Klare Abläufe bieten Sicherheit

Kreditinstitute sind zu einem hohen Grad davon abhängig, dass ihre IT-Systeme stets verfügbar sind. Eine strukturierte Not- und Ausfallplanung, wie sie die Sparkasse Bitterfeld in Zusammenarbeit mit der FinanzIT implementiert hat, senkt die Wiederanlaufzeiten auf ein Mindestmaß und bietet Revisionssicherheit.

Der Anlass war denkbar konkret: „Wir haben nicht etwa Notfallübungen angesetzt, um Schwachstellen aufzudecken“, so Matthias Drefs von der Kreissparkasse Bitterfeld. „Wir haben das Desaster live erlebt.“ Das war im Sommer 2002, als das Jahrhunderthochwasser einen Großteil der Stadt Bitterfeld überflutet hatte. Um größere Bauschäden zu vermeiden, musste das Untergeschoss der Hauptstelle geflutet werden – mit allen technischen Einrichtungen der Sparkasse. Die Zentrale fiel für 14 Tage von einer Minute auf die andere aus. „Da merkt man ganz deutlich, wie wichtig eine Not- und Ausfallplanung ist“, bemerkt der Abteilungsleiter Organisation/Backoffice mit leichter Ironie in der Stimme. Denn an der Zentrale hing jede einzelne der 23 Filialen und SB-Stellen.

Zwar ist der Katastrophenfall 2002 dank vorhandener Notfallplanung sowie dem unermüdlichen Einsatz von Mitarbeitern, Helfern und Partnern vergleichsweise glimpflich abgelaufen. Doch war allen Beteiligten bewusst: Unter ungünstigen Bedingungen kann ein derartiger Komplettausfall über zwei Wochen durchaus die Existenz eines Kreditinstitutes gefährden. Hinzu kam, dass sowohl der Gesetzgeber als auch Aufsichtsbehörden und Revision die Anforderungen an die Absicherungen der operationellen Risiken in den Instituten laufend steigern. Das entsprechende Risikomanagement gehört daher in regelmäßigen Abständen ohnehin auf den Prüfstand.

Die „Großübung als Live-Veranstaltung“ gab nur den letzten Anstoß, um sich am Markt nach einer „Not- und Ausfallplanung vom Besten“ umzusehen. Nicht nur hatten die Wasserfluten doch einige Schwachstellen im Organisationshandbuch aufgedeckt. Auch erschien dessen Papierform nicht mehr zeitgemäß. Was nutzen die schönsten Vorstands- und Dienstanweisungen, wenn im Akutfall der Zugang dazu gesperrt ist? Auch ist der Pflegeaufwand für eine Papierversion sehr hoch.

Masterplan für die Sicherheit des Geschäftsbetriebs

Als erste Anlaufadresse sprach Drefs die Rechenzentrumsspezialisten des IT-Dienstleisters FinanzIT an. Sie erschienen als Partner für die Notfallvorsorge prädestiniert, müssen sie doch selbst für einen unterbrechungsfreien Geschäftsbetrieb sorgen. Die Idee: Das individuelle Know-how über die Gegebenheiten vor Ort und die Expertise der FinanzIT zusammenzuführen.

Dabei stellte sich heraus, dass sich das in der FinanzIT erprobte Werkzeug für das Desaster-Management, ROGSI/DMS, durch geringfügige Modifikationen an die Belange der Institute anpassen ließ. Sein Vorteil: Es ist und bleibt auf dem Server der FinanzIT installiert und wird nur lokal auf die PC der Krisenteams repliziert. Aus Sicherheitsgründen lässt sich die Software zusätzlich auf USB-Sticks speichern und an sicheren Orten hinterlegen. Von dort können sie bei Bedarf geholt und an jeden beliebigen Laptop oder PC angeschlossen werden.

ROGSI/DMS selbst ist prozessorientiert konzipiert. Was ein Institut als Not- oder Katastrophenfall erachtet, wie die Prozesse ablaufen sollen und welche Kriterien als relevant eingestuft werden, bestimmt jedes Haus für sich. Daraus leiten sich die dahinterliegenden Prozesse ab.

Ingesamt fünf Krisensituationen hat das Projektteam der Sparkasse Bitterfeld gemeinsam mit der FinanzIT definiert. Auf Institutsseite waren neben der Betriebs- und EDV-Organisation auch Revision, Haustechnik sowie ein Vorstand als Pate des Gesamtvorhabens beteiligt. Sie legten fest, was zu tun ist, wenn

• die Hauptstelle oder eine Filiale wegen Hochwassers mit direktem Einfluss aus  fällt,
• ein Stromausfall länger als 24 Stunden dauert,
• es zu einem Brand oder einer Explosion kommt,
• Datenleitungen zerstört werden oder
• ein Überfall mit oder ohne Geiselnahme stattfindet.

