Schutzbedarfsfeststellung: Bürogebäude / Unternehmenszentrale

• Geschäftsgeheimnisse: Vertrauliche unternehmensbezogene Informationen, deren Bekanntwerden Konkurrenten oder der Öffentlichkeit nicht gestattet ist. Dazu zählen z. B. strategische Pläne, interne Finanzdaten, Kunden- und Lieferantendaten, Marktanalysen, Geschäftsstrategien, Business-Pläne, Preiskalkulationen, vertrauliche Verträge sowie technische Betriebsgeheimnisse wie Rezepturen, Herstellungsverfahren, Prototypen, Konstruktionszeichnungen oder Algorithmen. Diese Informationen sind oft von hohem wirtschaftlichem Wert und müssen geheim gehalten werden.

• Personenbezogene Daten: Alle in der Zentrale verarbeiteten persönlichen Informationen von Mitarbeitern, Kunden, Geschäftspartnern oder sonstigen Betroffenen, z. B. Personalakten, Gehaltsdaten, Gesundheitsdaten (etwa im Rahmen des betrieblichen Gesundheitsmanagements), Kundenkontakte, Besucherregister, Videoaufzeichnungen von Personen etc. Solche Daten unterliegen dem Datenschutzrecht (DSGVO/BDSG) und erfordern besonderen Schutz vor unbefugtem Zugriff oder Missbrauch.

• IT-Systeme und -Infrastruktur: Die digitale Infrastruktur der Zentrale, inkl. Serverräume, Rechenzentrum, Netzwerkkomponenten (Router, Switches, Firewalls), Arbeitsplatzrechner, Laptops, mobile Geräte, Telefonanlage/VoIP-Server, Speicherlösungen und Cloud-Anbindungen. Darunter fallen auch zentrale Anwendungen (z. B. ERP-System, E-Mail-Server, Datenbanken) und die unterstützenden IT-Dienste. Diese Systeme bilden das technische Rückgrat der Geschäftsprozesse.

• Physische Sicherheitseinrichtungen: Alle Einrichtungen, die der Gebäudesicherheit und Zugangskontrolle dienen. Hierzu zählen z. B. Schließsysteme (mechanische Schlösser und elektronische Zutrittskontrollsysteme), Alarmanlagen, Videoüberwachungsanlagen (CCTV) für öffentlich zugängliche Bereiche (Eingang, Parkhaus) oder interne Sicherheitsbereiche, Sensoren (Bewegungsmelder, Glasbruchsensoren), Vereinzelungsanlagen (Drehkreuze, Sicherheitsschleusen) sowie ggf. Sicherheitspersonal und Wachschutz. Diese Einrichtungen sollen unbefugtes Eindringen verhindern und sicherheitsrelevante Vorfälle detektieren.

• Kommunikations- und Konferenzsysteme: Alle Mittel der internen und externen Kommunikation. Dazu gehören Telefonanlagen, E-Mail-Systeme, Videokonferenz-Systeme, Messenger-Dienste, interne soziale Netzwerke oder Kollaborationsplattformen sowie Konferenzräume mit entsprechender Technik. Hierüber laufen täglich sensible Gespräche, Verhandlungen und Abstimmungen, teils auf höchster Leitungsebene.

• Gebäudetechnik (Facility Systems): Die technischen Systeme, die den Betrieb des Gebäudes aufrechterhalten. Dazu zählen Stromversorgung (inkl. USV und Notstromaggregate), Heizungs-, Lüftungs- und Klimaanlagen (HLK), Aufzüge, Zugangskontrolltechnik, Brandmelde- und Löschanlagen, Video-/Medientechnik in Konferenzräumen, Gebäudeleittechnik (Smart Building Systems) etc. Diese Systeme sind oftmals digital vernetzt (Stichwort Building Automation) und für Komfort, Sicherheit und Arbeitsfähigkeit im Gebäude essenziell.

• Dokumentenarchive: Sowohl physische Archive (Aktenräume, Tresore, Registraturen mit Papierdokumenten) als auch digitale Dokumentenablagen (Archivlaufwerke, Dokumentenmanagement-Systeme, Datenbanken für alte Geschäftsunterlagen). Hier werden z. B. Verträge, historische Geschäftsdaten, Buchhaltungsunterlagen, Personalakten oder Patentdokumente aufbewahrt – häufig langfristig, um gesetzlichen Aufbewahrungspflichten zu genügen oder für die Unternehmenshistorie. Solche Archive enthalten mitunter hochsensible oder schutzwürdige Informationen aus der Vergangenheit.

• Forschungs- und Entwicklungsunterlagen, Patente und geistiges Eigentum: Alle Informationen aus der F&E-Abteilung – z. B. Laborergebnisse, technische Spezifikationen, Erfindungen vor der Patentanmeldung, Quellcode eigener Software, Ergebnisse von Forschungskooperationen, neue Designentwürfe, Produkt-Prototypen und Testdaten. Dazu gehören auch Patentanmeldungen (vor ihrer Veröffentlichung) und interne Bewertungen von Patentportfolios. Dieses geistige Eigentum bildet oft die Innovationsbasis des Unternehmens und fällt ebenfalls unter Geschäfts- bzw. Betriebsgeheimnisse.

• Mitarbeiter und Besucher (Leib und Leben): Auch wenn Menschen streng genommen kein „Asset“ wie ein technisches System sind, gelten die Beschäftigten des Unternehmens sowie Besucher/Gäste im Gebäude als höchstrangige Schutzgüter in Bezug auf ihre Gesundheit und körperliche Unversehrtheit. Der Schutz von Menschen vor Verletzung, Gesundheitsgefahren oder gar Lebensgefahr (etwa durch Unfälle, Brände, Übergriffe) ist oberstes Gebot und durch Arbeitsschutzvorschriften und allgemeine Verkehrssicherungspflichten gesetzlich verankert.

• Schutzbedarf: Geschäftsgeheimnisse genießen in Bezug auf Vertraulichkeit regelmäßig sehr hohen Schutzbedarf. Kommt ein vertraulicher Strategieplan oder eine geheime Rezeptur unbefugt nach außen, drohen gravierende Folgen: wirtschaftlich (z. B. Verlust von Wettbewerbsvorteilen, Umsatzeinbrüche) und rechtlich (Vertragsstrafen bei Geheimhaltungsverträgen, Schadenersatzforderungen) bis hin zur Existenzgefährdung, falls ein zentrales „Schlüssel-Know-how“ publik wird. Ein einziger Vorfall von Industriespionage kann jahrelange Forschung zunichtemachen oder einem Konkurrenten erhebliche Vorteile verschaffen. Integrität der Geschäftsgeheimnisse ist meist hoch einzustufen – eine bewusste Manipulation interner Daten (z. B. Änderung einer Formel oder falsche Finanzzahlen) könnte zu Fehlentscheidungen, Produktschäden oder Compliance-Verstößen führen. Verfügbarkeit der meisten geheimen Informationen hat demgegenüber oft nur normalen bis mittleren Schutzbedarf: Kurzzeitiger Verlust der Zugreifbarkeit (etwa wenn ein vertrauliches Dokument temporär nicht auffindbar ist) ist meist verkraftbar, solange keine Fristen versäumt werden. Allerdings gibt es auch hochverfügbarkeitskritische Geheimhaltungsdokumente, z. B. Schlüsselzertifikate oder Berechtigungslisten, die jederzeit zugänglich sein müssen, um Betriebsabläufe nicht zu blockieren.

• Risiken und Szenarien: Relevante Bedrohungen sind Industriespionage und Innentäter. Ein Konkurrent oder fremder Geheimdienst könnte versuchen, durch Cyberangriffe (Hacking der Server, Phishing von Mitarbeitern), durch social engineering oder durch Bestechung von Insidern an die Geschäftsgeheimnisse zu gelangen. Physische Angriffe sind ebenso denkbar: Einbrecher könnten gezielt Büros oder Tresore durchsuchen, um vertrauliche Unterlagen oder Datenträger zu stehlen. Auch technische Schwachstellen bergen Gefahr – z. B. unverschlüsselte Backups der Datenbank mit Kundendaten, die bei Entwendung preisgeben, oder ein schlecht gesichertes WLAN, über das sensible Informationen abgegriffen werden. Sabotage ist ein weiteres Szenario: Ein verärgerter (Ex-)Mitarbeiter könnte absichtlich geheime Dateien veröffentlichen („Leak“) oder löschen. Die Schadenspotenziale sind immens: Finanziell drohen Verluste in Millionenhöhe (etwa wenn ein Konkurrenzprodukt früher auf den Markt kommt), rechtlich könnten Patentansprüche vereitelt werden (eine vorzeitige Veröffentlichung zerstört Neuheit für Patentanmeldungen) und das Unternehmen könnte Ansprüche gegen Täter mangels Beweisen verlieren. Reputativ wäre ein Leak ebenfalls schädlich – Geschäftspartner würden an der Fähigkeit zweifeln, vertrauliche Informationen zu schützen.

• Rechtliche Anforderungen: Der Schutz von Geschäftsgeheimnissen ist seit 2019 durch das Geschäftsgeheimnisgesetz (GeschGehG) geregelt. Nach § 2 Nr. 1 GeschGehG gilt nur dasjenige als Geschäftsgeheimnis, was der rechtmäßige Inhaber durch angemessene Geheimhaltungsmaßnahmen geheim hält. Unternehmen sind also verpflichtet, aktive Geheimhaltungsmaßnahmen zu ergreifen und diese auch zu dokumentieren, da im Streitfall der Inhaber beweisen muss, dass die Information geschützt war. Ohne angemessene Sicherungsmaßnahmen entfällt der rechtliche Schutz – man hätte z. B. keinen Anspruch auf Unterlassung oder Schadensersatz, falls ein Dritter die Information unbefugt erlangt. Dies erzeugt enormen juristischen Druck, Geschäftsgeheimnisse technisch, organisatorisch und vertraglich abzusichern. Angemessene Maßnahmen umfassen etwa Zugangsbeschränkungen (Need-to-know-Prinzip, Zugriffsrechte auf IT-Systeme nur für Befugte), Verschlüsselung sensibler Daten, Einsatz von Firewalls und 2-Faktor-Authentifizierung, Geheimhaltungsvereinbarungen (NDAs) mit Mitarbeitern und Partnern, Kennzeichnung von vertraulichen Dokumenten als „streng vertraulich“ etc.. Je wertvoller ein Geheimnis, desto rigoroser müssen die Schutzvorkehrungen sein. Verstöße können auch straf- und zivilrechtliche Folgen für Täter haben (Geheimnisdiebstahl ist nach GeschGehG und StGB sanktioniert). Für das Unternehmen selbst drohen bei Geheimnisverlust indirekt rechtliche Risiken: So kann die Verletzung vertraulicher Kundendaten zugleich DSGVO-Sanktionen nach sich ziehen, oder der Bruch von NDAs zieht Vertragsstrafen nach sich. Insgesamt ist der Schutzbedarf für Geschäftsgeheimnisse maximal – jede Verletzung der Vertraulichkeit hätte ruinöse Auswirkungen, sodass hier die Schutzbedarfskategorie „sehr hoch“ (für Vertraulichkeit) in aller Regel gerechtfertigt ist.

