---

---

Testen und Üben - Hintergrund

Tests kennen wir alle – aus Schule, Studium und Berufsausbildung zum Beispiel. Oder auch aus dem Sportbereich, wenn der Coach mit Stoppuhr und Klemmbrett neben der 200-Meter-Bahn steht und die Zeiten der Läufer dokumentiert. Um Ergebnisse und den Faktor Zeit geht es unter anderem auch beim Testen von BC-Plänen. Unter anderem wohlgemerkt, denn hier sind Tests natürlich etwas komplexer in der Planung (und Umsetzung!). Und doch gibt es eine Verbindung zu dem Vergleich mit dem Sport: Testen bringt eine Aussage darüber, wie schnell und belastbar man ist – auf 200 Meter oder eben auch darin, ein Unternehmen nach einem (simulierten) Ereignis wieder zum Laufen zu bringen.

Warum ist Testen so wichtig? Das lässt sich kurz und kompakt beantworten: Durch Testen gewinnt man Handlungssicherheit – man weiß, was funktioniert, wo die konkrete Leistungsfähigkeit liegt und man erfährt, was man noch besser machen kann, bevor man ins nächste reale Ereignis stolpert. Ziel ist, sich praktikabel, stabil und (bestenfalls) mit der Option zur Weiterentwicklung aufzustellen. Ein gutes Ergebnis in beiden Fällen wird durch gute Vorbereitung und gezieltes Training unterstützt.

Tests und Übungen gibt es in unterschiedlichen Schwierigkeitsgraden. Die erste Stufe stellt eine Basissicherung dar. Dabei kann es zum Beispiel darum gehen, zu prüfen, ob die Rahmenbedingungen passen, so dass die betroffenen Mitarbeiter überhaupt in ein zielgerichtetes Arbeiten kommen und ob ein einzelner Plan funktioniert. Stehen die Basissicherungen so weit, steigert man schrittweise den Reifegrad der nachfolgenden Tests und überprüft laufend, ob das, was geplant wurde, auch wirklich praktisch im Unternehmen funktioniert.

Standards, Vorschriften & Co.

Die verschiedenen Standards und ISO-Normen konzentrieren sich auf die Grundidee, dass man testen soll, um die Wirksamkeit der Pläne und Verfahren abzusichern. In den BSI-Standards (BSI, Bundesamt für Sicherheit in der Informationstechnik) und in den ISO-Normen (ISO, International Organization for Standardization) werden dazu bestimmte Testkategorien beschrieben, deren Durchführung man dann als reguliertes Unternehmen auch nachweisen muss. Zu der Organisation von solchen Tests gibt es jedoch kaum Vorschriften. Die Regularien besagen u.a. auch, dass man regelmäßig testen soll, aber es gibt zum Beispiel keine Aussage, die beschreibt, was regelmäßig heißt.

Auch die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), die zum Beispiel die Geldinstitute überwacht, schreibt regelmäßige Tests vor, ohne dabei aber auf die Regelmäßigkeit genauer einzugehen. Sie sagt aber auch, dass man einen Trainingsplan haben soll. Geldinstitute müssen also z.B. strukturell nachweisen können, dass die Tests einem anspruchsvoller werdenden Reifegrad folgen. Sie müssen aufbauend strukturiert sein, sodass sich der Entwicklungsstand des Testthemas immer weiter anhebt. Und dabei geht es um die Anforderungen an den Test selber sowie um die Testkategorie. Standardisierte Vorlagen für die Testkategorien gibt es dann auch wieder in den ISO-Normen und in den BSI-Standards. Für regulierte Unternehmen empfiehlt es sich, beispielsweise einen 5-Jahres-Test-/Übungsplan aufzustellen, der über seine jährlich unterschiedlichen Testkategorien eine deutliche Reifegradentwicklung darstellt.

Das Ziel, das es zu erreichen gilt: Was ich geplant habe, funktioniert!

