„Triage“ als mögliches Modell der Priorisierung

In einem Unternehmen gibt es immer viel zu tun. Ein Managementsystem ist ein hervorragendes Werkzeug, um systematisch mit den vielen Themen umzugehen. Und das mit dem Ziel, dass Unternehmen resilient sind, um so Krisen gut zu überstehen und zukunftsfähig zu sein! Doch wie kann auch in stressigen Situationen, in denen schnell Entscheidungen getroffen werden müssen, systematisch gehandelt werden? Wir zeigen es Ihnen!

Triage ist ein Begriff aus dem Französischen und bedeutet so viel wie „sortieren“. In der Notfall-Medizin werden sogenannte Triage-Regeln eingesetzt, um in komplexen Situationen schnell die richtigen Entscheidungen treffen zu können.

 


Beispiel aus der Notfallmedizin:

An einer großen Unfallstelle müssen Notärzte schnell entscheiden, wem zuerst geholfen werden muss. Es ist aber selten genügend Zeit und Ressourcen für eine ausreichende Untersuchung. Hier behelfen sie sich der strukturierten Triage (Einstufung). Dieser Begriff kommt aus der Militärmedizin und hilft dabei zu Priorisieren.

 

So können Sie sich das vorstellen:

  • Kategorie I: Patientenzustand: akute, vitale Bedrohung à Konsequenz: Sofortbehandlung zur Stabilisierung von Atmung und Kreislauf
    Meist erfolgt für eine schneller Übersicht auch noch eine farbliche Kennzeichnung in rot.
  • Kategorie II: Patient braucht schnellstmöglich Hilfe in einer Klinik und ist transportfähig z.B. zur Versorgung von Verletzungen. Transportpriorität, Farbe gelb.
  • Kategorie III: Leichtverletzte Patienten. Diese werden an der Einsatzstelle betreut und dann wenn genügend Transportkapazitäten vorhanden sind weiträumig auf Kliniken verteilt. Farbe grün.
  • Es gibt je nach System noch eine vierte und fünfte Kategorie, die bereits verstorbene Personen (Farbe schwarz) und Patienten umfasst, die nur mit Schmerzmittel behandelt werden, da akut kaum eine Überlebenserwartung gegeben ist. Farbe blau.

 

Das Modell wirkt krass, hilft aber die wertvollen Ressourcen so zu verteilen, dass den meisten Menschen bestmöglich geholfen werden kann. Wie können Sie sich dieses Modell zu Nutze machen?

 

Am naheliegendsten ist das für das eigene Notfallmanagement im Unternehmen. Natürlich sollten Sie für die wichtigsten Situationen Notfallpläne ausgearbeitet haben, die Ihnen dann im Notfall Sicherheit und Führung geben. Aber zum einen können Sie unmöglich jede Notfallsituation voraussehen, zum anderen gibt es auch trotzdem eine Notfallplan vorliegt Situation, die zu komplex sind um Schritt für Schritt geregelt zu sein. Und schließlich ist jede Situation anders, hat andere konkrete Auswirkungen.

 

Hier ist es wichtig, dass Sie sich im Vorfeld in Ruhe darüber Gedanken machen, welche Grundsätze für Entscheidungen gelten sollen. Das kann für unterschiedliche Situationen, auch unterschiedliche Triage-Regeln bedeuten.

 

WICHTIG: Sie sollten jedoch versuchen den kleinsten gemeinsamen Nenner zu finden. Das heißt, was gilt in fast jeder Situation? Welche Grundsätze sind die Basis jeder Entscheidung, die im Unternehmen getroffen werden? Umso einheitlicher diese Regeln sind, desto wahrscheinlicher ist es, dass sie verinnerlicht werden.

Wie könnten Triage-Regeln in Ihrem Unternehmen aussehen?

Kategorie Rot: sofort selbst um dieses Thema kümmern, es hat höchste Priorität um weitere Schäden für das Unternehmen zu verhindern!

Kategorie Gelb: dieses Thema soll schnellstmöglich durch einen Spezialisten „behandelt“ werden. Dies können auch von extern hinzugezogene Experten sein (z.B. ein Team, das Beweissicherung durchführt wie IT-Forensik oder ein Team das Brandschäden beseitigen kann).

Kategorie Grün: sammeln, nicht jetzt darum kümmern! Zu einem späteren Zeitpunkt behandeln.

Kategorie Blau: Abwarten, die Situation entwickeln lassen, da sie vielleicht außerhalb Ihres Einflussbereichs liegt.

Kategorie schwarz: Abschreiben. Es macht keinen Sinn in einer ausgebrannten Lagerhalle nach verwertbaren Maschinen zu suchen. Es gilt klare Prioritäten darauf zu legen, an anderer Stelle die Produktion weiter zu führen.