• Schutzbedarf: Personenbezogene Daten (PB Daten) in der Unternehmenszentrale unterliegen strengen gesetzlichen Vorgaben (DSGVO, BDSG) und haben vor allem hinsichtlich Vertraulichkeit einen hohen bis sehr hohen Schutzbedarf. Dazu zählen z. B. Personaldaten der Mitarbeiter (Adresse, Vertragsdaten, Leistungsbewertungen, Krankenstände), besonders sensible Daten wie Gesundheitsinformationen oder Gewerkschaftszugehörigkeit, Kunden- oder Lieferantendaten (Kontaktinformationen, Auftragsdetails, Zahlungsdaten) und ggf. Videoaufnahmen von Personen im Gebäude. Eine Vertraulichkeitsverletzung – etwa ein Datenleck, bei dem tausende Mitarbeiter- oder Kundendaten ins Internet geraten – hätte erhebliche rechtliche Konsequenzen (Meldepflicht an die Datenschutzbehörde, mögliche Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes gemäß Art. 83 DSGVO) und wäre für die Betroffenen mit teils schwerwiegenden Folgen verbunden (Identitätsdiebstahl, Phishing-Gefahr, Rufschädigung, Verletzung der Privatsphäre). Integrität der personenbezogenen Daten ist ebenfalls bedeutend: Verfälschte oder unvollständige Personaldaten könnten zu Fehlentscheidungen (z. B. falsche Lohnabrechnung, unberechtigte Zugriffe durch falsche Berechtigungen) führen. Verfügbarkeit hat vor allem dort hohen Stellenwert, wo die Daten für den laufenden Betrieb unerlässlich sind (z. B. Zugriff auf Kundendatenbank im Vertrieb, Personalzeitwirtschaftssystem). Ein Ausfall solcher Systeme kann den Geschäftsbetrieb erheblich stören, bleibt aber meist begrenzt auf bestimmte Funktionen – daher ist der Verfügbarkeitsbedarf personenbezogener Daten je nach Anwendung normal bis hoch. Insgesamt ist jedoch bei großen personenbezogenen Datenbeständen (etwa zentrale Kundendatenbank mit sensiblen Profilen) Vertraulichkeit das dominierende Schutzziel mit potenziell sehr hohem Schutzbedarf, da eine Datenschutzverletzung existenzielle Folgen für das Unternehmen haben kann (extreme Bußgelder, Klagen, Vertrauensverlust).

• Risiken und Szenarien: Die häufigsten Bedrohungen sind Cyberangriffe wie Hacking und Datendiebstahl. Beispielsweise könnte ein Angreifer über eine Schwachstelle ins Firmennetz eindringen und Millionen Kunden- oder Mitarbeiterdatensätze kopieren. Ransomware-Angriffe, die Daten verschlüsseln, bedrohen Verfügbarkeit und können zugleich eine Verletzung der Vertraulichkeit darstellen (wenn Daten exfiltriert wurden). Auch Innentäter sind ein Risiko – z. B. ein IT-Administrator, der ohne Berechtigung auf Personaldaten zugreift oder ein verärgerter Mitarbeiter, der Kundenlisten entwendet und an Dritte verkauft. Phishing und soziale Manipulation können dazu führen, dass Mitarbeiter Passwörter preisgeben oder versehentlich personenbezogene Daten an Unbefugte senden. Ein Datenleck kann zudem durch einfache organisatorische Mängel entstehen: unverschlossene Aktenschränke mit Personalakten, fehlende Löschung alter Datenbestände oder falsch konfigurierte Cloud-Speicher. In all diesen Fällen drohen rechtliche Sanktionen (DSGVO-Meldungen, Bußgelder, ggf. Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO) sowie reputationale Schäden – ein bekannt gewordener Datenvorfall führt häufig zu negativer Presse und Vertrauensverlust bei Kunden und Mitarbeitern. Wirtschaftlich können die Folgen ebenso gravierend sein: neben Bußgeldern fallen Kosten für Incident Response, IT-Forensik, Benachrichtigung der Betroffenen und mögliche Betriebsunterbrechungen an. Personelle Schäden bestehen v. a. im immateriellen Bereich: das Recht der Betroffenen auf informationelle Selbstbestimmung wird verletzt, was in schweren Fällen auch psychische Belastungen oder Diskriminierung der Betroffenen nach sich ziehen kann (etwa wenn Gesundheitsdaten oder Leistungsbeurteilungen öffentlich werden).

• Rechtliche Anforderungen: Personenbezogene Daten unterliegen umfassenden datenschutzrechtlichen Pflichten. Zentral ist Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit) in Verbindung mit Art. 32 DSGVO („Sicherheit der Verarbeitung“). Letzterer verlangt von Verantwortlichen und Auftragsverarbeitern, ein dem Risiko angemessenes Schutzniveau durch technische und organisatorische Maßnahmen zu gewährleisten. Dabei werden ausdrücklich die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste als zu schützende Aspekte genannt. Praktisch bedeutet dies z. B.: Einsatz von Verschlüsselung (bei Speicherung und Übermittlung personenbezogener Daten), Zugriffskontrollsysteme (damit nur Berechtigte auf Daten zugreifen), Pseudonymisierung/Anonymisierung wo möglich, regelmäßige Updates und Patches zur IT-Sicherheit, Backups (um Verfügbarkeit zu sichern) und Schulung der Mitarbeiter in Datenschutz und IT-Sicherheit. Kommt es dennoch zu einer Verletzung des Schutzes personenbezogener Daten (z. B. Hackerangriff mit Datendiebstahl), besteht eine Meldepflicht an die Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO) und oft auch eine Benachrichtigungspflicht gegenüber den Betroffenen (Art. 34 DSGVO), sofern ein hohes Risiko für deren Rechte und Freiheiten besteht. Dies unterstreicht, dass proaktive Sicherheitsmaßnahmen notwendig sind, um solche Vorfälle möglichst zu verhindern oder frühzeitig zu erkennen.

• Neben der DSGVO konkretisiert das deutsche BDSG einige Punkte: So ist z. B. die Videoüberwachung öffentlich zugänglicher Räume in § 4 BDSG geregelt. Falls in der Eingangshalle oder vor dem Gebäude Kameras eingesetzt werden, dürfen diese nur zur Wahrnehmung des Hausrechts oder berechtigter Interessen und nur bei strikter Erforderlichkeit betrieben werden; schutzwürdige Interessen der beobachteten Personen dürfen nicht überwiegen. Eine deutliche Kennzeichnung muss betroffene Personen bereits im Eingangsbereich über die Kameraüberwachung informieren (inkl. Angabe des Verantwortlichen). Auch innerhalb nicht-öffentlich zugänglicher Bereiche ist bei Überwachung von Beschäftigten das Mitbestimmungsrecht des Betriebsrats (falls vorhanden) sowie § 26 BDSG (Datenverarbeitung für Beschäftigungszwecke) zu beachten. Unzulässige oder exzessive Überwachung kann datenschutzwidrig sein und zu behördlichen Anordnungen oder Bußgeldern führen. Zusammengefasst ist der rechtliche Rahmen im Datenschutz sehr streng – das Unternehmen muss nachweisen, dass es den Grundsatz der „Security by Design“ erfüllt, also Datenschutz und Datensicherheit von vornherein implementiert hat. In der Schutzbedarfskategorie bedeutet dies: personenbezogene Daten mit hohem Missbrauchsrisiko (z. B. Gesundheitsdaten, große Mengen an Kundendaten) sind in der Regel in Schutzbedarf „sehr hoch“ (Vertraulichkeit) einzuordnen, da eine Kompromittierung eine ruinöse Wirkung für Betroffene und erhebliche rechtliche Konsequenzen für das Unternehmen haben kann.

• Schutzbedarf: Die IT-Infrastruktur der Zentrale ist mission-critical für nahezu alle Geschäftsprozesse. Verfügbarkeit steht hier oft im Vordergrund: Ein Ausfall zentraler IT-Systeme (z. B. E-Mail-Server, Finanzbuchhaltungssoftware oder Netzwerk) kann den Geschäftsbetrieb zum Erliegen bringen. Je nach kritischem Grad des Systems wird der Verfügbarkeits-Schutzbedarf hoch bis sehr hoch sein – etwa sind Kernsysteme, ohne die das Unternehmen keine Transaktionen durchführen kann, als sehr hoch kritisch anzusehen (selbst Ausfallzeiten < 1 Tag könnten Verträge brechen und hohe Verluste verursachen). Integrität der IT-Systeme ist ebenfalls entscheidend: Werden Systeme manipuliert (z. B. durch Malware, die Daten verändert, oder durch unbemerkte Eindringlinge, die Systeme umkonfigurieren), können falsche Ergebnisse, Fehlüberweisungen oder das Einschleusen von Hintertüren die Folge sein. Die Integrität zentraler Systeme (Finanzsystem, Produktionssteuerung, Kundenportal etc.) hat daher typischerweise hohen Schutzbedarf. Vertraulichkeit schließlich hängt davon ab, welche Informationen die IT-Systeme verarbeiten: Systeme, die Geschäftsgeheimnisse oder personenbezogene Daten speichern, erfordern hohen Schutz der Vertraulichkeit (siehe oben), wohingegen z. B. ein öffentlich zugänglicher Webserver mit rein öffentlich bestimmten Inhalten weniger vertraulichkeitskritisch ist. Insgesamt haben jedoch die Kern-IT-Systeme eines Großunternehmens häufig in allen drei Schutzzielen hohen oder sehr hohen Schutzbedarf: Verfügbarkeit (für kontinuierliche Betriebsfähigkeit), Integrität (für korrekte, zuverlässige Verarbeitung) und Vertraulichkeit (für den Schutz sensibler Daten).

• Risiken und Szenarien: Cyberbedrohungen dominieren das Risikobild für IT-Systeme. Dazu gehören gezielte Hackerangriffe (etwa mittels Exploits gegen offene Ports, Schwachstellen in nicht aktualisierter Software oder gestohlene Zugangsdaten), Malware-Infektionen (vom klassischen Computervirus bis zu komplexer Ransomware, die ganze Netzwerke verschlüsselt), Denial-of-Service-Angriffe (die Systeme überlasten und lahmlegen) und Advanced Persistent Threats (APT), bei denen Angreifer über längere Zeit unentdeckt im Netz verbleiben und Daten exfiltrieren. Auch Sabotage durch Insidern ist zu bedenken: ein Administrator mit weitreichenden Rechten könnte absichtlich Server ausfallen lassen oder Daten löschen. Technisches Versagen spielt ebenfalls eine Rolle: Hardwareausfälle (z. B. Platten-Crash ohne Backup), Stromausfall (wenn kein USV/Generator vorhanden), Brand im Serverraum (wenn keine Löschanlagen oder Redundanz vorhanden) etc. Die Schadensszenarien sind vielfältig: Ein erfolgreicher Hackerangriff kann z. B. Kundendaten stehlen (Vertraulichkeitsbruch, siehe vorheriger Abschnitt), die gesamte IT verschlüsseln (Ransomware – Verfügbarkeitsverlust), Betriebsabläufe stören (z. B. Produktionsstillstand durch IT-Ausfall – wirtschaftlicher Schaden), oder unbemerkt Daten manipulieren (z. B. Kontodaten ändern für Betrug – Integritätsverlust). Rechtlich können IT-Ausfälle kritisch werden, wenn Lieferverpflichtungen oder Verträge nicht erfüllt werden können (Vertragsverletzungen mit Schadenersatzrisiken) oder Compliance-Vorschriften tangiert sind (z. B. muss ein Unternehmen nach § 91 AktG geeignete Überwachungssysteme zur Früherkennung von Risiken haben – bei unzureichender IT-Sicherheit könnte der Vorstand haftbar werden). Reputativ sind gravierende IT-Vorfälle ebenfalls schädlich, da Kunden und Öffentlichkeit die Zuverlässigkeit und Sicherheit des Unternehmens anzweifeln (Beispiel: öffentlich bekanntgewordene Hackerangriffe auf DAX-Konzerne haben in der Vergangenheit den Aktienkurs und das Vertrauen der Kunden beeinträchtigt). Im Falle von KRITIS-Relevanz (kritische Infrastruktur, z. B. wenn das Unternehmen im Energie- oder Finanzsektor ist) würde ein IT-Ausfall sogar unmittelbar die Daseinsvorsorge der Bevölkerung beeinträchtigen – dann wären die Auswirkungen katastrophal, und Verfügbarkeit/Integrität sind eindeutig sehr hoch einzuordnen.