Die Controllit AG verfolgt bei diesem Thema seinen Best-Practice-Ansatz, der aussagt, dass man jährlich testen sollte. Es ist dabei egal, ob es sich um BCM, Krisenmanagement oder ITSCM handelt – man sollte deswegen jährliche Tests durchführen, weil diese Themen (hoffentlich) keine des täglichen Lebens sind. Denn etwas, das man (zu) selten macht, läuft selten extrem gut. Man kann nur Dinge mental und funktional verankern, mit denen man sich regelmäßig beschäftigt. Und so verhält es sich auch mit Tests und Übungen.

Test- und Übungskategorien – ein Blick auf Testtiefen und Bezeichnungen

Im BCM, ITSCM und Krisenmanagement ist man sich bei den Bezeichnungen zu den verschiedenen Test- und Übungskategorien bis auf ein paar Kleinigkeiten ziemlich einig – es gibt nur minimale Unterschiede in den Bezeichnungen. Das spiegelt auch gut die Idee der korrespondieren und/oder sogar gemeinsamen Tests und Übungen.

Die erste Kategorie ist der Desktop-Test oder Walkthrough-Test. Dieser ist eine Art Logikprüfung auf Vollständigkeit und Umsetzbarkeit. Der Desktop-Test wird meist von nur einem Prüfer und dem Testobjektverantwortlichen durchgeführt werden. Die Fragestellung lautet: Ist das Testobjekt logisch und vernünftig aufgebaut und in sich stimmig? Beim Walkthrough-Test nimmt das gesamte Team, dass im Plan beschrieben ist, an dem Test teil. Basierend auf einem Auslöser (z. B. Brand des Verwaltungsgebäudes) sprechen die Team-Mitglieder an diesem Beispiel die Aufgaben durch, die jedes Team-Mitglied in einem solchen Fall gemäß Plan durchführen würde. Die Fragestellung lautet hier: Gibt es Aufgaben die vergessen wurden und sind die Aufgaben den Team-Mitgliedern klar? Solche Tests lassen sich mit BC- sowie IT-Recovery-Plänen, aber z.B. auch mit Checklisten im Krisenmanagement durchführen.

Nummer zwei: der Funktionale Test. Nun werden die Testobjekte hinsichtlich ihrer praktischen und technischen Wirksamkeit geprüft. In diesem Testformat werden mehrere Ansprechpartner des Notfall- oder Krisenteams benötigt. Es werden z.B. Telefonnummern und die Verfügbarkeit von Arbeitsmitteln getestet. Sind Frau Mustermann und der Dienstleister tatsächlich erreichbar? Liegt das benötigte Formular an der beschriebenen Stelle? Kennen die Mitglieder des Notfallteams ihre Ausweicharbeitsplätze und vor allem: funktioniert das Arbeiten dort auch praktisch? Auch die Überprüfung der Wiederanlaufzeit spielt bei dieser Testklasse eine Rolle.

Prozessketten-Test oder Team-Test: Bei diesem Test wird es komplexer, denn hier geht es um das Testen von Teamarbeit und der Funktionalität des Gesamtablaufes. Die Kernfrage lautet: Können die Teammitglieder alle im Zusammenspiel mit dem Testobjekt das Ziel erreichen? Damit werden z. B. die BCPs verschiedener Fachabteilungen geprüft, die alle für einen zeitkritischen Geschäftsprozess benötigt werden. Zu prüfen ist, ob alles zusammen auf Basis dessen funktioniert, was in den einzelnen Plänen entwickelt wurde. Sprich, ob die zuvor erstellten Abläufe, Checklisten und Einzelaufgaben auch im großen Miteinander funktionieren.

Simulationsübung oder Szenario-Exercise: Bei dieser Übung wird die strategische und taktische Ebene (Krisenstab und Lagezentrum) mit einem konkreten Szenario (also einem ganz bestimmten Ereignis) konfrontiert. Dieses Szenario entwickelt sich während der Übung inhaltlich weiter. Für Szenario-Übungen gibt es immer ein Drehbuch. Aus einer Bombenentschärfung wird also zum Beispiel eine Bombenexplosion, die das Gebäude zur Hälfte zerstört, danach erleidet ein Mitarbeiter einen Schock und fällt aus, später setzt die Feuerwehr noch alle Akten unter Wasser und das alles wird in den sozialen Medien verfolgt. Man versucht hier anhand des Drehbuchs, die versammelten Mitglieder mit unterschiedlichen Aspekten herauszufordern, um zu prüfen, wie die aktuelle Situation gemeinsam gemeistert wird.

