Cybersicherheit : Organisationen in Krisensituationen

Organisatorische Schulden sind ein kritisches Thema, das insbesondere in Krisensituationen zum Tragen kommt. Sie entstehen aus Fehlern in den Abläufen und in der menschlichen Interaktion und führen zu Ineffizienzen. Häufig sind sie das Ergebnis von Kompromissen, die vor Jahren geschlossen wurden und sich in einer sich verändernden Welt als starr erwiesen haben. Verwaltungen sind dafür prädestiniert. Organisatorische Schulden führen zu einem Verlust an Geschwindigkeit und Flexibilität. Damit verschärfen sie den Krisenfall. Sie entstehen, wenn sich die Rahmenbedingungen ändern und damit Strukturen und Richtlinien „überholt“ sind oder Richtlinien nur hinzugefügt, aber nie abgeschafft werden.

Wie lassen sich organisatorische Schulden identifizieren? Einige dieser Schulden manifestieren sich in unklaren Zielen und vermischten Rollen, die oft dazu führen, dass Sitzungen ohne Ergebnis enden. Andere Schulden entstehen durch ungenaue Anforderungen, deren Umsetzung nicht den Bedürfnissen des Bedarfsträgers entspricht.

Sie äußern sich darin, dass Anforderungen häufig umformuliert und neu priorisiert werden. Infrastrukturelle Schulden entstehen, wenn mit veralteter Hard- und Software gearbeitet werden muss oder (berechtigte) Zugriffsmöglichkeiten auf Systeme nicht gegeben sind und diese mit entsprechend langen Wartezeiten immer wieder beschafft werden müssen. Wieder andere Schulden sind durch Konflikte innerhalb von Teams oder Abteilungen gekennzeichnet.

Sie äußern sich in problematischen Arbeitshaltungen wie „Dienst nach Vorschrift“, Fehlzeiten, Fluktuation, Fernbleiben von Besprechungen und Grüppchenbildung. Im Alltag verlangsamen diese Schulden die Organisation. Ein Krisenfall wirkt wie ein Katalysator.

Die besondere Aufbauorganisation zur Bewältigung einer erkannten Krise kann zwar die traditionellen, manchmal ineffizienten Prozesse außer Kraft setzen, sie kann aber keine funktionierenden effizienten Prozesse aus dem Boden stampfen. Dafür braucht es etablierte interne Servicevereinbarungen.

Interne Servicevereinbarungen erhöhen die Resilienz

Das IT-Servicemanagement zeigt einen Weg. Operational Level Agreements (OLAs) und Service Level Agreements (SLAs) spielen eine zentrale Rolle beim Management von Serviceerwartungen innerhalb der Kommunalverwaltung und gegenüber den Bürgerinnen und Bürgern. Dies gilt sowohl präventiv im Tagesgeschäft, indem die internen Stellen durch die Wahrnehmung ihrer Verantwortung und die Definition von Anforderungen an IT-Systeme und -Dienste, die Kommunikation von Systemänderungen, die Durchführung von Schulungen und die Sicherstellung der Einhaltung von Compliance- und Audit-Anforderungen einen wichtigen Beitrag zur Krisenprävention leisten, als auch insbesondere im Krisenfall, wenn Dienste der Verwaltung für Tage oder Wochen ausfallen und die Wiederinbetriebnahme schnellstmöglich organisiert werden muss.

Während ein Service Level Agreement festlegt, in welcher Form und in welchem Zeitraum bestimmte Leistungen aus einem zuvor definierten Servicekatalog zu erbringen sind, bezieht sich das Operation Level Agreement auf das SLA und ist als Vereinbarung zu verstehen, die zwischen den internen Bereichen einer Organisation getroffen wird, um das Service Level Agreement zu erfüllen. Einfach ausgedrückt sagt ein OLA den internen Teams des Dienstleisters, was zu tun ist, wie es zu tun ist und wann es zu tun ist – und was im Falle einer Unregelmäßigkeit oder eines Notfalls zu tun ist.