• Rechtliche Anforderungen: Die generelle IT-Sicherheitspflicht ergibt sich bereits aus dem oben erwähnten Art. 32 DSGVO (für alle IT-Systeme, die personenbezogene Daten verarbeiten) und aus allgemeinen Sorgfaltspflichten der Geschäftsleitung (vgl. § 91 Abs. 2 AktG für Aktiengesellschaften, wonach ein Überwachungssystem zur Risikofrüherkennung eingerichtet sein muss – das umfasst auch IT-Risiken). Darüber hinaus gibt es spezifische Gesetze: Ist das Unternehmen als kritische Infrastruktur (KRITIS) eingestuft oder als Unternehmen im besonderen öffentlichen Interesse (UBI) nach BSIG, greifen die strengen Vorgaben des IT-Sicherheitsgesetzes 2.0. Für KRITIS-Betreiber schreibt § 8a BSIG (BSI-Gesetz) vor, dass angemessene technische und organisatorische Vorkehrungen zu treffen sind, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme zu verhindern. Dazu zählen konkret z. B. die Implementierung von Firewalls, Intrusion-Detection/Prevention-Systemen, permanente Systemüberwachung, regelmäßige Sicherheitsupdates sowie Schulungen der Mitarbeiter. Außerdem müssen KRITIS-Betreiber alle zwei Jahre Sicherheitsaudits durchführen lassen und die Ergebnisse dem BSI vorlegen. Kommt ein KRITIS-Betreiber diesen Pflichten nicht nach, drohen Bußgelder und im Ernstfall sogar der Entzug der Betreibererlaubnis. Für UBI-Unternehmen (wie z. B. die größten Unternehmen nach Wertschöpfung in Deutschland) gelten vergleichbare Pflichten: Sie müssen sich beim BSI registrieren, eine Selbst­erklärung zur IT-Sicherheit abgeben und erhebliche IT-Störungen an das BSI melden. Zwar fallen viele Großunternehmen außerhalb der KRITIS-Sektoren (Energie, Gesundheit, Telekommunikation etc.) derzeit nicht unter diese Meldepflichten, doch die Tendenz geht klar dahin, auch diese über EU-Recht (NIS2-Richtlinie) in Zukunft stärker zu regulieren.

• Unabhängig vom Regulierungsstatus verlangt auch das Geschäftsgeheimnisrecht und die betriebliche Sorgfalt umfassende IT-Schutzmaßnahmen: Geschäftsgeheimnisse auf IT-Systemen müssen durch Zugriffsmanagement, Verschlüsselung etc. gesichert werden. Aus Produktsicherheitsrechtlicher Sicht (ProdSG) müssen alle in der IT eingesetzten Geräte den Sicherheitsstandards entsprechen (CE-Zertifizierung etc.), um z. B. Brandgefahren oder elektrische Risiken zu minimieren – der Arbeitgeber darf keine offensichtlich unsicheren Geräte betreiben. Schließlich sind auch arbeitsschutzrechtliche Vorgaben relevant: Ein Totalausfall der IT kann Stress und psychische Belastungen bei Mitarbeitern verursachen, was gem. § 5 ArbSchG im Rahmen der Gefährdungsbeurteilung (psychische Belastungen) zu berücksichtigen ist.

• Schutzbedarf: Physische Sicherheitsmaßnahmen wie Zutrittskontrollsysteme, Alarmanlagen und Videoüberwachung sind doppelt relevant: Sie schützen andere Güter (insbesondere verhindern sie unbefugten Zugang zu vertraulichen Informationen oder kritischen Bereichen), und sie stellen selbst ein Schutzgut dar, denn ihre Funktionsfähigkeit muss gewährleistet sein. Daher liegt der Schutzbedarf bei Integrität und Verfügbarkeit dieser Einrichtungen überwiegend hoch. Ein Ausfall der Alarmanlage oder ein Manipulieren der Zutrittssteuerung könnte beispielsweise dazu führen, dass Einbrüche unentdeckt bleiben oder Unbefugte sich Zutritt verschaffen – die Sicherheitsbarriere wäre wirkungslos. Ebenso kritisch: Wenn etwa ein elektronisches Türschloss versagt, könnten Türen ungewollt offen stehen (Vertraulichkeitsproblem) oder im schlimmsten Fall versperrt bleiben (Gefahr im Notfall, wenn Personen nicht evakuieren können). Vertraulichkeit spielt bei den meisten physischen Sicherheitssystemen eine untergeordnete Rolle, bezieht sich aber etwa auf Zugriffscodes, Schließpläne oder Videodaten: Diese Informationen müssen vertraulich behandelt werden, damit ein Angreifer nicht das gesamte Sicherheitssystem aushebeln kann (Schlüsselcodes oder Kamera-Blindzonen dürfen nicht bekannt werden). Insgesamt sind Integrität („Die Anlage löst Alarm aus, wenn sie soll, und niemand hat sie sabotiert“) und Verfügbarkeit („Die Anlage ist einsatzbereit, z. B. Stromversorgung intakt und Funktionsfähigkeit gegeben“) essenziell. Daher wird man für diese Schutzziele mindestens hohen Schutzbedarf annehmen. Vertraulichkeit ist im Normalfall normal bis moderat, außer in Bezug auf aufgezeichnete Daten (siehe unten Datenschutz bei Video).

• Risiken und Szenarien: Eine Reihe von Bedrohungen zielt direkt auf die Umgehung oder Ausschaltung physischer Sicherheitsvorkehrungen. Einbrecher könnten versuchen, Alarmsensoren zu sabotieren (z. B. Bewegungsmelder verdecken, Alarmleitung durchtrennen) oder gestohlene Zugangskarten/Schlüssel zu nutzen, um unbefugt ins Gebäude zu gelangen. Innentäter könnten legitime Zugänge missbrauchen (Tailgating weiterer Personen ohne Anmeldung, Weitergeben von Ausweisen). Sabotageakte sind denkbar, etwa durch Störsender für Funk-Alarmanlagen oder das Vernebeln von Kameras. Ein Stromausfall ohne Notstrom würde viele Sicherungssysteme außer Kraft setzen – daher müssen Backup-Batterien vorhanden sein. Cyberangriffe betreffen zunehmend auch physische Sicherheitssysteme, da viele über IP-Netzwerke laufen (z. B. eine hackbare IP-Kamera oder eine manipulierbare Zutrittsdatenbank). Die Schadensfolgen daraus sind indirekt aber gravierend: Gelingt es einem Angreifer, die Sicherheitseinrichtungen zu überwinden, können danach andere Schutzgüter ungestört kompromittiert werden (Diebe könnten z. B. in Serverräume oder Archive vordringen). Zudem kann es zu Gefahr für Personen kommen – etwa wenn ein Saboteur den Feueralarm unterdrückt und ein Brand unentdeckt bleibt, geraten Menschen in Lebensgefahr. Eine besondere Abwägung erfordert der Einsatz von Videoüberwachung: Hier kann zwar Kriminalität abgeschreckt oder aufgeklärt werden, doch entsteht auch ein Datenschutzrisiko (Überwachung der Mitarbeiter oder Besucher). Ein Missbrauch der Videodaten (z. B. unbefugtes Anschauen oder Veröffentlichen von Aufzeichnungen) würde das Persönlichkeitsrecht verletzen und einen rechtlichen Konflikt darstellen. Insgesamt besteht das Risiko bei physischen Sicherheitslücken, dass andere Schutzmaßnahmen kaskadenartig versagen – dies würde je nach Angriffsziele alle zuvor genannten Schadenskategorien bedienen (Diebstahl vertraulicher Daten = rechtlich + reputativ, Sachbeschädigung = wirtschaftlich, ggf. Personenschaden bei Gewaltdelikten).

• Rechtliche Anforderungen: Die Wahrnehmung des Hausrechts gestattet es dem Unternehmen grundsätzlich, Zugangs- und Überwachungsmaßnahmen zu ergreifen. Allerdings sind rechtliche Schranken zu beachten. Datenschutzrechtlich gilt – wie erwähnt – für Videoüberwachung § 4 BDSG: Öffentlich zugängliche Areale (z. B. Empfangshalle, Besucherparkplatz) dürfen videoüberwacht werden, soweit es zur Wahrnehmung des Hausrechts oder berechtigter Interessen erforderlich ist und keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen. In jedem Fall ist das Verhältnismäßigkeitsprinzip zu wahren: Gibt es mildere Mittel (z. B. mehr Wachpersonal statt flächendeckender Kameras), sind diese zu erwägen. Bei interner Videoüberwachung von nicht-öffentlichen Räumen kommt es auf den Zweck an (Schutz von Personen oder Sachen versus Verhaltenskontrolle der Mitarbeiter – letzteres wäre sehr kritisch). Informationspflichten sind strikt: Betroffene müssen bereits am Eingang auf Kameras hingewiesen werden (Schild mit Piktogramm und Kontakt des Verantwortlichen). Die Aufnahmen dürfen nur zweckgebunden verwendet und nicht länger als nötig gespeichert werden (typischerweise wenige Tage, sofern kein Vorfall). Ein Verstoß gegen diese Vorgaben (etwa versteckte Kameras ohne Hinweis) verletzt die DSGVO und kann zu Bußgeldern führen.

• Für Zutrittskontrollsysteme und Alarmsysteme gelten neben Datenschutz (falls z. B. Personal-Zugangsprotokolle personenbezogen ausgewertet werden) vor allem Arbeitsschutz- und Baurecht: Türen, Schleusen und sonstige Anlagen dürfen nicht so gestaltet sein, dass sie in Notfällen den Fluchtweg versperren (siehe z. B. Arbeitsstättenverordnung und Landesbauordnungen zu Notausgängen). Elektronische Schlösser müssen im Brandfall automatisch öffnen oder durch Notschalter übersteuerbar sein. Brandschutztüren mit Magnetverriegelung müssen sich im Alarmfall entriegeln – all dies unterliegt technischen Normen und behördlicher Abnahme. Produktsicherheitsrechtlich müssen Sicherheitseinrichtungen zuverlässig funktionieren – z. B. benötigen Brandmelder und Alarmzentralen Prüfzeichen (VdS-anerkannt etc.), und der Betrieb ohne regelmäßige Wartung könnte gegen die Betreiberpflichten (Betriebssicherheitsverordnung) verstoßen. Versicherungsrechtlich verlangen Versicherer oft Mindeststandards (Alarmanlage bei teurer technischer Ausstattung, Tresore bestimmter Sicherheitsklasse für Bargeld/Schmuck etc.); werden diese nicht erfüllt, kann im Schadensfall der Versicherungsschutz gefährdet sein.

Unter arbeitsrechtlichen Aspekten muss das Unternehmen bei Maßnahmen, die Arbeitnehmer betreffen (z. B. Zutrittskontrollsysteme mit personenbezogener Protokollierung, Video in Arbeitsbereichen), den Betriebsrat einbinden (Mitbestimmung nach § 87 BetrVG) und transparente Regelungen festlegen, um die Persönlichkeitsrechte der Beschäftigten zu wahren. So ist ein reines „Überwachen zur Leistungskontrolle“ unzulässig. Erlaubt sind hingegen Maßnahmen zur Sicherheitsgewährleistung, solange sie verhältnismäßig sind und der Schutz von Personen oder besonders schutzwürdigen Gütern es erfordert.

