumen oder außer Betrieb befindlichen Anlagen und Computersystemen die Testdurchführung massiv gefährden. Ein Schreibtischtest und eine Begehung vor der eigentlichen Durchführung können vor unliebsamen Erfahrungen schützen.
Zur Logistik gehört auch die Sicherstellung der Verpflegung der Testpersonen, insbesondere auch in den Zeiten, wenn Betriebsrestaurant und Cafeteria nicht zur Verfügung stehen.
Test und Übungen sind immer mit Risiken verbunden. Ein fehlgeschlagener Test kann selbst zu einer Störung oder gar einem Notfall führen, wenn zum Beispiel ein Rechenzentrum nach einem Test nicht mehr ordentlich hochgefahren werden kann oder die Sicherheit von Mitarbeitern gefährdet wird. Die Sicherheit der Mitarbeiter, der Schutz des Unternehmens und der Daten dürfen durch Tests und Übungen nicht gefährdet werden.
Risikoanalyse
In einer Risikoanalyse werden daher die Risiken, die von dem Test/der Übung ausgehen, analysiert und entsprechende Vorkehrungen getroffen, um die Eintrittswahrscheinlichkeit dieser Risiken zu senken und die Folgen bei Eintritt eines Risikoereignisses zu minimieren.
In einer Risikoanalyse werden daher die Risiken, die von dem Test/der Übung ausgehen, analysiert und entsprechende Vorkehrungen getroffen, um die Eintrittswahrscheinlichkeit dieser Risiken zu senken und die Folgen bei Eintritt eines Risikoereignisses zu minimieren.
Abnahmekriterien
Abnahmekriterien stellen Testergebnisse dar, die erfüllt sein müssen, damit der Test/die Übung als erfolgreich abgenommen werden kann. Dies ist besonders dann relevant, wenn die erfolgreiche Testdurchführung Teil einer vertraglichen Vereinbarung in einem Service Level Agreement ist. Abnahmekriterien können beispielsweise Testfälle darstellen, die erfolgreich abgeschlossen werden müssen. Für ganz oder teilweise fehlgeschlagene Abnahmekriterien ist festzulegen, ob und wie Nacharbeiten zum Schließen der Lücken (GAPs) zu erfolgen haben und in welcher Form Nachtests durchgeführt werden können oder müssen, um eine Abnahme zu erreichen.
Abnahmekriterien stellen Testergebnisse dar, die erfüllt sein müssen, damit der Test/die Übung als erfolgreich abgenommen werden kann. Dies ist besonders dann relevant, wenn die erfolgreiche Testdurchführung Teil einer vertraglichen Vereinbarung in einem Service Level Agreement ist. Abnahmekriterien können beispielsweise Testfälle darstellen, die erfolgreich abgeschlossen werden müssen. Für ganz oder teilweise fehlgeschlagene Abnahmekriterien ist festzulegen, ob und wie Nacharbeiten zum Schließen der Lücken (GAPs) zu erfolgen haben und in welcher Form Nachtests durchgeführt werden können oder müssen, um eine Abnahme zu erreichen.
Test- und Übungsprojektplan
Der Test- und Übungsprojektplan stellt die Aufgaben mit deren Abhängigkeiten in einem zeitlichen Ablaufplan dar. Hier empfiehlt sich der Rückgriff auf klassische Projektmanagementtechniken und -tools. Gegenstand der Planung sind die Planungsphase selbst, die Aktivitäten der Durchführung sowie die Nachbereitungsphase. Die Darstellung des Ablaufs in einem Gantt-Diagramm erleichtert die Erkennung der Zusammenhänge und des zeitlichen Ablaufs. Projektmanagementtools ermöglichen zudem die Analyse der Auswirkungen von Verzögerungen auf nachfolgende Aufgaben und Termine. Besondere Bedeutung kommt der zeitlichen Projektplanung zu, wenn über mehrere Zeitzonen hinweg geplant und gesteuert werden muss, zum Beispiel bei Plattformtests über mehrere Länder hinweg. Dies verkürzt die gemeinsam zur Kommunikation zur Verfügung stehenden Zeitscheiben erheblich und erhöht damit die Komplexität der Planung wesentlich. In der Planung und Durchführung müssen die verschiedenen Zeitzonen berücksichtigt werden.