Vollübung oder Live Exercise: Bei einer Vollübung wird tatsächlich und live mit der gesamten Reaktionsstruktur geübt. Es wird zum Beispiel ein Rechenzentrum abgeschaltet – je nach Kundenwunsch im Tagesgeschäft oder nicht. Ein Live-Schwenk eines Rechenzentrums im Tagesgeschäft ist immer mit Risiken verbunden, daher sollten immer Sicherungsmechanismen vorhanden sein. Vollübungen sind zum Teil regulatorisch vorgeschrieben, z. B. für Airlines und Flughäfen. Diese machen diese Übungen häufig gemeinsam – quasi wie Verbündete. Ein Beispiel: Muss ein Flughafen eine Vollübung machen, stellt eine Airline ein Flugzeug und eine Crew zur Verfügung. Beide Parteien fahren ihre Krisenstäbe hoch und testen gemeinsam. Mit involviert sind dann meist auch die Flughafenfeuerwehr, Polizei, Rettungskräfte und Betreuungsteams. Häufig hat man bei solchen Tests auch ein paar simulierte Verletzte und unverletzte Fluggäste, um auch die Sanitäter und Betreuer in den Test mit einzubinden.

Weitere Test- und Übungsvarianten: Etwas sehr Grundlegendes, Kurzes und vor allem Gewinnbringendes kann z.B. ein Alarmierungstest für den Krisenstab sein. Dieser Test überprüft, ob die relevanten Mitarbeiter die Information erhalten und ob sie entsprechend reagieren (können). Es wird geprüft, ob alle gleichermaßen informiert und erreichbar, die Kontaktdaten aktuell und ob alle Betreffenden schnell genug an dem Ort sind, an dem gearbeitet werden soll. Läuft dieser Test nicht perfekt, weiß man immerhin, wie lange alle Mitarbeiter tatsächlich brauchen. Übungen und Tests können grundsätzlich angekündigt oder unangekündigt durchgeführt werden. Das Unternehmen entscheidet hier abhängig von seinem Reifegrad, seiner Risikobereitschaft und seinen verfügbaren Ressourcen (eine Vollübung bindet ja wirklich viele Kapazitäten).

Die Vorbereitung von Tests und Übungen

Egal, was für ein Test oder welches Übungsformat ansteht, alles beginnt mit gründlichen Vorüberlegungen: Welche Art von Test/Übung muss gemacht werden? Wie aufwendig soll es sein? Wie lange soll/darf es dauern? Welche Ressourcen stehen bereit? Soll angekündigt oder unangekündigt getestet/geübt werden? Alle Punkte sollten oder müssen mit übergeordneten Vorgesetzten abgestimmt werden. Wenn z.B. mit einem Krisenstab ein unangekündigter Test geplant ist, empfiehlt es sich, zuvor das Einverständnis der Geschäftsführer einzuholen und zu klären, ob es irgendwelche No-Go-Termine gibt, um das Tagesgeschäft nicht übermäßig zu belasten.

Sind dann auch noch das Budget und die Rahmenparameter bekannt, kann der Test/die Übung vorbereitet werden. Steht eine Szenario-Übung an, schreibt man ein Drehbuch mit einem Erwartungshorizont. In letzterem geht es darum, festzuhalten, welche Entscheidungsmöglichkeiten vorhersehbar sind. Man geht also selber alles Schritt für Schritt durch und bereitet sich gründlich vor. Selbst bei einem schlichten Walkthrough-Test ist Vorbereitung wichtig: Man muss das Testobjekt vorher genau prüfen, um feststellen zu können, ob es eventuell logische Brüche gibt, die dann mit dem Verantwortlichen zu klären sind.

Es empfiehlt sich, Tests vorher mindestens bei dem Fachabteilungsleiter anzumelden, je nachdem, mit welchem Team man übt.