Auf diese Weise optimieren OLAs die interne Zusammenarbeit, indem sie für klare Verantwortlichkeiten sorgen, interne Prozesse verbessern und letztlich die Zufriedenheit der Bürgerinnen und Bürger erhöhen. Die Festlegung von OLAs im Krisenmanagement ermöglicht es, klare Rollen und Verantwortlichkeiten zu definieren, effiziente Kommunikationswege zu etablieren und schnelle Entscheidungen zu treffen, was für ein koordiniertes und effektives Krisenmanagement unerlässlich ist.

Darüber hinaus schaffen OLAs die dringend notwendige Transparenz, erhöhen die Übersichtlichkeit und stellen sicher, dass alle Beteiligten ihre Verpflichtungen kennen, und tragen so dazu bei, die Auswirkungen von Krisen zu minimieren und eine rasche Wiederherstellung des Normalbetriebs zu ermöglichen. Flexibilität und Messbarkeit sind weitere wichtige Aspekte, die eine objektive Leistungsbewertung und Anpassungen ermöglichen. OLAs sind gelebtes präventives Krisenmanagement.

OLA bei einem Data Breach

Frühzeitig implementierte OLAs spielen eine entscheidende Rolle, wenn verschiedene Abteilungen bei einem Vorfall sofort zusammenarbeiten müssen. Dies ist typischerweise der Fall, wenn ein Datenleck durch einen Cyber-Angriff oder einen anderen Sicherheitsvorfall verursacht wird. In solchen Situationen müssen nicht nur IT-Fachleute, sondern auch Mitarbeiter der Kommunikations- und Rechtsabteilungen und dem Krisenstab aktiv werden, oft mit Unterstützung von externen Fachleuten aus den Bereichen IT-Forensik oder Krisenmanagement.

Für eine effektive Zusammenarbeit, einschließlich der Einbindung externer Dienstleister, müssen diese im Rahmen der OLA klar definiert sein, was eine vorherige Identifikation voraussetzt. Eine Ad-hoc-Auswahl unter Druck kann dazu führen, dass wichtige Aspekte vernachlässigt werden. Darüber hinaus können in ruhigeren Zeiten günstigere vertragliche Vereinbarungen getroffen werden als unter dem unmittelbaren Druck eines Sicherheitsvorfalls.

Organisatorische Schulden abbauen

Eine Art „Bounty-Programm“ ermutigt die Mitarbeiter, aktiv zur Verbesserung der Organisation beizutragen, indem zum Beispiel nach einer Krisenübung explizit auf Prozesse hingewiesen wird, die das Potenzial der Organisation, wesentlich schneller zu werden, positiv oder negativ beeinflussen. Die Mitarbeiter werden ermutigt, solche Prozesse zu identifizieren und einzureichen.

Gleichzeitig kann eine kontinuierliche Beteiligung einen regelmäßigen Mechanismus für die Weiterentwicklung der Organisation bieten. Dies gibt dem Einzelnen die Möglichkeit, Anpassungen von Rollen und Regeln vorzuschlagen, was die Erstellung, Aufrechterhaltung und vor allem Aktualisierung von Arbeitsvereinbarungen verbessert.

Nicht zuletzt geht es auch darum, die reflexartige Schaffung neuer Rollen und Regeln nach jedem Vorfall und damit eine Erhöhung der Komplexität zu vermeiden. Stattdessen soll eine Lernkultur gefördert werden, in der die Mitarbeiterinnen und Mitarbeiter ermutigt werden, eigenständig Lösungen zu finden. Aspekte offenzulassen und nicht zu reglementieren, um anpassungsfähig und flexibel zu bleiben.

Durch die Aushandlung interner Dienstvereinbarungen „in Friedenszeiten“ wird das Bewusstsein in der Organisation geschärft und damit die Resilienz und Reaktionsfähigkeit erheblich verbessert.

Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriffs auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Dem Vertrauensverlust entgegenwirken“, „Präventives Krisenmanagement bringt Geschwindigkeit!“, „Sicherheit für Sicherheitsforschende“, „Cyberkrisen den Schrecken nehmen“ und „Lasst uns den Cybernotfall üben!“.