Der Test- und Übungsprojektplan stellt die Aufgaben mit deren Abhängigkeiten in einem zeitlichen Ablaufplan dar. Hier empfiehlt sich der Rückgriff auf klassische Projektmanagementtechniken und -tools. Gegenstand der Planung sind die Planungsphase selbst, die Aktivitäten der Durchführung sowie die Nachbereitungsphase. Die Darstellung des Ablaufs in einem Gantt-Diagramm erleichtert die Erkennung der Zusammenhänge und des zeitlichen Ablaufs. Projektmanagementtools ermöglichen zudem die Analyse der Auswirkungen von Verzögerungen auf nachfolgende Aufgaben und Termine. Besondere Bedeutung kommt der zeitlichen Projektplanung zu, wenn über mehrere Zeitzonen hinweg geplant und gesteuert werden muss, zum Beispiel bei Plattformtests über mehrere Länder hinweg. Dies verkürzt die gemeinsam zur Kommunikation zur Verfügung stehenden Zeitscheiben erheblich und erhöht damit die Komplexität der Planung wesentlich. In der Planung und Durchführung müssen die verschiedenen Zeitzonen berücksichtigt werden.
Aufbau der Testorganisation
Die Testorganisation muss aufgebaut und geschult werden. Die Testpersonen sowie die Beobachter müssen in ihre Rollen eingewiesen werden. Hierzu gehören auch eine Schulung in der Handhabung der Dokumentation sowie der Umgang mit Fehlern, Störungen und Problemen im Testablauf. Für akute Personalausfälle müssen Vertretungsregelungen vorgesehen werden. Eine Liste der Kontaktdaten aller Beteiligten stellt die Erreichbarkeit während des Testablaufs sicher.
Die Testorganisation muss aufgebaut und geschult werden. Die Testpersonen sowie die Beobachter müssen in ihre Rollen eingewiesen werden. Hierzu gehören auch eine Schulung in der Handhabung der Dokumentation sowie der Umgang mit Fehlern, Störungen und Problemen im Testablauf. Für akute Personalausfälle müssen Vertretungsregelungen vorgesehen werden. Eine Liste der Kontaktdaten aller Beteiligten stellt die Erreichbarkeit während des Testablaufs sicher.
Besetzung der Testorganisation
Die personelle Besetzung der Testorganisation ist immer wieder eine der großen Herausforderungen bei Tests und Übungen. Tests und Übungen stellen für viele Testbeteiligte Zusatzaufgaben neben dem normalen Tagesgeschäft dar. Für die Vorbereitung, zum Beispiel die Ausarbeitung der Testfälle, muss auf Mitarbeiter mit guten Fachkenntnissen zurückgegriffen werden, die ohnehin bereits hoch belastet sind. Für die Durchführung der Tests und Übungen ist eine hohe Belastbarkeit und Stressresistenz erforderlich. Dies gilt insbesondere für Krisenmanagementübungen, bei denen das Training der Stressbewältigung eines der Übungsziele ist. Die Dokumentation der Testergebnisse ist ungeübt und zumindest subjektiv aufwendig. Trotzdem steht und fällt die Qualität von Tests und Übungen mit der Qualität der Dokumentation. Teams arbeiten in neuen Zusammensetzungen, mitunter unter erschwerten räumlichen Bedingungen, zusammen. Die Leitung eines Test- und Übungsprojekts ist daher auch eine nicht zu unterschätzende Führungsaufgabe. Dies muss bei der Besetzung der Test- und Übungsleitung berücksichtigt werden. Denn auch die laufende Motivation der Mitarbeiter der Test- und Übungsteams gehört mit zu den Aufgaben.