• Schutzbedarf: In einer Unternehmenszentrale werden über Kommunikationssysteme täglich sensible Informationen ausgetauscht – telefonisch, per E-Mail oder in Videokonferenzen. Vertraulichkeit dieser Kommunikation ist entscheidend: Geschäftliche Telefonate können vertrauliche Abreden enthalten (z. B. Vertragsverhandlungen, Personalgespräche), E-Mails transportieren häufig geheime Dokumente im Anhang, und Videokonferenzen der Geschäftsleitung dürfen keinesfalls abgehört werden. Somit besteht hoher Schutzbedarf in Vertraulichkeit für die Kommunikationskanäle, insbesondere auf höheren Managementebenen oder in F&E-Besprechungen. Integrität der Kommunikation bedeutet, dass Nachrichten unverfälscht ankommen und Absender authentisch sind – auch dies ist essentiell (ein manipuliertes E-Mail-Schreiben oder die sog. „CEO-Fraud“-Masche, bei der sich jemand per gefälschtem Mail als Geschäftsführer ausgibt und Überweisungen anweist, können enormen Schaden anrichten). Daher ist auch der Integritätsschutz der Kommunikationsmittel hoch. Verfügbarkeit ist ebenfalls wichtig, aber in der Regel weniger kritisch als bei Kern-IT-Systemen: Fällt z. B. das E-Mail-System für einige Stunden aus, ist dies ärgerlich und kann Arbeitsabläufe stören, führt aber selten unmittelbar zu Vertragsbrüchen. Gleichwohl können längere Ausfälle (etwa der gesamten Telefonanlage oder Internetanbindung) beträchtliche finanzielle Schäden verursachen, wenn das Unternehmen nicht kommunizieren kann – in Notfällen (z. B. Krisensituationen) kann Kommunikation überlebenswichtig sein. Also auch Verfügbarkeit mindestens normal bis hoch, je nachdem ob es Backup-Wege gibt (Mobiltelefone als Fallback etc.). Insgesamt sollten kritische Kommunikationswege (Vorstandskonferenzen, Notfallkommunikation) als hoch kritisch betrachtet werden, während Alltagskommunikation im Büro eher mittleren Schutzbedarf hat.

• Risiken und Szenarien: Abhören und Ausspähen sind zentrale Bedrohungen. Beispiele: Ein Angreifer könnte die Telefonanlage infiltrieren und Gespräche abhören (analog oder via VoIP hacken), oder sich in Videokonferenz-Meetings einwählen, falls diese nicht ausreichend gesichert sind (z. B. schwache Meeting-PIN). E-Mail-Kommunikation ist Angriffsziel Nummer eins für Phishing und Social Engineering – ein Mitarbeiter könnte eine präparierte Mail mit Schadsoftware öffnen (Malwareeinfallstor) oder vertrauliche Infos unverschlüsselt an einen falschen Empfänger senden. Auch Man-in-the-Middle-Angriffe auf WLAN oder Netzwerke (mitlauschen von unverschlüsseltem Datenverkehr) sind denkbar. Physisch könnte jemand z. B. in einen Konferenzraum Wanzen (Abhörgeräte) installieren. Speziell hochrangige Meetings (Aufsichtsrat, Vorstand) sind für Industriespione interessant; in sensiblen Bereichen werden deshalb oft Gegenmaßnahmen wie Raum-Sweepings nach Abhörgeräten vorgenommen. Integritätsangriffe umfassen z. B. das Manipulieren von E-Mail-Absenderadressen oder das Abfangen und Verändern von Bestellungen (Business Email Compromise). Die Schäden solcher Szenarien: Wirtschaftlich kann ein erfolgreicher CEO-Fraud, bei dem per gefälschter Anweisung eine große Summe überwiesen wird, Millionen kosten. Rechtlich könnte das Abhören geschützter Kommunikation gegen das Fernmeldegeheimnis (Art. 10 GG, § 88 TKG) verstoßen – wobei das Unternehmen hier Opfer wäre, allerdings bei mangelhafter Sicherung evtl. gegen Datenschutzbestimmungen verstößt (z. B. wenn vertrauliche personenbezogene Daten in E-Mails unverschlüsselt versendet werden). Reputationsmäßig wäre eine öffentlich gewordene Abhöraktion peinlich; es weckt Zweifel, ob das Management ausreichend für Vertraulichkeit sorgt (gerade bei Verhandlungen mit Partnern ist das Vertrauen in sichere Kommunikation wichtig). Zudem könnte bei manipulierter Kommunikation das Vertrauen intern leiden – Mitarbeiter müssen sicher sein können, dass offizielle Anweisungen echt sind.

• Rechtliche Anforderungen: Die Sicherung der Kommunikationswege ergibt sich indirekt aus mehreren Vorschriften. Art. 32 DSGVO bezieht sich auch auf die Sicherheit bei der Übermittlung personenbezogener Daten – das impliziert etwa, dass E-Mails mit Personal- oder Kundendaten zu verschlüsseln sind oder nur über gesicherte Verbindungen laufen sollen. Wenn das Unternehmen selbst Telekommunikationsdienste-Anbieter wäre, gälte das TKG mit besonderen Anforderungen an die Vertraulichkeit (hier aber in der Regel nicht der Fall, da die Zentrale nur Endnutzer ist). Allerdings kann § 26 BDSG einschlägig sein, wenn z. B. Kommunikationsdaten von Mitarbeitern (E-Mails) überwacht werden sollen; hier ist streng zwischen erlaubter Zwecküberwachung (IT-Sicherheit, Nachweis von Korruption) und unzulässiger Dauerüberwachung zu trennen – letzteres würde Persönlichkeitsrechte verletzen. Betriebsvereinbarungen regeln oft die erlaubte private Nutzung von E-Mail/Internet und die Protokollierung des Verkehrs.

• Um Kommunikation zu schützen, setzen normative Anforderungen auf Stand der Technik: etwa TLS-Verschlüsselung für E-Mail-Server, VPN-Tunnel für Remote-Konferenzen, Ende-zu-Ende-Verschlüsselung bei Chats (sofern sensible Inhalte). Gesprächsinhalte aus geschäftlichen Besprechungen gelten oft als Geschäftsgeheimnisse, sind also nach GeschGehG ebenfalls durch „angemessene“ Maßnahmen geheim zu halten – z. B. nur geschützte Konferenzlinien nutzen, Teilnehmer zu Vertraulichkeit verpflichten, Aufzeichnungen vermeiden oder sicher speichern. Wird Kommunikation aufgezeichnet (z. B. Konferenzmitschnitte, Callcenter-Telefonaufzeichnungen), greifen wiederum Datenschutzregeln: Nur mit Einwilligung oder klarer gesetzlicher Grundlage (z. B. zu Schulungszwecken mit Einwilligung aller Beteiligten) darf das erfolgen.

Für Notfallkommunikation (z. B. Evakuierungsdurchsagen, Alarmierungssysteme) bestehen sicherheitsrechtliche Vorgaben: Brandmeldeanlagen mit Sprachdurchsage müssen auch bei Stromausfall funktionieren, dies ist in Brandschutzkonzepten vorgeschrieben. Mitarbeiter müssen über Notfallpläne informiert sein (Wer alarmiert wen? Gibt es Telefonketten?). Hier überschneidet sich die Kommunikation mit Arbeitsschutz: Der Arbeitgeber muss dafür sorgen, dass im Gefahrenfall eine schnelle Information aller Anwesenden gewährleistet ist (etwa durch Sirenen, Lautsprecher oder automatische SMS-Benachrichtigungen).

• Schutzbedarf: Die Gebäudetechnik umfasst alle technischen Anlagen, die ein sicheres und produktives Arbeitsumfeld garantieren. Hierbei steht Verfügbarkeit an erster Stelle: Systeme wie Stromversorgung, Klimaanlage, Lüftung und Aufzüge müssen weitgehend unterbrechungsfrei funktionieren, sonst kann das Gebäude nicht bestimmungsgemäß genutzt werden. Ein Stromausfall ohne Backup kann z. B. den ganzen Bürobetrieb stoppen, ein Ausfall der Klimaanlage könnte Serverräume überhitzen (Datenverlustgefahr) oder im Sommer die Arbeitsräume unbenutzbar machen. Verfügbarkeits-Schutzbedarf ist daher für kritische Gebäudesysteme hoch (z. B. Dauerstrom für Serverraumkühlung) bis sehr hoch (Brandschutzsysteme müssen immer funktionieren). Integrität der Gebäudetechnik bedeutet, dass die Systeme nicht fehlerhaft oder manipuliert arbeiten: z. B. darf die Brandmeldezentrale keine Falschinformationen liefern oder durch Hacking ferngesteuert werden. Da eine Manipulation hier zu schweren Sach- und Personenschäden führen kann (etwa Absichtliches Abschalten der Sprinkleranlage vor einem Brandanschlag), ist auch Integrität hoch einzustufen. Vertraulichkeit spielt bei Gebäudetechnik eine geringe Rolle – die meisten Sensordaten (Temperatur, Beleuchtung) sind unkritisch. Allerdings können Details der Gebäudesteuerung (z. B. exakte Pläne der Sicherheitsverkabelung oder Zugangsdaten der Gebäudeleittechnik) durchaus vertraulich zu behandeln sein, um Angreifern kein Insiderwissen zu liefern. Insgesamt liegt der Schwerpunkt aber klar auf Verfügbarkeit/Integrität (hoch bis sehr hoch), während Vertraulichkeit maximal normal ist.

• Risiken und Szenarien: Technische Störungen sind hier naturgemäß das Hauptszenario: Ein Stromausfall infolge Versorgungsproblemen, ein Defekt der Klimaanlage, ein Rohrbruch (Wasserschaden), Ausfall der Aufzüge oder Fehlalarme der Brandmelder. Viele dieser Störungen können – wenn nicht vorbereitet – Betriebsunterbrechungen verursachen: kein Licht, kein Computerbetrieb ohne Strom; Überflutung kann Archive oder Hardware zerstören; steckengebliebene Aufzüge gefährden Personen und behindern den Betriebsablauf. Daneben rücken gezielte Angriffe in den Fokus, da Gebäudetechnik zunehmend vernetzt ist (Stichwort: Smart Building, IoT). Ein Angreifer könnte versuchen, über die mit dem Firmennetz verbundenen Gebäudeleitsysteme ins Netz einzudringen (wie im bekannten Fall, wo eine Klimaanlagensteuerung Einfallstor für Hacker war). Oder es erfolgt Sabotage: z. B. Manipulation der Klimasteuerung, sodass Serverräume zu heiß werden und ausfallen; Manipulation der Zutrittssteuerung via Gebäudeleitsystem; Auslösen falscher Feueralarme, um Chaos zu stiften; oder Blockieren von Aufzügen. Brandstiftung ist auch ein Extrem-Szenario, das physische und technische Sicherheit kombiniert: Ein Brand als vorsätzlicher Akt würde nicht nur direkten Schaden anrichten, sondern stellt den ultimativen Stresstest für die Gebäudetechnik (Branddetektion, Löschanlage, Notstrom) dar. Sollte diese versagen, sind Menschenleben gefährdet und das Gebäude könnte zerstört werden – ein katastrophaler Schaden. Auch Naturereignisse (Sturm, Blitzschlag, Hochwasser) können Gebäudetechnik beeinträchtigen – die Zentrale muss auch darauf vorbereitet sein (Blitzschutz, Notfallpläne). Wirtschaftlich kann ein schwerer Gebäudetechnik-Ausfall immense Kosten verursachen (z. B. Server-Hardware-Schäden durch Klimaausfall, Produktionsstillstand falls die Zentrale Steuerungsfunktionen innehat, Wiederaufbaukosten nach Brand). Rechtlich sind hier vor allem Arbeitsschutz und Bauordnungsrecht relevant: Wenn ein Unternehmen seine Gebäudetechnik vernachlässigt und es kommt zu einem Unfall (z. B. jemand erstickt, weil Lüftung und Notalarm versagten bei Gasaustritt), drohen strafrechtliche Ermittlungen wegen Fahrlässigkeit gegen die Verantwortlichen sowie zivilrechtliche Haftung. Reputational wäre ein schwerer Zwischenfall (etwa ein Brand mit mangelhaften Sicherungen) verheerend, da dies den Eindruck grober Pflichtverletzung erweckt.

