Störungs-, Notfall- und Krisenmanagement

Alle Störungen und Notfälle laufen über einen einheitlichen Meldeweg. Zulässige Eingangskanäle sind automatische Meldungen aus GLT, GA, BMA, EMA, Leitsystemen und sonstigen Monitoringsystemen sowie manuelle Meldungen per Telefon, Ticket, Notfalltaste oder definierter Rufkette. Unmittelbar nach Eingang erfolgt eine First-Line-Bearbeitung mit Annahme, Identifikation des betroffenen Objekts, Plausibilisierung, Priorisierung, Erstkommunikation, Alarmierung der zuständigen Funktionen und Einleitung definierter Sofortmaßnahmen. Die First-Line-Services bilden damit die verbindliche Erstinstanz des Incident-Managements; sie entscheiden nicht über strategische Ausnahmen, sie stellen aber sicher, dass kein Ereignis unbearbeitet bleibt und dass jede Lage in einen geordneten Führungs- und Meldeprozess überführt wird. Für das technische Gebäudemanagement fordert das BSI hierfür ausdrücklich definierte Prozesse für Störungen einschließlich Störfall-, Meldungs- und Informationsmanagement sowie Eskalationswegen und -zeiten.

• P1 bezeichnet Ereignisse mit unmittelbarer Auswirkung auf Leben, Gesundheit, Brand- oder Explosionsschutz, kritische Medienversorgung oder betriebliche Schlüsselfunktionen; hier sind unverzügliche Alarmierung, Absicherung und Intervention einzuleiten.

• P2 bezeichnet erhebliche technische Beeinträchtigungen mit hohem Betriebs- oder Produktionsbezug, aber ohne unmittelbare Personengefährdung.

• P3 bezeichnet regelbetriebliche Störungen mit zeitnaher Bearbeitungspflicht.

• P4 bezeichnet Abweichungen, Mängel und Beobachtungen ohne akuten Interventionsdruck.

Die Priorität ist bei Lageänderung fortzuschreiben. Sie richtet sich nicht nach der Lautstärke des Meldenden, sondern nach Gefährdung, Kritikalität, Ausfallwirkung, Ausbreitungsrisiko und Wiederanlaufdruck.

Werden Fremdfirmen, OEMs oder sonstige betriebsfremde Personen in eine Ereignisbearbeitung einbezogen, gelten die abgestimmten Melde-, Schutz- und Freigaberegeln des Vorhabens uneingeschränkt. Arbeiten mit erhöhter Gefährdung werden nur an fachkundige Auftragnehmer vergeben. Können Beschäftigte mehrerer Arbeitgeber betroffen sein, sind die Gefährdungsbeurteilungen, Schutzmaßnahmen

und Kommunikationswege abzustimmen; bei erhöhter Gefährdung ist ein Koordinator schriftlich zu bestellen. Das ist insbesondere für Störungen in Medienzentralen, sicherheitsrelevanten Räumen, an Rampen, in Außeninfrastrukturen und bei Eingriffen in GA- oder OT-nahe Systeme verbindlich.

Eine Havarie liegt vor, wenn eine technische Störung schlagartig in eine Lage mit möglicher Ausbreitung, Gefährdung von Personen, erheblichem Sachschaden, Umweltbezug oder gravierender Auswirkung auf Kernfunktionen übergeht. In der Havarie gilt der Grundsatz Sichern vor Wiederherstellen. Zuerst werden Personen geschützt, Gefahrenbereiche abgesperrt, Energien sicher getrennt, betroffene Anlagenteile in einen beherrschbaren Zustand überführt, Rettungs- und Interventionswege freigehalten und benachbarte Systeme gegen Folgeschäden gesichert. Die Wiederherstellung des Betriebs beginnt erst, wenn der sichere Zustand hergestellt und dokumentiert ist. Die Betriebssicherheitsverordnung verlangt ausdrücklich, instabile Betriebszustände zu verhindern oder zu beherrschen, Warneinrichtungen vorzusehen und bei Unfall oder Notfall eine unverzügliche Rettung und medizinische Versorgung zu ermöglichen.