Die personelle Besetzung der Testorganisation ist immer wieder eine der großen Herausforderungen bei Tests und Übungen. Tests und Übungen stellen für viele Testbeteiligte Zusatzaufgaben neben dem normalen Tagesgeschäft dar. Für die Vorbereitung, zum Beispiel die Ausarbeitung der Testfälle, muss auf Mitarbeiter mit guten Fachkenntnissen zurückgegriffen werden, die ohnehin bereits hoch belastet sind. Für die Durchführung der Tests und Übungen ist eine hohe Belastbarkeit und Stressresistenz erforderlich. Dies gilt insbesondere für Krisenmanagementübungen, bei denen das Training der Stressbewältigung eines der Übungsziele ist. Die Dokumentation der Testergebnisse ist ungeübt und zumindest subjektiv aufwendig. Trotzdem steht und fällt die Qualität von Tests und Übungen mit der Qualität der Dokumentation. Teams arbeiten in neuen Zusammensetzungen, mitunter unter erschwerten räumlichen Bedingungen, zusammen. Die Leitung eines Test- und Übungsprojekts ist daher auch eine nicht zu unterschätzende Führungsaufgabe. Dies muss bei der Besetzung der Test- und Übungsleitung berücksichtigt werden. Denn auch die laufende Motivation der Mitarbeiter der Test- und Übungsteams gehört mit zu den Aufgaben.
Testfallkonzept
Ein Testfallkonzept mit der Definition von Testfällen strukturiert einen komplexen Test in einzelne Aufgaben, die Testpersonen zugewiesen werden können. Die Testfälle werden in der Planungsphase durch die Fachexperten erstellt und im Rahmen der Testdurchführung abgearbeitet und das Ergebnis der Durchführung protokolliert. Die Testfälle werden in einer zentralen Testfalldatenbank gesammelt, in die auch nach Testablauf die Ergebnisse eingetragen werden. Die Testergebnisse sind dann zentral auswertbar. Eine Testfalldatenbank kann mithilfe von Tabellenkalkulationsprogrammen oder Datenbanken mit „Bordmitteln” selbst aufgebaut werden. Für umfangreiche Testfalldatenbanken stehen auch Standardtools aus dem Testmanagement für die Softwareentwicklung am Markt zur Verfügung. Diese erlauben die dezentrale Erfassung und Pflege der Testfälle und Testergebnisse und stellen umfangreiche Reportingfunktionen zur Verfügung. Diesen leistungsfähigen Funktionen steht der Einarbeitungs-, Schulungs- und Betriebsaufwand zentral sowie dezentral gegenüber. Inhalte eines Testfallkonzepts sind in Abbildung 8 dargestellt.
Ein Testfallkonzept mit der Definition von Testfällen strukturiert einen komplexen Test in einzelne Aufgaben, die Testpersonen zugewiesen werden können. Die Testfälle werden in der Planungsphase durch die Fachexperten erstellt und im Rahmen der Testdurchführung abgearbeitet und das Ergebnis der Durchführung protokolliert. Die Testfälle werden in einer zentralen Testfalldatenbank gesammelt, in die auch nach Testablauf die Ergebnisse eingetragen werden. Die Testergebnisse sind dann zentral auswertbar. Eine Testfalldatenbank kann mithilfe von Tabellenkalkulationsprogrammen oder Datenbanken mit „Bordmitteln” selbst aufgebaut werden. Für umfangreiche Testfalldatenbanken stehen auch Standardtools aus dem Testmanagement für die Softwareentwicklung am Markt zur Verfügung. Diese erlauben die dezentrale Erfassung und Pflege der Testfälle und Testergebnisse und stellen umfangreiche Reportingfunktionen zur Verfügung. Diesen leistungsfähigen Funktionen steht der Einarbeitungs-, Schulungs- und Betriebsaufwand zentral sowie dezentral gegenüber. Inhalte eines Testfallkonzepts sind in Abbildung 8 dargestellt.
Die Nutzung eines Testfallkonzepts hat den Vorteil, dass nach Beendigung des Tests schnell eine strukturierte Auswertung über den Testerfolg anhand der erfolgreichen und nicht erfolgreichen Testfälle generiert werden kann. Das Testfallkonzept ist leicht skalierbare und kann somit für einfache Tests mit wenigen Testfällen bis hin zu hochkomplexen Tests mit sehr vielen Testfällen eingesetzt werden. Testfälle sind zudem über viele Tests und Übungen wiederverwendbar. Durch die Anlage einer zentralen Testfalldatenbank wird der Aufwand für die Erstellung der Testfälle zunehmend geringer.