• Rechtliche Anforderungen: Gebäude und deren technische Anlagen unterliegen einer Vielzahl von öffentlich-rechtlichen Vorschriften. Landesbauordnungen und das Arbeitsschutzrecht überschneiden sich hier: So muss z. B. ein Bürohochhaus bestimmte Brandschutzvorkehrungen nach Bauordnungsrecht erfüllen (Brandmelder, Feuerlöscher, Rauchabzugsanlagen, Notbeleuchtung, zwei unabhängig nutzbare Rettungswege etc.), die Behörde muss ein Brandschutzkonzept genehmigen. Die Arbeitsstättenverordnung (ArbStättV) verlangt u. a. sichere Fluchtwege, regelmäßige Übung von Evakuierungen, und dass technische Anlagen keine unzumutbaren Belastungen (Lärm, schlechte Luft) für Arbeitnehmer verursachen. § 3 ArbStättV i.V.m. den Technischen Regeln für Arbeitsstätten (ASR) fordert z. B., dass Klima und Beleuchtung in einem bestimmten Rahmen gehalten werden – ein Ausfall der Klimaanlage kann in Extremfällen sogar zur vorübergehenden Betriebsschließung führen, um Gesundheitsschäden (Hitzestress) zu vermeiden. § 5 ArbSchG (Gefährdungsbeurteilung) verpflichtet den Arbeitgeber, alle Gefährdungen – auch solche durch technisches Versagen oder menschliche Eingriffe – zu beurteilen und entsprechende Maßnahmen festzulegen. Dazu zählen Notfallpläne bei Stromausfall, regelmäßige Wartung der Anlagen, Prüfungen durch Sachverständige (z. B. TÜV-Prüfung von Aufzügen, Elektroprüfung nach DGUV V3). Vernachlässigt der Betreiber dies, können Behörden Betriebsbereiche stillegen oder Bußgelder verhängen. Nach schweren Unfällen drohen sogar strafrechtliche Konsequenzen (etwa nach §§ 222, 229 StGB – fahrlässige Tötung/Körperverletzung – wenn Fahrlässigkeit bei Wartung belegt wird).

• Produktsicherheits- und Betriebssicherheitsrecht: Alle technischen Geräte im Gebäude müssen den einschlägigen Sicherheitsnormen entsprechen. Beispielsweise verlangt das Produktsicherheitsgesetz (ProdSG), dass nur CE-konforme Geräte in Verkehr gebracht und verwendet werden. Der Arbeitgeber darf also z. B. keine unzertifizierten Eigenbauten als Teil der Gebäudetechnik einsetzen, ohne selbst für gleichwertige Sicherheit zu sorgen. Die Betriebssicherheitsverordnung (BetrSichV) schreibt vor, dass Arbeitsmittel (dazu zählen auch Aufzüge, elektrische Anlagen im Gebäude) regelmäßig geprüft werden und von befähigten Personen instand gehalten werden.

Für kritische Infrastrukturen (z. B. wenn die Zentrale ein Verkehrsleitsystem beherbergen würde) kämen erneut das BSI-Gesetz und branchenspezifische Sicherheitsstandards ins Spiel, doch im Regelfall eines „normalen“ Unternehmensgebäudes greifen diese nicht direkt. Indirekt aber können auch Gebäudeleitsysteme Teil der Informationssicherheit sein – sind sie ans IT-Netz angeschlossen, fallen sie unter das ISMS und sollten mit gehärtet werden (Zugriff nur für Berechtigte, Netzwerksegmentierung, Patches).

• Schutzbedarf: Dokumentenarchive enthalten oft historisch gewachsene Informationen: alte Vertragsordner, Buchhaltungsunterlagen, Personalakten, Protokolle, technische Zeichnungen, Patentdokumentationen, Forschungsberichte u. v. m. Vertraulichkeit dieser Archive ist in der Regel hoch, denn sie können personenbezogene Daten (etwa in Personal- oder Kundenakten) und Geschäftsgeheimnisse (Verträge, Kalkulationen, Baupläne) enthalten. Besonders Archive mit Patentanmeldungen oder noch nicht veröffentlichter Forschung sind vertraulichkeitskritisch. Zwar mögen manche Altunterlagen an Aktualität verlieren, aber z. B. sind strategische Entscheidungen oder juristische Gutachten in Archiven immer noch sensibel (könnten z. B. in falschen Händen gegen das Unternehmen verwendet werden). Integrität der Archivdokumente ist wichtig, aber typischerweise ist das Risiko bewusster Manipulation gering (wer verändert schon alte Akten?), wichtiger ist die Vollständigkeit: Es dürfen keine Aktenstücke verlorengehen oder beschädigt werden – das ist integritätsnah (ein lückenhaftes Archiv kann rechtliche Probleme machen, etwa wenn ein Dokument im Rechtsstreit als Beweis fehlt). Verfügbarkeit der Archive hat zweierlei Aspekte: Gesetzlich müssen gewisse Dokumente verfügbar gehalten werden (Aufbewahrungspflichten, z. B. 10 Jahre für Buchungsbelege nach AO/HGB), also darf nichts vorzeitig vernichtet werden – das ist eine Art langfristige Verfügbarkeit. Im Alltagsbetrieb hingegen werden Archive nur bei Bedarf konsultiert; ein kurzer Zugriffsstopp (z. B. weil der Archivraum umgeräumt wird oder das digitale Archiv wegen Wartung offline ist) verursacht selten akute Schäden. Allerdings bei digitalen Archiven ist Verfügbarkeit kritisch, wenn operative Systeme darauf zugreifen (z. B. altes Bestellsystem greift auf Archivdatenbank zu). Daher kann man Verfügbarkeit meist als normal bis mittel einstufen, mit Ausnahmen, während Vertraulichkeit überwiegend hoch ist. Integrität/Vollständigkeit ist hoch, da Verlust wichtiger Archive rechtliche Folgen haben kann.

• Risiken und Szenarien: Physische Gefahren für Archive: Feuer ist das klassisch größte Risiko – ein Brand im Archivraum kann unwiederbringlich Akten vernichten. Deshalb werden wichtige Archive oft in feuerbeständigen Schränken oder Räumen aufbewahrt. Wasserschäden (Löschwasser, Rohrbruch) sind ebenso verheerend für Papier. Diebstahl ist ein weiterer Risikofaktor: Ein Eindringling könnte gezielt alte Akten stehlen, um an Informationen zu gelangen, die digital vielleicht besser geschützt sind (Angreifer nutzen gerne den analogen Weg, wenn digitale Barrieren hoch sind). Unbefugter interner Zugriff ist auch denkbar – z. B. könnte ein Mitarbeiter heimlich in der Registratur Akten über Kollegen (Personalakten) oder Projekte lesen, die ihn nichts angehen, wenn keine Zugriffskontrollen existieren. Bei digitalen Archiven kommen alle IT-Risiken ins Spiel: Datenbankkorruption, versehentliches Löschen durch einen Administrator, Ransomware (die auch Netzlaufwerke mit Archiven verschlüsselt) etc. Ein besonderes Problem digitaler Archivierung ist die Alterung der Medien – z. B. Lesbarkeit alter Backup-Bänder, was aber planbar ist (Migrationskonzept). Schadensszenarien: Geht ein essentielles Dokument verloren (z. B. ein altes Vertragsoriginal, das vor Gericht als Beweis gebraucht würde), kann dies rechtliche Nachteile bringen – im Extremfall verliert das Unternehmen einen Prozess mangels Urkunde. Werden personenbezogene Daten aus Archiven entwendet (etwa alte Kundenlisten), gilt das als Datenschutzvorfall mit entsprechenden Konsequenzen (auch wenn alt, es sind immer noch Daten). Geschäftsgeheimnisse in Archiven (z. B. alte Rezepturen, Konstruktionszeichnungen) haben zwar vielleicht nicht mehr denselben Wert wie aktuelle, könnten aber Konkurrenten dennoch Einblicke geben – also auch hier potenzieller wirtschaftlicher Schaden und Verletzung GeschGehG (Archive sind angemessen zu schützen wie aktuelle Infos). Reputation: Ein offen kommuniziertes Versagen im Archivschutz (z. B. Aktenvernichtung durch Schlamperei, was zu Skandalen führen kann – man denke an öffentliche Fälle wie verlorene Kundenakten) würde das Bild von Zuverlässigkeit beeinträchtigen. Allerdings ist dies selten öffentlich relevant bei internen Archiven eines privaten Unternehmens, es sei denn es geht um besonders brisante Unterlagen (z. B. Umweltdaten, die man aufbewahren muss).

• Rechtliche Anforderungen: Aufbewahrungspflichten kommen hier ins Spiel: Handels- und steuerrechtlich (HGB, Abgabenordnung) müssen bestimmte Unterlagen 6 bzw. 10 Jahre aufbewahrt werden (z. B. Handelsbriefe, Buchungsbelege). Die Nichteinhaltung kann Ordnungsgeld oder steuerliche Schätzungen nach sich ziehen. Das bedeutet, Archive dürfen nicht vor Ablauf dieser Fristen vernichtet werden – ein Schutzbedarf der Verfügbarkeit/Vollständigkeit auf lange Sicht. Gleichzeitig verlangt das Datenschutzrecht, keine personenbezogenen Daten länger als nötig aufzubewahren. Hier entsteht eine Gratwanderung: Daten, die nur wegen gesetzlicher Pflichten archiviert werden, sind nach Fristablauf umgehend zu löschen. Das Unternehmen muss also Löschkonzepte implementieren, damit Archive nicht zum Datenschatz für Angreifer werden. In der DSGVO ist das der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Verletzungen (etwa das jahrzehntelange Aufbewahren von Bewerbungsunterlagen ohne Grund) können zu Sanktionen führen.

• Schutzbedarf: F&E-Unterlagen und sonstiges geistiges Eigentum stellen oft die Zukunft des Unternehmens dar. Vertraulichkeit ist hier in der Regel sehr hoch einzustufen: Neue Erfindungen, Produktentwicklungen oder wissenschaftliche Erkenntnisse sind vor Veröffentlichung strikte Geheimnisse. Ein Leak könnte bedeuten, dass ein Konkurrent die Idee stiehlt oder ein Patent vereitelt wird (weil Neuheit wegfällt). Auch Patentanmeldungen selbst sind bis zur Publikation 18 Monate nach Einreichung geheim zu halten – ihr vorzeitiges Bekanntwerden kann die Rechtsposition schwächen. Integrität dieser Unterlagen ist wichtig: Verfälschte Labordaten könnten zu falschen Schlussfolgerungen und falschen Produktentscheidungen führen; im Extremfall könnten manipulierte Spezifikationen ein fehlerhaftes Produkt in Serie gehen lassen (mit Produktfehlern und Haftungsfällen). Verfügbarkeit von Forschungsdaten ist zweischneidig: Einerseits ist es wichtig, dass Forscher jederzeit Zugriff auf ihre Ergebnisse haben, um effizient weiterzuarbeiten (also hoch, um Projektverzögerungen zu vermeiden). Andererseits sind F&E-Projekte meist planbar, und ein kurzer Ausfall kann ggf. überbrückt werden – aber der Verlust von Daten (Nicht-Verfügbarkeit dauerhaft) wäre fatal. Somit muss man bei Verfügbarkeit vor allem an Backups denken: Sie muss langfristig sichergestellt sein, damit nichts verloren geht. Insgesamt dürften geistiges Eigentum und F&E-Daten in Vertraulichkeit nahezu immer „sehr hoch“ eingestuft werden (da oft Schlüssel-Know-how mit Existenzbedeutung), Integrität typischerweise hoch (die Korrektheit der Ergebnisse ist wesentlich) und Verfügbarkeit hoch hinsichtlich Datenverlustprävention, aber in Echtzeit ggf. etwas weniger kritisch.