Die Planung von Tests und Übungen

Beim Testen und Üben empfiehlt die Controllit AG Fünfjahrespläne, die aufzeigen, was für eine Perspektive man hat und wie die Reifegradentwicklung geplant ist. Bei der unternehmensgerechten Planung ist außerdem zu berücksichtigen, dass man zum Beispiel die Termine von jährlichen Tests mit Fachabteilung so legt, dass diese auch zu dem originären Tagesgeschäft der Abteilungen passen. Sind diese Termine gesetzt, lässt sich ein guter Jahresplan aufstellen, der aufzeigt, wann was und mit wem was geübt wird.

Eine gute Planung zeichnet sich auch dadurch aus, dass der Output des zurückliegenden Tests/der Übung berücksichtigt wird. So können inhaltlich und weiter fortlaufend die Abläufe geübt und abgesichert werden, die bisher noch nicht perfekt waren, wo es Anpassungen gab und die eben optimiert werden sollen. Ohne eine langfristigere Planung ist eine solch zielgerichtetes Vorgehen nicht möglich.

Wer sollte Tests und Übungen beobachten und dokumentieren?

Idealerweise arbeitet man, was die Durchführung, Beobachtung und Dokumentation betrifft, mit einer Mischung aus internen und externen Mitarbeitern bzw. Beratern zusammen. Viele Unternehmen schätzen es sehr, ihre Krisenstabsübung (oder andere Übungen) zu beauftragen, und das Jahr für Jahr. Man könnte nun eigentlich sagen, dass Unternehmen nach zwei, drei Jahren wissen, wie es geht, sodass sie ihre Übungen komplett selber durchführen können. Dabei darf man allerdings den Effekt nicht vergessen, dass einem externen Experten, der auch in anderen Unternehmen Übungen begleitet und damit entsprechende Erfahrung und Ideen hat, anders zugehört wird, als den Mitarbeitern in der eigenen Firma.

Also: Man kann diese Übungen firmenintern alleine durchführen, wenn alles funktioniert und man keinen externen Blick von außen braucht.
Aber: Ein erfahrener externer Berater bringt immer einen wertvollen Mehrwert, ein anderes Ideenspektrum und eine neue Perspektive.

Ein Beispiel

Eine Firma mit einer BCM-, ITSCM- oder Krisenmanagementorganisation hat Funktionsträger und Stellvertreter definiert. Bei einer geplanten Übung sollen eigentlich alle üben, was aber in der Umsetzung nicht möglich ist – oder aber zum Chaos führen könnte.

Der Ansatz: Man übt mit einem Team aus Funktionsträgern/Hauptverantwortlichen bzw. Stellvertretern. Idealerweise ist das Team in sich eine Mischung aus Verantwortlichen und Stellvertretern, also aus erfahrenen und weniger erfahrenen Mitarbeitern. Damit bleibt ein Pool an Mitarbeitern übrig, der sich grundsätzlich mit dem Thema beschäftigt oder im Notfallteam ist, der aber jetzt gerade nicht üben darf, aber Interesse an den Abläufen hat. Diese Mitarbeiter lassen sich hervorragend in die Übung integrieren, und zwar in allen Funktionen, die es in einer Krisenstabsübung gibt.

Zur Konstellation: Der Krisenstab arbeitet in seinem Krisenstabsraum. Daneben gibt es die Regie, die auf Basis des Drehbuchs die Übung steuert. Ein großer Vorteil ist es nun, wenn ein Mitarbeiter des Unternehmens mit in der Regie sitzt und die (vielleicht überraschenden) Entwicklungen in der Übung fachlich begleitet. Wenn also Situationen über die Regie in den Test eingespielt werden, reagiert der Krisenstab über die Regie, um Maßnahmen zu steuern. Diese Reaktionen des Krisenstabs müssen in der Regie beantwortet und verarbeitet werden. Wenn dort jemand aus der Firma sitzt, der sagen kann, was realistisch ist, oder mitbekommt, wie das Zusammenspiel funktioniert, dann ist das ein Gewinn für beide Seiten – fachlich wie strukturell. Im Krisenstabsraum sitzen (ein bis drei) Beobachter, die die Führung, Kommunikation und Teamarbeit sowie das Rollenverständnis verfolgen. Auch für die Übungsbeobachtung im Krisenstabsraum ist die interne und externe Perspektive sinnvoll: Ein externer Beobachter bewertet z.B. die Zusammenarbeit unabhängig von den Personen (die er ja kaum kennt), dafür kennt der interne Beobachter die Firmenkultur und kann sensibler auf Zwischentöne achten. Damit hat man Ergebnisse aus zwei unterschiedlichen Perspektiven, und genau diese Kombination führt zu sehr wertvollen Endergebnissen.