Übungsdrehbuch
Bei szenariobasierten Simulationsübungen wird der geplante Ablauf in einem Übungsdrehbuch dokumentiert. Es enthält über den Zeithorizont von Übungsbeginn bis Übungsende chronologisch das Ausgangsszenario sowie die zeitlich geplanten Einspielungen mit den erwarteten Ergebnissen. Anhand des Drehbuchs spielt die Übungsleitung im Übungsverlauf die Einspielungen ein. Basis hierfür ist eine Sammlung von Einspielungen, die im Rahmen der Übungsvorbereitung erstellt werden. Es hat sich bewährt, Einspielungen in Reserve vorzuhalten, um ad hoc die Übungskomplexität an die aktuellen Anforderungen anpassen zu können. Auf Basis des Übungsdrehbuchs wird der zeitliche Rahmen der Übung mit den Übungsinhalten abgestimmt.
Bei szenariobasierten Simulationsübungen wird der geplante Ablauf in einem Übungsdrehbuch dokumentiert. Es enthält über den Zeithorizont von Übungsbeginn bis Übungsende chronologisch das Ausgangsszenario sowie die zeitlich geplanten Einspielungen mit den erwarteten Ergebnissen. Anhand des Drehbuchs spielt die Übungsleitung im Übungsverlauf die Einspielungen ein. Basis hierfür ist eine Sammlung von Einspielungen, die im Rahmen der Übungsvorbereitung erstellt werden. Es hat sich bewährt, Einspielungen in Reserve vorzuhalten, um ad hoc die Übungskomplexität an die aktuellen Anforderungen anpassen zu können. Auf Basis des Übungsdrehbuchs wird der zeitliche Rahmen der Übung mit den Übungsinhalten abgestimmt.
Kommunikationskonzept
Ein weiterer kritischer Erfolgsfaktor für die erfolgreiche Durchführung von Tests und Übungen ist die Kommunikation. Für umfangreichere Tests und Übungen sollte daher die Kommunikation in einem Kommunikationskonzept festgelegt werden. Zu einem Kommunikationskonzept gehört die Identifikation von Informationsquellen und der Adressaten für Informationen sowie Kommunikationskanäle und -inhalte. Neben den unmittelbar Beteiligten inner- und außerhalb des Unternehmens gehören zu den Adressaten das Management, Mitarbeiter betroffener Bereiche und die Revision. Da Tests und Übungen oftmals an Wochenenden und nachts stattfinden, ist eine frühzeitige Einbindung der Personalabteilung und der Mitarbeitervertretung in die Kommunikation notwendig. Nichts ist ärgerlicher, als wenn eine ansonsten gut vorbereitete Übung an der Genehmigung von Überstunden oder Wochenendarbeit für die beteiligten Mitarbeiter scheitert!
Ein weiterer kritischer Erfolgsfaktor für die erfolgreiche Durchführung von Tests und Übungen ist die Kommunikation. Für umfangreichere Tests und Übungen sollte daher die Kommunikation in einem Kommunikationskonzept festgelegt werden. Zu einem Kommunikationskonzept gehört die Identifikation von Informationsquellen und der Adressaten für Informationen sowie Kommunikationskanäle und -inhalte. Neben den unmittelbar Beteiligten inner- und außerhalb des Unternehmens gehören zu den Adressaten das Management, Mitarbeiter betroffener Bereiche und die Revision. Da Tests und Übungen oftmals an Wochenenden und nachts stattfinden, ist eine frühzeitige Einbindung der Personalabteilung und der Mitarbeitervertretung in die Kommunikation notwendig. Nichts ist ärgerlicher, als wenn eine ansonsten gut vorbereitete Übung an der Genehmigung von Überstunden oder Wochenendarbeit für die beteiligten Mitarbeiter scheitert!
Externe Adressaten
Zu den externen Adressaten der Kommunikation zählen beteiligte oder betroffene Dienstleister und Kunden, Behörden, Wirtschaftsprüfer und gegebenenfalls bei Übungen mit Außenwirkung auch Anwohner und die Öffentlichkeit. Bereits die Rauchfahne durch das Anlassen des Notstromdiesels kann Anwohner in Schrecken versetzen, und plötzlich steht unerwartet die Feuerwehr im Hof. Dies war im Übungsszenario so nicht vorgesehen.
Zu den externen Adressaten der Kommunikation zählen beteiligte oder betroffene Dienstleister und Kunden, Behörden, Wirtschaftsprüfer und gegebenenfalls bei Übungen mit Außenwirkung auch Anwohner und die Öffentlichkeit. Bereits die Rauchfahne durch das Anlassen des Notstromdiesels kann Anwohner in Schrecken versetzen, und plötzlich steht unerwartet die Feuerwehr im Hof. Dies war im Übungsszenario so nicht vorgesehen.