Cyber Resilience

Es gibt zahlreiche Risiken, die jedes Unternehmen im eigenen Kontext individuell bewerten muss. Und gerade in unserer heutigen Welt, zielen viele dieser Risiken auf digitale Prozesse und Services. Eine Übersicht zu geben, wie mit welchen Risiken umzugehen ist, wäre utopisch. Aber wir können Ihnen zeigen, wie Sie das Thema sinnvoll angehen können.

Für Ihr Unternehmen relevante Risiken erkennen Sie in Ihrer Risikobewertung. Aber wie können Sie pragmatisch überprüfen, ob Ihr Unternehmen über eine ausreichende Cyber Resilience verfügt?

Die Grundlage für diese Methode: Denken Sie beim Thema Cyber Resilience in Szenarien!

Es geht darum eine realistische Einschätzung zu bekommen, wie resilient Ihr Unternehmen in konkreten Situationen agiert. Das heißt wie professionell kann das Unternehmen und seine Mitarbeiter mit dieser Situation umgehen und wie gut, oder vielleicht sogar besser, geht Ihr Unternehmen aus dieser Situation hervor.

Das Beste an der vorgestellten Methode: Sie müssen sich diese Szenarien nicht einmal selbst ausdenken! Nutzen Sie aktuelle Ereignisse und prüfen Sie, ob Ihre Cyber Resilience stark genug wäre, um mit diesem Ereignis umzugehen. Die Tagespresse und Fachmedien sind voll an Beispielen!

Wirksamkeitsbewertung Cyber Resilience

 

  1. Beschreiben Sie das Szenario, welches Sie betrachten möchten.

Beispiel-Szenario: Emotet-Virus verschlüsselt alle Daten auf dem Produktiv-Laufwerk!

  1. Wären kritische Prozesse / Assets gemäß Ihrer BIA betroffen?

Wäre zum Beispiel der Zugriff auf wichtige Informationen und Anleitungen für einen Produktionsprozess nicht mehr gegeben?

  1. Gibt es zu dem Szenario organisatorische Regelungen?

Haben Sie einen Notfallplan parat, wie in dieser Situation vorgegangen werden müsste? Kann auf den Notfallplan zugegriffen werden? Ihr Produktiv-Laufwerk ist ja verschlüsselt durch die Schadsoftware!

  1. Ist die Regelung nach aktuellem Stand ausreichend?

Sollte das nicht der Fall sein, haben Sie hier einen ersten Ansatz für die Verbesserung für die Cyber Resilience Ihres Unternehmens.

  1. Gibt es zu dem Szenario technische Maßnahmen?

Haben Sie zum Beispiel einen funktionierenden Backup-Prozesse implementiert und wird dieser auch gelebt und getestet?

  1. Ist die Maßnahme nach aktuellem Stand ausreichend?

Sollte das nicht der Fall sein, haben Sie hier einen weiteren Ansatz für die Verbesserung der Cyber Resilience Ihres Unternehmens.

  1. Wird die Regelung in der Praxis angewendet und ist wirksam?

Wissen Sie zum Beispiel wie häufig Daten (unberechtigter Weise) auf lokalen Datenträgern abgespeichert werden? Für diese Daten werden, dann nämlich höchstwahrscheinlich keine Backups erstellt. Können Sie dazu keine Aussage treffen, haben Sie hier einen weiteren Ansatzpunkt, die Resilienz Ihres Unternehmens zu verbessern, z.B. in Form passender Kennzahlen, Monitoring-Maßnahmen, organisatorischer Regelungen oder Awareness-Maßnahmen.

  1. Wird die technische Maßnahme umgangen, nicht genutzt?

Ist zwar ein Backup-Prozess definiert, wird aber nicht nach dem festgelegten Turnus durchgeführt, bringt Ihnen das gar nichts. Des Weiteren sollten die durchgeführten Backups auch regelmäßig überprüft werden, ob diese im Notfall auch wiederhergestellt werden können. Auch diese Maßnahme eignet sich hervorragend für eine laufende Überwachung.

  1. Wird das beschriebene Szenario in Ihrer Risikobewertung analysiert?

Wenn nicht, sollten sie dies schnellstmöglich nachholen! So können Sie das Szenario noch einmal in Detail-Ebene durchdenken und die notwendigen Maßnahmen ableiten.

  1. Wäre eine Früherkennung möglich bzw. sind geeignete Indikatoren vorhanden?

 

Könnten Sie die Situation rechtzeitig bemerken und bewerten? Oder könnte auch Sie dieses Szenario unerwartet treffen? Maßnahmen zur Früherkennung von eventuellen Notfällen, machen definitiv Sinn!

Sie haben Anmerkungen oder Fragen? Kontaktieren Sie uns!

    Wir sind gerne für Sie da.








    Wir melden uns binnen 24h bei Ihnen. Werktags zw. 9 – 17 Uhr.