• Risiken und Szenarien: Industriespionage ist hier das Top-Szenario. Staaten oder Mitbewerber könnten gezielt F&E-Abteilungen ins Visier nehmen – sei es durch Cyberattacken (APT-Gruppen schleusen Spionagesoftware ein, um Forschungsdokumente monatelang auszuleiten) oder durch Einschleusen von Spionen (etwa ein getarnter Praktikant, der in der Entwicklungsabteilung geheime Infos absaugt). Insider sind ebenso gefährlich: Unzufriedene Forscher könnten Forschungsdaten kopieren, um sich bei einem Wettbewerber zu bewerben, oder bestechliche Mitarbeiter könnten Patentanmeldungen verraten. Physischer Diebstahl: Beispielsweise könnte ein Prototyp oder Muster physisch entwendet werden (gab es in manchen Branchen, dass z. B. ein Prototyp-Handy vor Launch gestohlen und geleakt wurde). Einbrüche in Labore oder Entwicklungsbüros sind also nicht auszuschließen. Technische Pannen: Auch hier kann ein Brand oder Wasserschaden ein Labor zerstören – mit ihm die Aufzeichnungen, Versuchsmaterial etc. Wenn nicht digital redundant erfasst, wäre der Forschungsfortschritt dahin. Sabotage ist ein weiteres Risiko: Ein Konkurrenzspion könnte absichtlich Daten vernichten oder Experimente manipulieren, um das Unternehmen scheitern zu lassen. Schadensfolgen: Ein erfolgreiches Ausspähen von F&E-Geheimnissen kann existenziell sein – wenn z. B. ein asiatischer Wettbewerber ein Produkt auf Basis gestohlener Technologie billiger auf den Markt bringt, verliert das Unternehmen die Amortisation jahrelanger Entwicklung. Rechtlich ist die Lage schwierig: Hat das Unternehmen nicht ausreichend geschützt, verliert es evtl. die Grundlage für rechtliche Schritte (siehe GeschGehG – keine Ansprüche ohne Schutzmaßnahmen). Wurde aber ausspioniert, können strafrechtliche Ermittlungen (Geheimnisverrat, § 17 UWG a.F. bzw. § 23 GeschGehG) eingeleitet werden – was aber den verlorenen Vorteil nicht wiederbringt. Patentrechtlich könnte ein Datendiebstahl z. B. bewirken, dass jemand anders die Idee patentiert oder dass bei Veröffentlichung vor Patentanmeldung die eigene Anmeldung scheitert (Neuheit weg). Dann wäre das Unternehmen rechtlich in der Defensive und möglicherweise vom Markt ausgeschlossen (Patentsperre). Reputation: Ein Leak von Innovationen kann das Vertrauen der Investoren beeinträchtigen („haben ihre Kronjuwelen nicht im Griff“) und demotivierend auf Mitarbeiter wirken. Umgekehrt, falls manipulierte Forschungsergebnisse zu einem mangelhaften Produkt führen (etwa Sicherheitsprobleme in einem technischen Gerät, weil Testdaten verfälscht waren), drohen Produktrückrufe, Haftung gegenüber Kunden und massiver Reputationsverlust (Produkt ist unsicher, Marke beschädigt).

• Rechtliche Anforderungen: Geistiges Eigentum genießt Schutz über Patente, Urheberrechte, aber die Sicherungsanforderung kommt primär aus dem bereits erwähnten Geschäftsgeheimnisschutz. F&E-Daten sind typischerweise Geschäftsgeheimnisse per se. Hier gelten also die GeschGehG-Vorgaben: Das Unternehmen muss eindeutige Geheimhaltungsstrategien fahren – z. B. projektspezifische Geheimhaltungsvermerke, strikte Zutrittsbeschränkung zu Laboren (nur Projektmitglieder), NDAs mit externen Partnern, IT-seitig getrennte Netzwerke für besonders vertrauliche Projekte, kein Anschluss ans Internet, Nutzung von starker Verschlüsselung für Datenablage und E-Mail-Verkehr in F&E etc. Oft werden Code Names für Projekte verwendet, um schon den Namen des Vorhabens geheim zu halten. Exportkontrollrecht kann eine Rolle spielen, falls es um Technologien geht, die der Kontrolle unterliegen (z. B. Dual-Use-Güter, Rüstungsentwicklungen) – dann muss das Unternehmen per Gesetz verhindern, dass Unbefugte (insbesondere Ausländer aus bestimmten Staaten) Zugang erhalten. Das IT-Sicherheitsgesetz 2.0 definiert sogar eine Kategorie von UBI (UBI 1 AWV) für Firmen, die an bestimmten sicherheitsrelevanten Produkten arbeiten (Waffen, IT-Sicherheitsprodukte für Verschlusssachen) – solche Unternehmen müssen erhöhte IT-Sicherheitsmaßnahmen ergreifen und dem BSI melden. Ein Großunternehmen mit viel F&E, das etwa im Rüstungsbereich oder kritischer Technologie tätig ist, fällt eventuell darunter und hat dann entsprechende Melde- und Sicherungspflichten (siehe oben UBI).

Patentschutz bringt mit sich, dass vor Einreichung einer Patentanmeldung die Erfindung geheim bleibt. Mitarbeiter sind ohnehin gesetzlich zur Verschwiegenheit über Diensterfindungen verpflichtet (ArbnErfG); aber auch hier muss der Betrieb praktikable Vorkehrungen treffen, z. B. Kennzeichnung aller Unterlagen zur noch nicht angemeldeten Erfindung als „vertraulich – Patent in Vorbereitung“, und minimaler Personenkreis. Nach der Einreichung wird die Veröffentlichung nach 18 Monaten vom Patentamt vorgenommen – bis dahin muss Vertraulichkeit gewahrt werden. Wenn ein Unternehmen Kooperationspartner oder Hochschulen in Forschung einbindet, schließen Konsortialverträge NDA-Klauseln mit ein, um den Wissensaustausch zu regeln.

Arbeitsschutz in Labors: Hier kommen noch Arbeitssicherheit-Aspekte (z. B. chemische Stoffe, Maschinen) hinzu, die aber den Informationsschutz nur insoweit berühren, als ungeplante Unfälle (Explosion, Laborbrand) ebenfalls auf die Informationssicherheit durchschlagen. Diese Risiken decken sich mit Brand/Ereignis wie oben behandelt.

• Schutzbedarf: Das Wohl und die Sicherheit von Menschen – konkret der Mitarbeiter im Unternehmen und Besuchern bzw. Dienstleistern vor Ort – hat stets oberste Priorität. In Sicherheitskonzepten wird häufig festgehalten: „Menschenleben gehen vor Sachwerten.“ Entsprechend ist jede Bedrohung für Leib und Leben mit sehr hohem Schutzbedarf zu bewerten. Dieses „Schutzgut“ lässt sich nicht in Vertraulichkeit/Integrität/Verfügbarkeit einteilen wie Informationen – hier geht es um körperliche Unversehrtheit (Schutz vor Verletzung, Gesundheitsschäden) und Leben (Schutz vor Todesfällen). In gewisser Weise kann man Integrität als die Unversehrtheit der Person interpretieren, Verfügbarkeit als ihre Einsatzfähigkeit (Vermeidung von Ausfall durch Verletzung) und Vertraulichkeit als Schutz ihrer persönlichen Rechte (z. B. Datenschutz, Persönlichkeitsschutz) – letzterer Aspekt wurde bereits bei personenbezogenen Daten behandelt. Hauptfokus hier: Arbeitnehmer sollen sicher und gesund arbeiten können, Besucher sollen keinem besonderen Risiko ausgesetzt sein. Daraus folgt: jede Gefährdung, die schwere Verletzungen oder Tod verursachen kann, ist inakzeptabel – Schutzbedarf sehr hoch.

• Risiken und Szenarien: Physische Gefahren für Personen in der Zentrale können vielfältig sein: Brände stellen ein Hauptrisiko dar – Rauchvergiftung oder Feuer können lebensgefährlich werden, wenn Evakuierung fehlschlägt. Gewaltakte durch Dritte (z. B. ein Bewaffneter dringt ein, Amoklauf) sind selten, aber in großen Einrichtungen nicht auszuschließen; hierfür braucht es Notfallpläne. Arbeitsunfälle (z. B. Ausrutschen, elektrischer Schlag, herabfallende Gegenstände) sind allgemeine Risiken, die es zu minimieren gilt. Technisches Versagen kann direkt Personen gefährden: Etwa Absturz eines Aufzugs, Explosion einer Heizung, Versagen einer Lüftung bei Gasaustritt, Ausfall der Notbeleuchtung im Dunkeln. Auch Sabotage oder Terror muss man im schlimmsten Fall denken (z. B. jemand deponiert eine Bombe im Gebäude). Innentäter könnten ebenfalls Kollegen schaden (wenn auch selten im Fokus von Security, eher Thema HR und Krisenintervention). Ein realistischeres häufiger auftretendes Szenario ist Evakuierung bei Feueralarm: Hier muss sich zeigen, ob alle Personen schnell ins Freie gelangen und ob die Personenzählung klappt, etc. Schadensfolgen sind hier unmittelbar personell: Verletzte oder tote Menschen. Daraus resultieren aber auch rechtliche Folgen – schwere Unfälle am Arbeitsplatz ziehen Ermittlungen der Aufsichtsbehörden (Gewerbeaufsicht, Staatsanwaltschaft) nach sich und ggf. Schadensersatzklagen der Opfer bzw. Hinterbliebenen. Das Unternehmen könnte wegen Organisationsverschuldens haftbar gemacht werden, Manager bei groben Verstößen auch strafrechtlich. Reputation: Unfälle oder Gewaltvorfälle schaden dem Ruf enorm („unsicheres Unternehmen“), insbesondere wenn bekannt wird, dass vorbeugende Maßnahmen fehlten. Wirtschaftlich: Abgesehen von Entschädigungszahlungen können Personenschäden auch Betriebsausfälle bedeuten (wenn viele verletzt sind oder psychische Folgen bei Mitarbeitern eintreten, können Abläufe stocken).