Jours fixes
Bei den direkt Beteiligten haben sich regelmäßige Jours fixes bewährt, in denen über den aktuellen Stand der Vorbereitungen berichtet wird und auf Fragen eingegangen werden kann. Die Frequenz dieser Jours fixes erhöht sich mit zunehmender zeitlicher Nähe der Übungsdurchführung. Interne Adressaten werden durch regelmäßige Statusinformationen auf dem Laufenden gehalten. Für eine größere interne Öffentlichkeit bietet sich die Einrichtung einer Seite im Intranet an. Die Kommunikation mit Medien und der Öffentlichkeit sollte Sache der Kommunikationsabteilung des Unternehmens sein.
Bei den direkt Beteiligten haben sich regelmäßige Jours fixes bewährt, in denen über den aktuellen Stand der Vorbereitungen berichtet wird und auf Fragen eingegangen werden kann. Die Frequenz dieser Jours fixes erhöht sich mit zunehmender zeitlicher Nähe der Übungsdurchführung. Interne Adressaten werden durch regelmäßige Statusinformationen auf dem Laufenden gehalten. Für eine größere interne Öffentlichkeit bietet sich die Einrichtung einer Seite im Intranet an. Die Kommunikation mit Medien und der Öffentlichkeit sollte Sache der Kommunikationsabteilung des Unternehmens sein.
Dokumentation
Die Kommunikation endet nicht mit der Durchführung der Übung. Der gleiche Adressatenkreis sollte unmittelbar nach der Übung über den Abschluss informiert werden. Detaillierte Informationen erfolgen über das Berichtswesen im Rahmen der Test- und Übungsdokumentation. Auf die Test- und Übungsdokumentation wird in Abschnitt 4 ausführlicher eingegangen.
Die Kommunikation endet nicht mit der Durchführung der Übung. Der gleiche Adressatenkreis sollte unmittelbar nach der Übung über den Abschluss informiert werden. Detaillierte Informationen erfolgen über das Berichtswesen im Rahmen der Test- und Übungsdokumentation. Auf die Test- und Übungsdokumentation wird in Abschnitt 4 ausführlicher eingegangen.
3.3.2 Durchführung
Test-/Übungsstab
Bei größeren Tests und Übungen sollte ein Test-/Übungsstab eingerichtet werden, um die Übung zu steuern, auf eintretende Abweichungen und Störungen schnell reagieren sowie Fragen direkt beantworten zu können. Hierbei hat die Test- und Übungsleitung die zuvor festgelegten Abbruchkriterien im Auge, um zu verhindern, dass es zu nicht vorhergesehenen Störungen oder Zeitüberschreitungen im Ablauf kommt. Der Test- und Übungsstab protokolliert den Gesamtablauf mit. Hierzu sollten in der Planung feste Protokollanten eingeteilt werden. Bei länger laufenden Tests und Übungen müssen dies mehrere Personen sein, um sich abwechseln zu können.
Bei größeren Tests und Übungen sollte ein Test-/Übungsstab eingerichtet werden, um die Übung zu steuern, auf eintretende Abweichungen und Störungen schnell reagieren sowie Fragen direkt beantworten zu können. Hierbei hat die Test- und Übungsleitung die zuvor festgelegten Abbruchkriterien im Auge, um zu verhindern, dass es zu nicht vorhergesehenen Störungen oder Zeitüberschreitungen im Ablauf kommt. Der Test- und Übungsstab protokolliert den Gesamtablauf mit. Hierzu sollten in der Planung feste Protokollanten eingeteilt werden. Bei länger laufenden Tests und Übungen müssen dies mehrere Personen sein, um sich abwechseln zu können.
Test und Übung selbst beginnen mit einem Kick-off durch die Übungsleitung und dem offiziellen Start.