Üben und Testen - am besten mit Vollgas

Bei einer Simulationsübung ist es beispielsweise gut, eine Situation auszuwählen, die die Beteiligten mitreißt. Man sollte ein Thema wählen, das das Unternehmen und vor allem die Krisenstabsvertreter in irgendeiner Form betrifft, sodass sie es für realistisch halten können. Je realistischer und interessanter der Aufbau, desto mehr Energie und Adrenalin ist im Spiel – und es kann sogar bei Übungen innerhalb des Stabes tatsächlich hoch hergehen!

Gleich nach der Übung findet das sogenannte Hot Debriefing statt. Dieser erste Teil des Gesprächs dient zum einen dazu, wieder aus der Übung herauszukommen und diese als auch wirklich abzuschließen. Außerdem sprechen die Übungsteilnehmer darüber, was gut und was weniger gut gelaufen ist. Eine Bewertung findet zu diesem Zeitpunkt noch nicht statt, es geht allein um die allerersten Eindrücke. Am zielführendsten ist es, wenn die Übungsteilnehmer ihr Verhalten reflektieren und selber mitteilen können, warum bestimmte Dinge gut oder nicht so gut funktioniert haben. Dieser Weg der Erkenntnisgewinnung ist deshalb so wertvoll, weil er sich am besten verankert (learning by reflection). Was in dieser Form verinnerlicht wurde (insbesondere auch an erfolgreichen Aktivitäten), ist später – in einem möglichen Ernstfall - am besten abrufbar.

Ist der emotionale Abstand zur Übung wieder hergestellt und der Herzschlag wieder auf Normalniveau, gibt es eine Pause und einen Feedbackbogen mit strukturierter Abfrage, zum Beispiel zu Teamarbeit, Kommunikations- und Führungsverhalten und dergleichen.
Darauf folgt ein zweites strukturiertes Feedback das sogenannte Formal Debriefing. Dabei stellt sich möglicherweise heraus, dass Personen eine Situation mit etwas Abstand differenzierter bewerten als direkt nach der Übung – eine weitere Erkenntnisgewinnung. Außerdem gehören zum zweiten Feedback ein erster Input des Beobachters/der Beobachter sowie der Regie dazu. Dabei ist es auch sehr wichtig, die Stärken der Teilnehmer anzusprechen und zu betonen. Werden nur die negativen Reaktionen besprochen, kann das unter Umständen kontraproduktiv sein.

Fazit - Der große Vorteil von Tests und Übungen

Man kann sagen, dass es nichts Besseres gibt, als regelmäßig (mit externer Unterstützung) zu testen und zu üben. Nur so erhält man ein ergebnisoffenes, ehrliches sowie zielführendes Feedback. Zu bedenken ist ja auch, dass z.B. ein Krisenstab, der aus Personen aus unterschiedlichsten Fachbereichen zusammengestellt wurde, sich als Team kennen und verstehen muss, damit auf Augenhöhe und auf Basis der Funktionen und Rollen kommuniziert und gearbeitet wird. Somit ist Üben fürs Teambuilding immer Gold wert. Ein weiterer positiver Aspekt ist, dass man auch Sachen einfach einmal ausprobieren kann – und sollten sie schieflaufen, hat man keinen großen Schaden verursacht.

Auch eine erfahrene Organisation oder ein bereits getesteter und stimmiger Business-Continuity-Plan (BCP), kann immer noch weiter optimiert werden. Dabei geht es aber nicht allein nur ums Verbessern, denn genauso wichtig ist es auch, die Abläufe abzusichern, die bereits gut funktionier(t)en und eben regelmäßig in Handlungsfähigkeit zu überführen. Denn ein Plan ist nur so gut, wie sein schwächster Einzelabschnitt. Und: Lernen durch Erfolg ist besser als Lernen durch Schmerz.