
Auch wenn alle Maßnahmen an die betrieblichen Gegebenheiten, die jeweilige Größe des Unternehmens sowie an die Branche angepasst werden müssen, ist für alle ein zweistufiges Verfahren empfehlenswert: Im ersten Schritt (Nr.1 bis 7) sollen mögliche Risiken erkannt, beurteilt und nach Möglichkeit verringert werden, um die Sicherheit eines Betriebes zu erhöhen. Im zweiten Schritt (Nr. 8 bis 10) soll eine Notfallorganisation aufgebaut werden, die verbleibende Restrisiken, aber auch nicht erkannte Risiken im Ereignisfall mindert.

Diplom-Ingenieur Matthias Bludau rät: Vor dem Notfallplan steht immer eine Risikobeurteilung.
Foto: VBG- Warten Sie nicht unnötig lange. Beginnen Sie mit Ihrer Analyse am besten sofort. Je mehr Zeit Sie zum Agieren aufwenden, desto weniger brauchen Sie später zu reagieren.
- Machen Sie das Thema von Anfang an zur Chefsache und kommunizieren Sie dies in Ihrem Betrieb. So können Sie Führungskräfte, Mitarbeitende und gegebenenfalls externe Expertinnen und Experten frühzeitig in den Prozess miteinbeziehen. Insbesondere die Festlegung von personellen, zeitlichen und finanziellen Ressourcen ist existenziell.
- Überlegen Sie, welche Bedrohungen für Ihr Unternehmen infrage kommen. Dazu können Naturereignisse wie Hochwasser, Sturm oder starker Schneefall genauso wie betriebliche Störungen, etwa ein längerer oder überregionaler Stromausfall, gehören. Auch durch Menschen verursachte Bedrohungen wie Amokläufe, Diebstahl oder Raub, Angriffe auf die IT-Infrastruktur und gesundheitliche Bedrohungen wie die Corona-Pandemie stellen potenzielle Gefahren dar. Konzentrieren Sie sich zunächst auf diejenigen Bedrohungen, die Ihrer Meinung nach den größten Schaden für Ihren Betrieb anrichten können.
- Überprüfen Sie, ob es bereits gesetzliche Regelungen zu der jeweiligen Bedrohung gibt, an die Sie sich halten müssen. Ansonsten entwerfen Sie für jede Bedrohung ein oder mehrere Szenarien, die nachvollziehbare Aussagen über die Ursache der Bedrohung, den möglichen Ablauf und die anzunehmenden Auswirkungen enthalten. Verwenden Sie zunächst annähernd ein Worst-Case-Szenario, welches aber noch vorstellbar ist. Nehmen Sie beispielsweise eine potenzielle Bedrohung durch Hochwasser: Wegen plötzlichen Starkregens könnte es passieren, dass die Kanalisation das Wasser nicht ableitet und Wasser von außen in die Produktionshalle dringt. Dies könnte zur Folge haben, dass der Pegel innerhalb der Halle auf 30 cm ansteigt und die Produktion für einen Monat stillsteht.
- Führen Sie eine Risikobeurteilung für die beschriebenen Szenarien durch. In vielen Fällen kann dabei eine Risikomatrix hilfreich sein. Schätzen Sie dazu die Eintrittswahrscheinlichkeit sowie die Schadensschwere ein.
Bei nicht kalkulierbaren Ereignissen wie einem Amoklauf hilft die Anwendung einer Risikomatrix nicht weiter.
- Entwickeln Sie anschließend Maßnahmen der Risikobewältigung bei nicht akzeptablen Risiken. Dazu gehören die Risikovermeidung, die Risikoakzeptanz, die Risikoüberwälzung (etwa auf eine Versicherung) sowie die Risikominderung.
Prüfen Sie mithilfe einer Gefährdungsbeurteilung, ob auch Belange des Arbeitsschutzes berührt sind. Wenn zum Beispiel die Bedrohung „starker Schneefall“ heißt: Wie können die Schneelasten sicher von den Dächern beseitigt werden?
- Hinsichtlich der Risikominderung ist es sinnvoll, zunächst Schutzziele zu beschreiben. Gehen Sie hierbei nach der SMART-Methode vor: Die Ziele sollten spezifisch, messbar, ausführbar, realistisch und terminiert sein. Bei der anschließenden Ableitung geeigneter Maßnahmen gilt das STOP-Prinzip: Welche substituierenden (ersetzenden), technischen, organisatorischen und personenbezogenen Bestimmungen kann es geben? Konkret heißt dies: Wer eine Verhinderung eines Stromausfalls anstrebt, definiert ein ungeeignetes Schutzziel. Wer festlegt, dass ab einem vorgegebenen Datum auch im Falle eines Stromausfalls die Produktion ungestört weiterlaufen soll (zum Beispiel für sechs Stunden), beschreibt ein smartes Ziel.
- Überlegen Sie, welche Maßnahmen der Notfallorganisation trotz Risikobewältigung noch notwendig sein können. Die Notfallorganisation setzt sich zusammen aus der präventiven Notfallvorsorge, der Notfallbewältigung im Ereignisfall und der Notfallnachsorge, bei der ein Resümee gezogen wird. Im Falle eines Hackerangriffs hieße das zum Beispiel konkret: Präventiv sollten alle Bemühungen darauf ausgerichtet sein, Angriffe auf das IT-Netz zu verhindern. Falls trotzdem plötzlich ein unerlaubter Zugriff auf Ihr Firmennetzwerk bemerkt wird, sollten Sie vorbereitet sein: Welche Ansprechpersonen, etwa Behörden oder Kundinnen und Kunden, sind in welcher Reihenfolge zu verständigen? Wie können die Systeme wieder bereinigt werden?
- Prüfen Sie außerdem, welche Schnittstellen es zu außerbetrieblichen Stellen wie zum Beispiel der Feuerwehr, der Polizei, dem Technischen Hilfswerk und benachbarten Betrieben geben kann. Nehmen Sie möglichst im Vorfeld Kontakt zu diesen auf und legen Sie entsprechende Ansprechpersonen fest.
- Erstellen Sie ein Notfallhandbuch mit allen relevanten Details, wie sie das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik gemeinsam in der Publikation „Wirtschaftsgrundschutz – Baustein ÜA3 Notfallmanagement“ definiert haben:
- Geltungsbereich und Ziele
- Definitionen
- Rollen, Verantwortlichkeiten und Kompetenzen
- Alarmierungs- und Eskalationswege
- Im Notfall zu berücksichtigende Schnittstellen
- Notfalltreffpunkte und benötigte Ressourcen
- Notfallpläne
- Notfallkommunikation
- Ergänzende Informationen und Pläne
Also, legen Sie los mit dem systematischen Umgang mit Bedrohungen und Notfällen. Denn auch wenn wir es uns anders wünschen: Auch nach der Corona-Krise werden Unternehmen neuen Herausforderungen begegnen. Wer sich auf diese optimal vorbereitet, wird es leichter haben.
- Aktuelle Informationen zum Thema Pandemieplanung finden Sie hier: www.vbg.de/pandemieplanung
Veröffentlicht am