Diese Katastrophen- und Notfallszenarien sind in ROGSI/DMS abgebildet worden. Schritt für Schritt, nach Priorität und den einzelnen Bereichen zusammengefasst, ist darin festgelegt, was jeder Einzelne zu tun hat, von räumlichen Umzügen bis zur Beurlaubung von Personal, das nicht gebraucht wird. Bis ins Detail wird geregelt, in welcher Ausweichzweigstelle und in welchem Büro sich die einzelnen Abteilungen einzuquartieren haben.  Zwingend ist die Abfolge der Maßnahmen vorgeschrieben. Ein PC etwa kann erst aktiviert werden, wenn das erforderliche Mobiliar vorhanden und der zugehörige Server in Betrieb genommen ist. Klar ersichtlich ist für jedermann, welcher Prozess parallel starten darf und wann zunächst der Vorprozess abgehakt sein muss.

Protokolle erübrigen sich, jede Aktion wird im Hintergrund revisionssicher dokumentiert. Bei aller Stringenz, mit der der Anwender durch das Programm geführt wird – für das Institut bleibt hinreichend Spielraum, die Pläne zu ändern und zu erweitern. Gegebenenfalls lassen sich ganz andere Katastrophenszenarien abbilden, beispielsweise im Bergland ein Lawinenabgang.

Verbessert hat sich mit der Lösung aus Sicht von Drefs der gesamte Ablauf in puncto Schnelligkeit, Sicherheit und Abdeckungsgrad. Er weiß aus Erfahrung, dass „die Gefahr groß ist, im Eifer des Gefechts wichtige Dinge zu übersehen oder zu vergessen“. Fast noch mehr als der geordnete Ablauf aber zählt für ihn, dass – anders als beim Handbuch – die Software alle notwendigen Schritte abdeckt und stets auf neuestem Stand ist: von A wie Ansprechpartner bis Z wie Zuständigkeiten. Dazu zählen auch Punkte wie die Aktualisierung der USB-Sticks und der hinterlegten Telefon-nummern.

Wie wichtig dies ist, zeigte eine Notfall-übung für den Wiederanlauf. Sie empfiehlt sich einmal jährlich – nicht nur, um eine gewisse Routine zu gewinnen. Getestet wird zugleich, ob im Notfall auch das Zusammenspiel mit der eigenen Organisation und externen Partner funktioniert. „Im Krisenfall müssen wir uns aufeinander verlassen können“, so Drefs. Die Sparkasse Bitterfeld probt deshalb jedes Jahr einen anderen Notfall.

Dass Partner erst zu sensibilisieren, Verträ-ge an Zeitpläne anzupassen und organisatorische Verantwortungen zuzuweisen sind – etwa für die Korrektur von Telefonnummern oder das Update der USB-Sticks –, diese Erkenntnisse erwachsen oft erst aus der Erprobung des Ernstfalls. Zumeist sind es nur punktuelle Retuschen. Doch auch Kleinigkeiten zählen, weiß Drefs.

Für die Sparkasse Bitterfeld hat sich die Investition in die Not- und Ausfallplanung ausgezahlt: Interne Revision und externe Prüfer (KPMG) haben das Konzept ohne Beanstandungen abgenommen.  „Als Instrument zur Überbrückung von Notsituationen und zum Wiederanlauf des Geschäftsbetriebs hat sich ROGSI/DMS bewährt“, resümiert Drefs, „auch, wenn die Kosten-Nutzen-Betrachtung hier nicht greift, weil der Nutzen naturgemäß nur im Katastrophenfall gegeben ist.“

Anders die Kosten selbst: Diese liegen um zwei Drittel niedriger als die Angebote anderer externer Dienstleister. Und diese bezogen sich noch dazu ausschließlich auf die Erstellung eines Handbuchs. Ähnlich sieht es bei den laufenden Kosten aus. Die monatliche Pauschale für Software und Server bezeichnet Drefs als „absolut vertretbar“. Zumal die FinanzIT den Server vorhält und pflegt. //

Mehr Informationen zur Unterstützung und Begleitung von Notfallübungen lesen Kunden der FinanzIT im S-Intern-Bereich.

• Matthias Drefs

ist Abteilungsleiter Organisation/Backoffice, führte in der Kreissparkasse Bitterfeld eine Not- und Ausfallplanung ein. 

Kontakt: matthias.drefs(at)ksk-bitterfeld.de

Kurz und bündig: der direkte Weg zur Notfallvorsorge

1. Schritt:

Drei Workshops, die die FinanzIT veranstaltet. In ihnen werden Vorgehensweise, Krisenstab und bis zu fünf Notfallszenarien bestimmt und beschrieben. Die Ergebnisse werden im Desaster-Managementsystem ROGSI/DMS dokumentiert,  das auch über die Zentrale Produktionsplattform (ZPP) nutzbar ist.

2. Schritt

Schulung in ROGSI/DMS mit praktischen Übungen

3. Schritt:

Unterstützung und Begleitung bei der Notfallübung

4. Schritt:

Optional werden die gemeinsam erarbeiteten Projektergebnisse im Rahmen einer Optional werden die gemeinsam erarbeiteten Projektergebnisse im Rahmen einer Vorstandspräsentation vorgestellt.

Steckbrief:

Sparkasse Bitterfeld

• durchschnittliche Bilanzsumme (2006) ca. 1,073 Mrd. EUR
• Konten (Geschäfts- und Privatgiro) ca. 61.000
• Mitarbeiter 253
• Geschäftsstellen  23
• davon SB-Stellen 7
• Geldautomaten 33