Szenariobasierte Simulationsübungen
Bei szenariobasierten Simulationsübungen, wie zum Beispiel Krisenstabsübungen oder Gebäuderäumungsübungen, beginnt die Übung mit dem Einspielen des Ausgangsszenarios. Übungen können die Realität nur bedingt abbilden. Daher sind Hinweise über die beabsichtigte „Übungskünstlichkeit” und die Grenzen der Übung wichtige Hinweise für die Teilnehmer vor dem eigentlichen Übungsbeginn. Um aus der Übung keinen falschen Alarm zu produzieren, muss in der Kommunikation zu der realen Welt, zum Beispiel durch das Voranstellen von „Test, Test, Test”, immer die Übung als solche kenntlich gemacht werden.
Bei szenariobasierten Simulationsübungen, wie zum Beispiel Krisenstabsübungen oder Gebäuderäumungsübungen, beginnt die Übung mit dem Einspielen des Ausgangsszenarios. Übungen können die Realität nur bedingt abbilden. Daher sind Hinweise über die beabsichtigte „Übungskünstlichkeit” und die Grenzen der Übung wichtige Hinweise für die Teilnehmer vor dem eigentlichen Übungsbeginn. Um aus der Übung keinen falschen Alarm zu produzieren, muss in der Kommunikation zu der realen Welt, zum Beispiel durch das Voranstellen von „Test, Test, Test”, immer die Übung als solche kenntlich gemacht werden.
Über den Übungsverlauf hinweg werden von der Übungssteuerung vorbereitete Einspielungen in die Übung eingebaut. Basis hierfür ist das Übungsdrehbuch mit dem Zeitablauf und den vorbereiteten Einspielungen. Die Einspielungen können neue Informationen zur Lage oder Aufgaben für den Krisenstab wie zum Beispiel Presseanfragen sein. Über die Einspielungen kann der Schwierigkeitsgrad der Übung für die Teilnehmer durch die Übungsleitung kurzfristig gesteuert werden.
Bei Tests von Prozessen, Verfahren und Systemen auf Basis von Testfällen erfolgt nach Testbeginn die Bearbeitung und Protokollierung der Testfälle.
Tests und Übungen werden von der Leitung offiziell beendet. Protokolle der Testpersonen werden eingesammelt und notwendige Rückbauten vorgenommen. Bei kleineren Tests und Übungen kann direkt im Anschluss eine erste Feedbackrunde durchgeführt werden, um erste Eindrücke zu sammeln.
3.3.3 Nachbereitung
Qualitätsgesicherte Ergebnisse
Im Rahmen der Nachbereitung werden die Test- und Übungsprotokolle erfasst und ausgewertet sowie der Test- und Übungsbericht erstellt. Für die durchgeführten Testfälle liegen Testergebnisse aus den Protokollen vor. Diese sollten vor der Bewertung noch einmal qualitätsgesichert werden.
Im Rahmen der Nachbereitung werden die Test- und Übungsprotokolle erfasst und ausgewertet sowie der Test- und Übungsbericht erstellt. Für die durchgeführten Testfälle liegen Testergebnisse aus den Protokollen vor. Diese sollten vor der Bewertung noch einmal qualitätsgesichert werden.
| • | Liegen alle Test- und Beobachterprotokolle vor? |
| • | Sind die Testprotokolle vollständig? |
| • | Sind Mängel und Fehler nachvollziehbar beschrieben? |
| • | Lag tatsächlich ein Fehler vor? |
| • | Wie ist die Auswirkung des Fehlers einzuschätzen? |
Liegen alle Protokolle vor, können diese ausgewertet und bewertet werden.
Auswertungsbeispiele
Beispiele für Auswertungen aus einer Testfalldatenbank:
Beispiele für Auswertungen aus einer Testfalldatenbank:
| • | Anteil der durchgeführten Testfälle im Vergleich zu den geplanten Testfällen |
| • | Anteil der erfolgreich durchgeführten Testfälle an den durchgeführten Testfällen |
| • | Anteil der Fehler-Testfälle mit geringer Auswirkung auf den Testablauf |
| • | Anteil der Fehler-Testfälle mit hoher Auswirkung auf den Testablauf |
| • | Anteil der Fehler-Testfälle, die zum einem Testabbruch geführt haben |
Die Testergebnisse werden in einem Test- und Übungsbericht dargestellt und bewertet. Für Fehler-Tests werden die Ursachen aufgezeigt sowie die Maßnahmen zur Beseitigung dieser Ursachen. Der Test-/Übungsbericht geht an den Auftraggeber sowie im Rahmen des Berichtswesens an das Management. Das Test- und Übungsprojekt endet gewöhnlich mit der Abgabe des Berichts an den Auftraggeber.