Der Notbetrieb ist als vorab definierter, freigegebener und dokumentierter Degradationsbetrieb auszugestalten. Er dient nicht der improvisierten Fortsetzung des Normalbetriebs, sondern der geordneten Aufrechterhaltung derjenigen Funktionen, die für Personenschutz, Sachschutz, schadensarmen Weiterbetrieb, Mediengrundversorgung, Datensicherung oder kontrollierten Anlagenstillstand erforderlich sind. Für jede kritische Funktion ist festzulegen, ob sie im Notbetrieb weiterläuft, reduziert weiterläuft, auf eine Ausweichlösung umgeschaltet oder stillgesetzt wird. Jeder Bypass, jede manuelle Übersteuerung und jede Abweichung von der Normalfahrweise ist mit Freigabegrund, Beginn, zulässiger Dauer, Kompensationsmaßnahme und Rückbaupflicht zu dokumentieren. Das BSI ordnet Wiederanlauf- und Wiederherstellungspläne ausdrücklich als Dokumente ein, die den Zyklus von Fehlerbehebung, Aufnahme des Notbetriebs bis zur Rückführung in den Normalbetrieb regeln.

• Auslöser,

• Zeitachse,

• betroffene Systeme,

• Sofortmaßnahmen,

• externe Alarmierungen,

• behördliche Kontakte,

• Freigaben,

• Notbetriebsstatus,

• Restrisiken,

• Wiederanlaufentscheidung

• und Nachsteuerungsmaßnahmen.

Nach Abschluss der Lage erfolgt eine verpflichtende Ursachenanalyse mit Maßnahmen zur Vermeidung der Wiederholung. Das entspricht dem Krisenmanagementzyklus des BBK, der Vorbereitung, Bewältigung und Nachbereitung als zusammenhängenden Regelkreis behandelt.

Die Schnittstelle zu Brand- und Evakuierungslagen ist als integraler Bestandteil des technischen Krisenmanagements auszubilden. Es sind verbindliche Prozesse für Brandmeldung, Alarmweiterleitung, technische Bestätigung, Räumungsunterstützung, Schaltung brandschutzrelevanter Anlagenteile, Freigabe von Interventionswegen, Begleitung externer Einsatzkräfte und Rückmeldung an die Einsatzleitung festzulegen. Der Arbeitgeber hat die erforderlichen Maßnahmen zu Erster Hilfe, Brandbekämpfung und Evakuierung zu treffen und die Verbindungen zu außerbetrieblichen Stellen einzurichten. Bei erhöhter Brandgefährdung, erforderlichem Flucht- und Rettungsplan oder häufigem Aufenthalt von Besuchern und Fremdfirmen sind die Maßnahmen an gut zugänglicher Stelle auszuhängen; die ASR A2.2 konkretisiert dies einschließlich organisatorischer Brandschutzmaßnahmen, Verhaltensregeln im Brandfall und Dokumentationspflicht.

Flucht- und Evakuierungsschnittstellen sind bereichs- und geschossbezogen zu definieren. Haupt- und Nebenfluchtwege, Notausgänge, Sammelstellen, Feuerwehrzufahrten, Brandfallsteuerungen und Rückmeldewege werden im Ereignisfall nicht situativ erfunden, sondern nach festgelegter Logik aktiviert. Die ASR A2.3 unterscheidet ausdrücklich zwischen Haupt- und Nebenfluchtwegen und verlangt einen Flucht- und Rettungsplan mit den erforderlichen Informationen über Fluchtwege sowie Standorten von Erste-Hilfe-Einrichtungen und Einrichtungen zur Selbsthilfe. Für Produktions-, Lager- und Werkstattflächen über 200 m² oder bei erhöhter Gefährdung sind Nebenfluchtwege besonders relevant. Nach einer Evakuierung gilt ein geregelter Re-Entry-Prozess; die Wiederfreigabe erfolgt erst nach Lageklärung und technischer sowie organisatorischer Freigabe.

Blackout- und Versorgungsausfall-Szenarien sind als explizite Lageszenarien in das technische Notfallmanagement aufzunehmen. Das betrifft nicht nur den vollständigen Stromausfall, sondern auch den Ausfall von Notstrom, USV, Brandfallsteuerungen, Wasser, Wärme, Kälte, Druckluft, Gas, Dampf, Entrauchung, Telekommunikation, Mobilfunk, Datennetzen, GLT, GA und sonstigen Führungs- und Meldesystemen. Das BBK weist darauf hin, dass bei länger andauernden Stromausfällen regelmäßig auch Heizung, Wasser, Internet und Mobilfunk betroffen sein können. Die BCM-Logik des BSI verlangt, kritische Ressourcen einschließlich Infrastruktur, Energie- und Wasserversorgung zu bestimmen, Single Points of Failure zu identifizieren und Wiederanlaufparameter festzulegen.