• Rechtliche Anforderungen: Der Schutz der Beschäftigten ist detailliert gesetzlich geregelt, vor allem im Arbeitsschutzgesetz (ArbSchG) und nachgeordneten Verordnungen. § 5 ArbSchG verlangt eine umfassende Gefährdungsbeurteilung aller Arbeitsplätze, einschließlich physischer und psychischer Gefährdungen. Daraus müssen Arbeitsschutzmaßnahmen abgeleitet werden. Das umfasst Brandschutzübungen, ergonomische Gestaltung, aber auch Schutz vor übergrifflicher Gewalt. Interessanterweise gehört die Prävention gegen betriebsfremde Gewalt (Raubüberfall, Amok) mittlerweile zum Arbeitsschutzkanon – Unternehmen sollen Konzepte haben, wie mit solchen Risiken umzugehen ist (z. B. Abschließen der Haupteingänge nach bestimmten Uhrzeiten, Alarmknöpfe, Deeskalationstrainings). Die Unfallverhütungsvorschriften der Berufsgenossenschaften (DGUV-Regeln) konkretisieren vieles praktisch, z. B. wie Erste-Hilfe zu organisieren ist (ausgebildete Ersthelfer im Betrieb, Sanitätskasten), wie Flucht- und Rettungspläne auszusehen haben, etc. Bei Verstößen drohen Bußgelder oder sogar Betriebsstilllegung bis zur Mängelbehebung. Baurechtlich stellt die Landesbauordnung sicher, dass Gebäude so errichtet sind, dass sie dem Schutz der Menschen dienen (Anzahl und Breite von Notausgängen entsprechend Personenzahl, Feuerwiderstand der Baustoffe, Brandabschnitte, etc.). Das muss bereits in der Bauphase abgenommen werden, aber auch im Betrieb muss Instandhaltung erfolgen (z. B. Türen freihalten, keine Blockade von Fluchtwegen – eine Pflicht, die bei Nichtbefolgung sanktioniert werden kann). BGB § 823 (allgemeine Haftung) in Verbindung mit der Pflicht zur Verkehrssicherung bedeutet: Der Gebäudebetreiber muss Gefahrenquellen im Gebäude minimieren (Glätte warnen, baufällige Teile reparieren, etc.), sonst haftet er für Schäden.

Praktisch bestehen umfangreiche Maßnahmenkataloge: Regelmäßige Feueralarm- und Räumungsübungen, Installation von Rauch- und Wärmeabzugseinrichtungen, Vorhalten von Feuerlöschern und automatischen Sprinklern, Einrichtung eines Evakuierungsleiters und Krisenteams, klare Alarmierungswege (wie wird intern und extern Hilfe gerufen – z. B. Durchsagen, Sirenen, Notruf 112). Für Gewalt gibt es oft Notfallknöpfe oder Codewörter, Kommunikation mit der Polizei. Außerdem spielt psychologische Betreuung nach Vorfällen eine Rolle (Trauma-Prophylaxe).

Während diese Maßnahmen nicht alle direkt dem Informationsschutz dienen, ist doch ein Zusammenhang erkennbar: Mitarbeitersicherheit fördert Informationssicherheit, denn nur in einer sicheren Umgebung können z. B. sensible Aufgaben ausgeführt werden. Und im Krisenfall (etwa Brand) hängt auch der Schutz der Daten von gut geschultem Personal ab, das weiß, was zu tun ist (z. B. Backup mitnehmen oder Server geordnet herunterfahren, sofern Zeit bleibt – sekundär gegenüber Personenschutz, aber dennoch relevant).

Um die identifizierten Schutzgüter angemessen zu sichern, bedarf es eines ganzheitlichen Sicherheitskonzepts. Dieses sollte technische, organisatorische und personelle Maßnahmen integrieren, stets im Einklang mit den rechtlichen Vorgaben. Nachfolgend werden maßgebliche Maßnahmen strukturiert nach Handlungsfeldern aufgeführt:

• Sicherheitsrichtlinien & Management: Etablierung eines formellen Sicherheitsmanagements (z. B. nach ISO 27001 oder BSI-Grundschutz), inkl. Ernennung eines Informationssicherheitsbeauftragten (CISO) und Datenschutzbeauftragten. Entwicklung klarer Security-Policies (für Zutritt, Passwörter, mobile Geräte, Remote Work etc.) und regelmäßige Überprüfung ihrer Einhaltung. Dokumentation aller Schutzmaßnahmen (wichtig für Nachweispflichten, z. B. GeschGehG und DSGVO Art. 5 Abs. 2 Rechenschaftspflicht).

• Mitarbeiterschulung und -Sensibilisierung: Regelmäßige Awareness-Schulungen für alle Mitarbeiter zu Datenschutz, Geheimnisschutz und IT-Security (Erkennen von Phishing-Mails, Umgang mit vertraulichen Unterlagen, Meldung von Sicherheitsvorfällen). Spezialschulungen für besonders exponierte Bereiche (z. B. F&E, Vorstandsebene) über Abwehr von Spionage und Social Engineering. Schulung von Empfangs- und Sicherheitspersonal im Umgang mit Besucherströmen, Ausweiskontrolle und Notfallsituationen (Deeskalationstraining bei Aggression etc.).

• Zugriffskontroll-Konzepte (Need-to-Know): Implementierung des Need-to-know-Prinzips: Mitarbeiter erhalten nur Zugriff auf Daten und Bereiche, die sie für ihre Arbeit benötigen. Regelmäßige Rezertifizierung von Berechtigungen (Überprüfung, ob Zugriffe noch notwendig sind). Feste Prozessabläufe für die Ausgabe von physischen Schlüsseln/Badges und Zuteilung/Entzug von IT-Berechtigungen (z. B. sofortiges Sperren von Accounts bei Ausscheiden eines Mitarbeiters).

• Notfall- und Krisenmanagement: Ausarbeitung eines Notfallplans bzw. Business-Continuity-Plans (BCP) für verschiedene Szenarien: IT-Ausfall (Disaster-Recovery-Plan mit definierten Wiederanlaufzeiten und Backup-Standorten), Brand im Gebäude (Evakuierungsplan, Alternativ-Arbeitsplätze), Cyberangriff (Incident Response Plan). Einrichtung eines Krisenstabs mit Kommunikationsplänen (Presse, Behörden) und regelmäßige Durchführung von Notfallübungen (z. B. jährliche IT-Notfallübung, vierteljährliche Räumungsdrills).

• Verträge und rechtliche Absicherung: Abschluss von Geheimhaltungsvereinbarungen (NDAs) mit externen Partnern, Dienstleistern und Besuchern, wenn sie Zugang zu vertraulichen Bereichen oder Infos erhalten. Aufnahme von Datenschutzklauseln in Verträge mit Auftragsverarbeitern (Art. 28 DSGVO). Überprüfung und ggf. Anpassung bestehender Arbeitsverträge hinsichtlich Geheimhaltungspflichten der Mitarbeiter (z. B. Konkretisierung, was als Geschäftsgeheimnis gilt, Verweis auf GeschGehG). Sicherstellen, dass Lieferanten von sicherheitskritischer Technik (Alarmanlage, IT-Systeme) vertragsgemäß Sicherheitsstandards einhalten (z. B. Zusicherung „Stand der Technik“).

• Dokumenten- und Datenklassifizierung: Einführung eines Systems zur Klassifizierung von Informationen (z. B. Stufen: intern, vertraulich, streng geheim), um Schutzmaßnahmen entsprechend der Klassifizierung zu skalieren. Sichtbare Kennzeichnung auf physischen Dokumenten (Wasserzeichen, Stempel „Vertraulich“) und Metadaten-Tags in IT-Systemen. Das erhöht die Sensibilität der Mitarbeiter und steuert technische Kontrollen (z. B. dürfen „streng geheime“ Infos nicht via unsicherer Kanäle versendet werden).

• Aufbewahrungs- und Löschkonzept: Ausarbeitung eines Dokumenten-Management-Konzepts, das gesetzliche Aufbewahrungsfristen einhält und Daten, die nicht mehr benötigt werden, routinemäßig löscht (Datenschutzfolge). Einrichtung definierter Archivbereiche mit beschränktem Zugriff. Regelmäßige Aktenvernichtung durch zertifizierte Dienstleister für nicht mehr benötigte Unterlagen (mindestens Sicherheitsstufe P4/P5 Schreddern für sensible Daten). Für digitale Daten Implementierung automatisierter Löschroutinen oder Reminder gemäß Fristen.

• Überwachung und Auditierung: Etablierung eines kontinuierlichen Monitorings von Sicherheitsmetriken (Vorfall-Reporting, Schwachstellen-Remediation-Status, Schulungsquote). Durchführung regelmäßiger Audits und Penetrationstests, intern oder durch externe Experten – dies erfüllt auch gleich die Anforderungen für KRITIS/UBI, falls zutreffend. Intern könnten z. B. jährliche Audits nach IT-Grundschutz gefahren werden, inklusive Social-Engineering-Tests (Phishing-Simulation). Ergebnisse sollten an die Geschäftsleitung berichtet werden („Management-Review“) – das demonstriert gelebte Sicherheitskultur.

• Netzwerksicherheit: Absicherung des Firmennetzwerks durch Firewall-Systeme an den Übergängen (z. B. Next-Generation Firewalls mit DPI), strikte Netzwerksegmentierung (kritische Server, Büro-Netz, Gäste-WLAN, Gebäudetechnik jeweils getrennt, nur notwendiger Traffic zwischen Segmenten). Einsatz eines Intrusion-Detection- und Prevention-Systems (IDS/IPS), um Angriffsversuche früh zu erkennen. Für ausgehenden Traffic ggf. Data Loss Prevention (DLP) Systeme, die verhindern, dass vertrauliche Daten unautorisiert herausfließen (z. B. Erkennen von Massen-Uploads oder bestimmter Dateimuster).

• System-Härtung und Patch-Management: Konsequente Härtung aller Server und Clients (Entfernen unnötiger Dienste, sichere Konfiguration, regelmäßige Security-Updates). Einführung eines zentralen Patch-Management-Prozesses: Sicherheitsupdates für Betriebssysteme, Anwendungssoftware und Firmware zeitnah einspielen, Priorisierung nach Kritikalität. Insbesondere Systeme mit Außenanbindung (Webserver, VPN-Gateway) und kritische interne Server sollten stets auf aktuellem Stand sein. Legacy-Systeme, für die es keine Patches mehr gibt, isolieren oder ersetzen.

• Authentifizierung und Zugriffssteuerung: Umsetzung starker Authentifizierungsverfahren: Mindestens 2-Faktor-Authentisierung (2FA) für alle administrativen Zugänge und Remote-Zugriffe (z. B. VPN, E-Mail von außen). Nutzung von Hardware-Token oder Mobile-Authentifikatoren für Mitarbeiter-Login auf wichtige Systeme. Zentralisiertes Identity & Access Management (IAM) zur Verwaltung von Nutzerkonten und Rechten; Prinzip minimaler Rechte umsetzen. Automatisierte Deaktivierung inaktiver Konten und sofortige Sperrung bei Austritt. Durchsetzung starker Passwortrichtlinien (Länge, Komplexität) kombiniert mit 2FA, um Phishing-Risiko abzufangen.

• Verschlüsselung und Datensicherheit: Breiter Einsatz von Kryptografie zum Schutz vertraulicher Daten: Verschlüsselung der Festplatten von Laptops und mobilen Datenträgern (damit bei Diebstahl kein Datenabfluss), Verschlüsselung sensibler Dateien/Datenbanken auf Servern (entsprechend Datenklassifizierung). Transportverschlüsselung für alle Kommunikation: E-Mail-Verschlüsselung (TLS erzwungen, ggf. Ende-zu-Ende für Top-Management mittels PGP/S/MIME), VPN-Tunnel für externe Zugriffe, verschlüsselte Verbindungen zwischen Rechenzentrum und Außenstellen. Außerdem Signaturverfahren nutzen, um Integrität wichtiger Dateien und E-Mails sicherzustellen (digitale Signaturen verhindern unbemerktes Manipulieren).

• Malware-Schutz: Mehrstufiges Antimalware-Konzept: aktuelle Virenschutzsoftware auf allen Endgeräten und Servern; zentrales Monitoring der Funde. Mail-Gateway mit Antivirus/Spam-Filter, um Schadsoftware via E-Mail abzufangen. Web-Proxy mit Filterfunktionen (Blockieren bekannter Malwaresites). Anwendung von Application Whitelisting auf besonders kritischen Systemen (nur definierte Programme dürfen laufen). Etablierung von Sandboxing-Mechanismen für eingehende Anhänge (verdächtige Inhalte erst in isolierter Umgebung ausführen und prüfen). Wichtig auch: strikte USB-Schnittstellen-Kontrolle (Abschalten oder nur erlaubte signierte USB-Sticks zulassen) um zufällige oder absichtliche Infektion über Wechseldatenträger zu verhindern.