3.3.4 Maßnahmenumsetzung und -verfolgung
Qualitätssicherungskreislauf
Mit der Abgabe des Berichts endet zwar das Test- und Übungsprojekt, nicht jedoch der Qualitätssicherungskreislauf. Im Rahmen der Auswertung werden Maßnahmen identifiziert, wie Fehler behoben werden und das BCM, ITSCM und Krisenmanagement verbessert werden können.
Mit der Abgabe des Berichts endet zwar das Test- und Übungsprojekt, nicht jedoch der Qualitätssicherungskreislauf. Im Rahmen der Auswertung werden Maßnahmen identifiziert, wie Fehler behoben werden und das BCM, ITSCM und Krisenmanagement verbessert werden können.
In der Phase der Maßnahmenumsetzung und -verfolgung werden diese identifizierten Maßnahmen noch einmal durch die Verantwortlichen bewertet, Kosten-Nutzen-Einschätzungen vorgenommen, Budgets bereitgestellt und positiv entschiedene Maßnahmen umgesetzt. Aufgrund der verteilten Verantwortlichkeiten erfolgt dies in der Regel in der Linie, kann bei Maßnahmenbündeln aber auch projekthaft als gesondertes Projekt erfolgen.
Nachfolgende Tests und Übungen bauen auf diesen Optimierungen auf und verifizieren, ob die Ziele erreicht wurden.
4 Test- und Übungsdokumentation
Dokumentation ist wesentliches Endergebnis
Die Test- und Übungsdokumentation ist ein wesentliches Endergebnis. Sie dient dem Nachweis für die Durchführung der erforderlichen Tests und Übungen sowohl gegenüber dem Management als auch bei internen und externen Prüfungen. Hierzu muss sie die Ziele, Voraussetzungen, Ablauf und Ergebnisse dokumentieren. Die Summe aller Dokumente macht eine vollständige Test- und Übungsdokumentation aus.
Die Test- und Übungsdokumentation ist ein wesentliches Endergebnis. Sie dient dem Nachweis für die Durchführung der erforderlichen Tests und Übungen sowohl gegenüber dem Management als auch bei internen und externen Prüfungen. Hierzu muss sie die Ziele, Voraussetzungen, Ablauf und Ergebnisse dokumentieren. Die Summe aller Dokumente macht eine vollständige Test- und Übungsdokumentation aus.
Im Rahmen eines Test- und Übungsframeworks sollten daher die zu verwendenden Dokumenttypen definiert und Templates angefertigt werden. In der Praxis hat sich bewährt, bei der Dokumentation zwischen kleinen und großen Tests und Übungen auch bei der Dokumentation zu differenzieren. So sollte für kleine Tests und Übungen eine vereinfachte und zusammengefasste Form der Dokumente verfügbar gemacht werden.
Tabelle 4 enthält eine Aufstellung von Test- und Übungsdokumenten als Teil des Dokumentationskonzepts. Beispiele stellt das BSI in seinem Umsetzungsrahmenwerk zum Notfallmanagement nach BSI 100-4 zur Verfügung [5].
Tabelle 4: Test- und Übungsdokumentationen
Dokumenttyp | Inhalt | ||||
Rahmenplan |
| ||||
Test-, Übungskonzept |
| ||||
Test-, Übungsplan |
| ||||
Übungsdrehbuch |
| ||||
Testfalldokumentation |
| ||||
Test-, Übungsprotokoll |
| ||||
Test-, Übungsbericht |
| ||||
Maßnahmenplan |
|
Quellen
1
ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, www.iso.org/iso/catalogue_detail?csnumber=44374
2
ISO 22301:2012 Societal security – Business continuity management systems – Requirements, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50038
3
ISO/FDIS 22398 Societal security – Guidelines for exercises, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50294
4
BSI 100-4 Notfallmanagement des Bundesamt für Sicherheit in der Informationstechnik (BSI), www.bsi.bund.de
5
BSI 100-4 Umsetzungsrahmenwerk, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Umsetzungsrahmenwerk/umra.html
6
Business Continuity Institute (BCI), Good Practice Guidelines, 2013 www.thebci.org
8
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Mindestanforderungen für das Risikomanagement (MaRisk), www.bafin.de