Für jedes Versorgungsausfallszenario ist eine feste Ablaufkette zu hinterlegen: Ereigniserkennung, Alarmierung, technischer Sicherungszustand, Priorisierung der versorgten Verbraucher, Aktivierung von Ersatzsystemen, Wechsel in den Notbetrieb, manuelle Ersatzverfahren, Kommunikationsersatz, Eskalation an die Führungsstruktur und Vorbereitung des Wiederanlaufs. Kritische Verbrauchergruppen werden vorab priorisiert. Nicht jede Anlage erhält Notstrom; versorgt werden diejenigen Funktionen, die für Sicherheit, Gefahrenabwehr, Eskalationskommunikation, Gefahrenstoffbeherrschung, Datensicherung, Entrauchung, Zutrittssteuerung oder kontrollierten Anlagenzustand erforderlich sind.

Gebäudeautomation, technische Managementsysteme und Fernzugriffe bleiben auch im Versorgungsausfall sicherheitsrelevant. Das BSI behandelt Gebäudeautomation als integralen Bestandteil von Planung und Betrieb und verlangt Schutz der Fernwartungsschnittstellen; für das industrielle Umfeld weist es ausdrücklich auf die Vielzahl von Fernwartungszugängen, Herstellerzugriffen und segmentbezogenen Risiken hin. Für das Vorhaben folgt daraus: Fernzugriffe sind im Blackout- oder Notbetriebsfall nur über freigegebene, protokollierte Verfahren zulässig; automatische Wiedereinschaltungen, unkontrollierte Remote-Eingriffe und nicht abgestimmte Herstellerzugriffe sind ausgeschlossen.

Der Wiederanlauf beginnt nicht mit dem Ende der Störung, sondern mit dem Übergang in eine beherrschte Lage. Voraussetzung sind ein belastbares Lagebild, dokumentierte Sicherheitsfreigaben, die Feststellung verfügbarer Ressourcen sowie eine definierte Reihenfolge für das Hochfahren von Infrastruktur, Gebäudesystemen und betriebsrelevanten Funktionen. Das BBK stellt das Lagebild als wesentliche Informations- und Entscheidungsgrundlage des Krisenmanagements heraus. Das BSI fordert für die Notfallbewältigung vorbereitete Kontinuitätspläne und beschreibt die Rückführung in den Normalbetrieb ausdrücklich als Folgeschritt nach Stabilisierung des Notbetriebs. Entsprechend ist der Wiederanlauf des Vorhabens stufenweise zu

organisieren: Stabilisierung, technische Freigabe, priorisierter Wiederanlauf, Rückkehr zum Normalbetrieb.

Für jede kritische Ressource und jeden zeitkritischen Prozess werden verbindlich festgelegt: maximal tolerierbare Ausfallzeit, Wiederanlaufzeit, erforderliches Wiederanlaufniveau, Mindestpersonal, Mindestmedien, notwendige Freigaben, alternative Verfahren und Abhängigkeiten zu anderen Ressourcen. Die technische Wiederanlaufplanung ist mit den Geschäftsfortführungsplänen zu verzahnen. Der Geschäftsfortführungsplan sichert zeitkritische Geschäftsprozesse mit BC-Lösungen; der Wiederanlauf- beziehungsweise Wiederherstellungsplan regelt die Wiederinbetriebnahme der zeitkritischen Ressourcen. Damit ist die Schnittstelle eindeutig: Das technische Krisenmanagement verantwortet die Wiederherstellung der Versorgungs-, Anlagen- und Infrastrukturseite; die Business-Continuity-Funktion steuert die Fortführung und Priorisierung der Geschäftsprozesse.

Die BCM-Schnittstelle umfasst ausdrücklich auch Outsourcing, Lieferketten und Drittdienstleister. Das BSI stellt hierfür einen Grundanforderungskatalog für Outsourcing und Lieferketten bereit.

• OEMs,

• Wartungsfirmen,

• Fernwartungsdienstleister,

• Energie- und Medienpartner

• sowie sonstige kritische Lieferanten

• Alarmierungswegen,

• Eskalationszeiten,

• Verfügbarkeitszusagen,

• Wiederanlaufrollen und

• Übungspflichten

in das Notfall- und Krisenmanagement eingebunden. Vertragsbestandteil dieses Kapitels sind mindestens eine Alarm- und Eskalationsmatrix, ein Prioritätenkatalog P1–P4, Havariepläne, Blackout- und Versorgungsausfallpläne, ein Notfallhandbuch, Geschäftsfortführungspläne, Wiederanlauf-/Wiederherstellungspläne sowie ein verbindlicher Übungs- und Reviewzyklus.

Das BSI führt genau diese Dokumente und Hilfsmittel als zentrale Bausteine eines wirksamen BCMs auf; das BBK fordert für wirksames Krisenmanagement aktive

Krisenkommunikation, umfassende Lagedarstellung und systematische Nachbereitung.