• Backup- und Wiederherstellungssysteme: Implementierung eines robusten Backup-Konzepts: Regelmäßige Backups aller geschäftskritischen Systeme und Daten (mindestens täglich inkrementell, wöchentlich voll). Backups räumlich getrennt aufbewahren (z. B. in externer Cloud oder zweitem Standort) – Schutz vor lokalem Desaster. Backup-Medien verschlüsseln (Schutz bei Diebstahl) und Zugang streng beschränken. Durchführung von Wiederherstellungsübungen (mind. jährlich testen, ob Backups tatsächlich erfolgreich zurückgespielt werden können). Für besonders kritische Systeme ggf. redundante Echtzeit-Spiegelung (Failover-Cluster, synchrones Spiegeln in zweites Rechenzentrum) – so kann Verfügbarkeit gewahrt bleiben auch bei Totalausfall eines Standorts.

• Monitoring, Logging und Anomalieerkennung: Einrichtung umfangreicher Logging-Mechanismen auf allen sicherheitsrelevanten Systemen (Zugriffsprotokolle, Änderungen an Einstellungen, Eintritt von Alarmen etc.). Zentrale Sammlung der Logs in einem SIEM-System (Security Information and Event Management) zur Korrelation und Analyse. Einsatz von Anomalieerkennung mittels KI oder vordefinierten Regeln, um verdächtige Muster frühzeitig zu entdecken (z. B. Massenzugriff auf Dateien in der Nacht = mögliches Indiz für Datenabzug, unübliche Administrator-Login-Zeit = möglicher Kontoübergriff). Alarmierung des Security-Teams bei definierten Events in Echtzeit (z. B. IDS meldet Einbruchsversuch, SIEM meldet gleichzeitiges Login eines Users von zwei Ländern aus). Dies ist auch für KRITIS-Unternehmen Pflicht (ein angemessenes Monitoring gehört zu § 8a BSIG Anforderungen) und wird allgemein als Stand der Technik betrachtet.

• Physisch-IT-Schnittstellen sichern: Da Gebäudetechnik und IoT-Geräte oft ein Einfallstor sein können, strenge Netzwerktrennung für diese Systeme, evtl. eigene Firewalls/Filter vor der Gebäudeleittechnik. Zugriffsschutz für Serverräume und Netzwerkverteiler (siehe physische Maßnahmen). Port-Security auf Switches (nur bekannte MAC-Adressen), um illegales Anstöpseln zu verhindern. Konsequent alle Dienste mit Standardpasswörtern ändern (gerade bei IoT/Building-Systemen, oft ein Schwachpunkt).

• Redundanzen und Ausweichmöglichkeiten: Für IT-Services, die hochverfügbar sein müssen, Aufbau von Redundanzen: z. B. zwei Internetanschlüsse von unterschiedlichen Providern; Clusterbetrieb für wichtige Server; verteilte Datacenter (Produktiv und Ausfall-Rechenzentrum in anderem Brandabschnitt oder anderer Stadt). Für den Fall der Gebäudenot steht idealerweise ein Ausweichquartier bereit (je nach Unternehmensgröße ein zweites Büro oder Abmachungen für Coworking im Notfall), damit Mitarbeiter weiterarbeiten können, falls die Zentrale z. B. nach einem Brand tage- oder wochenlang nicht betretbar ist.

• Entwicklung sicherer Software & Prozesse: Falls das Unternehmen eigene Software entwickelt (z. B. für interne Tools), Etablierung eines Secure Development Lifecycle (Code Reviews, Sicherheitstests) um Schwachstellen präventiv zu vermeiden. Für Geschäftsprozesse (z. B. Zahlungsfreigaben) Implementierung von Prinzip der Vier-Augen bzw. abgestuften Freigaben – das verhindert Betrug durch eine Person und erschwert Social Engineering (ein Fake-Anruf vom „Chef“ reicht nicht, wenn immer zwei Personen signieren müssen).

• Zutrittskontrollsystem: Installation eines modernen Zutrittssystems mit Chipkarten oder biometrischen Merkmalen für Mitarbeiter. Personalisiertes Logging jeder Zutrittsberechtigung (wer betritt wann welchen Bereich) zur späteren Nachvollziehbarkeit im Ereignisfall. Unterschiedliche Zutrittszonen einrichten: z. B. öffentlich zugänglicher Empfang (mit Empfangspersonal), interne Bürozonen, Hochsicherheitszonen (Serverraum, Archiv, F&E-Labore) – Zutrittsrechte nach Rollenprofilen vergeben. Besucher erhalten nur temporäre Badges mit eingeschränktem Zugang, stets Begleitungspflicht in sensiblen Bereichen. Verwendung von Schleusen oder Drehkreuzen an Hauptzugängen, um nur eine Person pro Karte durchzulassen (verhindert Tailgating).

• Überwachung und Detektion: Einsatz eines Einbruchmeldesystems (EMA) mit Sensoren an allen relevanten Zugängen (Türen, Fenster) außerhalb der Arbeitszeiten. Bewegungsmelder in sensiblen Innenbereichen außerhalb Betriebszeit, gekoppelt an die Alarmzentrale. Videoüberwachung strategisch an kritischen Punkten: Eingangsbereiche, Flure zu Serverraum oder Archiven, Außenhaut des Gebäudes (Perimeter). Beachte: Kameraeinsatz nach Maßgabe des BDSG nur wo nötig und rechtmäßig, mit Beschilderung. Verwendung von Kameras mit Datenschutz-Funktionen (z. B. Maskierung von Bereichen, in denen keine Überwachung zulässig ist, automatische Löschung nach kurzer Zeit). Monitoringsystem für Gebäudetechnik – z. B. Temperatursensoren im Serverraum, Wassermelder am Boden, Rauchmelder flächendeckend – alles aufgeschaltet auf Leitstand, damit früh reagiert werden kann.

• Objektschutz und Wachdienst: Je nach Risikolage könnte ein physischer Wachdienst eingesetzt werden – z. B. Sicherheitsmitarbeiter am Empfang (Ausweiskontrolle, Besucherausweise ausgeben), regelmäßige Streifenrundgänge nachts, Reaktion auf Alarmmeldungen. In Hochrisikofällen (z. B. Terrorgefahr) ggf. bewaffneter Objektschutz oder polizeiliche Unterstützung. Wichtig ist eine klare Prozedur für Alarmfälle: Alarmverfolgung durch Wachdienst oder externe Sicherheitsfirma (Interventionsteam, das bei Alarm binnen Minuten vor Ort ist).

• Mechanische Sicherungen: Hochwertige Schließanlagen für Türen und Fenster (mindestens Widerstandsklasse RC3+ für Außentüren/Fenster im Erdgeschoss). Einbruchhemmende Türen zu Serverräumen und Archiven (möglichst RC4/RC5, ggf. mit biometrischer Zugangskontrolle). Tresore für besonders kritische Dokumente oder Datenträger (z. B. Backup-Festplatten, geheime Verträge) – Tresore mindestens VdS-Klasse I/II je nach Wert. Außengelände ggf. umzäunt oder durch bauliche Maßnahmen gesichert (keine verborgenen Einstiege).

• Brandschutz: Installierte Brandmeldeanlage (BMA), aufgeschaltet direkt zur Feuerwehr (so sind kurze Reaktionszeiten gewährleistet). Automatische Löschsysteme: Sprinkleranlage in allgemeinen Bereichen; in Serverräumen evtl. Gaslöschanlage (Inertgas), um Elektronikschäden durch Wasser zu vermeiden. Alle Mitarbeiter müssen Brandschutzunterweisungen erhalten (wie Feuerlöscher bedienen, Sammelplätze kennen). Bestellung von Brandschutzhelfern unter den Mitarbeitern (ca. 5 % der Belegschaft) wie gesetzlich gefordert, und Ausbildung derselben. Regelmäßige Wartung aller Feuerlöscher, Melder, Notbeleuchtungen und Alarmanlagen durch Fachfirmen mit Dokumentation (Nachweis für Behörden/Versicherer). Baulicher Brandschutz: Trennung in Brandabschnitte, feuerbeständige Archivräume, selbstschließende Brandschutztüren – dies sind bauliche Mindeststandards, die einzuhalten und funktionsfähig zu halten sind.

• Notfall-Infrastruktur: Ausweisung von Flucht- und Rettungswegen mit beleuchteten Hinweiszeichen (im Brandfall stromgespeist durch Notstromakkus) – siehe Bild. Durchführung von Evakuierungsübungen mindestens jährlich, mit anschließender Auswertung (wurden alle Personen in angemessener Zeit evakuiert? Gab es Probleme bei Türen oder Alarmierung?). Einrichtung von Sammelplätzen und einer Personenvollzähligkeitskontrolle (Evakuierungshelfer zählen ab). Für medizinische Notfälle: Vorhalten von Erste-Hilfe-Räumen oder -Material, Schulung von Ersthelfern, Alarmierungskette zum Rettungsdienst.

• Spezialschutz für kritische Bereiche: Serverraum: neben Zutritt nur für authorisiertes IT-Personal, Ausrüstung mit Klimaanlage-Redundanz, Bodensensoren (Wasser) und Brandfrüherkennung (Ansaugrauchmelder). F&E-Labor: ggf. abschirmende Fenster (Milchglas, um Ausspähen mit Kameras von außen zu verhindern), und Faraday-Cage-Elemente wenn Abhörschutz nötig. Archive: Feuerfeste Türen und Klimaüberwachung (um Schimmel vorzubeugen, was zwar Sicherheit indirekt betrifft – Erhalt der Dokumente).

• Resilienz gegen Stromausfall: Installation einer unterbrechungsfreien Stromversorgung (USV) für alle kritischen Systeme (Server, Netzwerk, Sicherheitstechnik, Notbeleuchtung). Zusätzlich ein Notstromaggregat, das zumindest die wichtigsten Stromkreise (IT, Sicherheit, vielleicht eine Grundbeleuchtung) für einige Stunden versorgen kann – insbesondere relevant, falls die Zentrale betriebswichtig ist und längerfristige Stromausfälle möglich sind. Regelmäßige Probeläufe des Generators unter Last, damit er im Ernstfall anspringt.

• Datensicherung physisch lagern: Für Backups und wichtige Daten: Aufbewahrung von Backup-Medien oder -Servern an einem entfernten Standort (z. B. Zweigstelle oder Rechenzentrumsdienstleister). So ist bei totaler Gebäudeschädigung (Großbrand) das Überleben der Daten gesichert. Möglichst Entfernung so, dass nicht das gleiche Ereignis beide Standorte trifft (kein Backup im Nebengebäude, das vom selben Brand erfasst werden kann).

• Privatsphäre und arbeitsrechtliche Balance: Trotz aller Sicherheitsmaßnahmen muss die Verhältnismäßigkeit und Rechtmäßigkeit stets gewahrt werden. Beispielsweise sollten Videoüberwachungskameras so positioniert sein, dass sie primär Sicherheitsbereiche abdecken und nicht in Pausenräume oder Büros hineinfilmen (Schutz der Mitarbeiterprivatsphäre). Ebenso darf ein Zugriffskontrollsystem zwar protokollieren, aber die Auswertung z. B. zu Disziplinarmaßnahmen darf nur erfolgen, wenn ein konkreter Sicherheitsvorfall vorliegt oder in einer Betriebsvereinbarung geregelt ist. Diese Balance sicherzustellen, ist Teil der Maßnahmenplanung (enge Abstimmung mit Datenschutzbeauftragtem und ggf. Betriebsrat).