Betriebliches Sicherheitskonzept – Muster-Template

In Deutschland sind bei der Erstellung eines betrieblichen Sicherheitskonzepts diverse rechtliche Vorgaben zu beachten.

• IT-Sicherheitsgesetz 2.0 und BSI-Gesetz (BSIG): Das IT-Sicherheitsgesetz 2.0 (in Kraft seit 2021) hat die Anforderungen für KRITIS-Unternehmen deutlich verschärft. Es verpflichtet alle als kritische Infrastruktur eingestuften Unternehmen, angemessene organisatorische und technische Sicherheitsvorkehrungen nach dem Stand der Technik umzusetzen. Der Stand der Technik wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konkretisiert; die Einhaltung kann z. B. durch Audits oder ISO-27001-Zertifizierungen nachgewiesen werden. Gemäß §8a BSIG müssen KRITIS-Betreiber die getroffenen Maßnahmen zudem alle zwei Jahre gegenüber dem BSI prüfen und bestätigen lassen. Wichtige Neuregelungen aus IT-SiG 2.0 sind u. a. die Pflicht zum Einsatz von Systemen zur Angriffserkennung (Intrusion Detection/SIEM) spätestens ab Mai 2023, erweiterte Meldepflichten für schwere IT-Störungen sowie die Registrierung einer 24/7-Kontaktstelle beim BSI. Verstöße können mit erheblichen Bußgeldern (bis 500.000 €) geahndet werden. Darüber hinaus wurde mit IT-SiG 2.0 ein neuer Betreiberkreis „Unternehmen im besonderen öffentlichen Interesse“ (UBI) definiert, der ebenfalls bestimmte IT-Sicherheitsauflagen erfüllen muss. Die genaue Abgrenzung von KRITIS erfolgt über die BSI-Kritisverordnung, die Branchen (z. B. Energie, Wasser, Gesundheit, Transport, Finanzen u.a.) und Schwellenwerte (z. B. versorgte Personen, Produktionskapazitäten) festlegt.

• Datenschutzrecht (DSGVO/BDSG): Sobald personenbezogene Daten im Spiel sind (z. B. bei Videoüberwachung, Zutrittskontrollsystemen, IT-Systemen mit Mitarbeiter- oder Kundendaten), greifen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Gemäß Art. 32 DSGVO ist ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Dies verlangt eine Risikoabwägung in Bezug auf Eintrittswahrscheinlichkeit und Schwere möglicher Datenschutzverstöße. Technische und organisatorische Maßnahmen (TOM) müssen sich an Faktoren wie Stand der Technik, Implementierungskosten, Art und Umfang der Datenverarbeitung orientieren. Praktisch bedeutet dies, dass insbesondere sensible Daten (z. B. Gesundheitsdaten, Kunden- oder Mitarbeiterdaten) einen hohen Schutzbedarf genießen und entsprechend strenge Schutzmaßnahmen erfordern. Für Videoüberwachung im öffentlichen Raum gilt §4 BDSG, der u. a. verlangt, dass sie nur zur Wahrung berechtigter Interessen erfolgt und keine überwiegenden Interessen der Betroffenen entgegenstehen. Es sind Transparenzpflichten zu erfüllen (Hinweisschilder) und Aufnahmen sind datensparsam zu verwenden und zu sichern. Verstöße gegen Datenschutz können zu Bußgeldern (bis 20 Mio. € oder 4% des Jahresumsatzes) und Reputationsschäden führen – daher ist Datenschutz fester Bestandteil des Sicherheitskonzepts.

• Betriebssicherheitsverordnung (BetrSichV) & Arbeitsschutzgesetz (ArbSchG): Diese Vorschriften zielen zwar primär auf Safety (Arbeitssicherheit), haben aber Überschneidungen mit Security. Die BetrSichV fordert für Arbeitsmittel und Anlagen eine Gefährdungsbeurteilung (§3 BetrSichV) – darunter fällt auch der Schutz gegen sicherheitsrelevante Fehlbedienungen oder Sabotage an Anlagen. Insbesondere bei gefährlichen Anlagen (Druckbehälter, Chemikalienanlagen etc.) sind technische Vorkehrungen zu treffen, damit weder Beschäftigte noch Dritte durch Unfälle oder mutwillige Handlungen zu Schaden kommen. Das Arbeitsschutzgesetz (§5 ArbSchG) verpflichtet Arbeitgeber, alle Gefährdungen für Beschäftigte zu beurteilen und Schutzmaßnahmen zu ergreifen. Dazu zählen ausdrücklich auch sicherheitsrelevante Risiken wie Überfälle auf Kassenbereiche, Bombendrohungen oder Gewalt gegen Personal. Ein umfassendes Sicherheitskonzept deckt daher sowohl Safety- als auch Security-Aspekte ab, um Mitarbeiter vor jeglicher Form von Schaden zu bewahren. Werden zumutbare Schutzmaßnahmen vernachlässigt, drohen zivilrechtliche Haftung (Verletzung der Verkehrssicherungspflicht) oder sogar strafrechtliche Konsequenzen für Verantwortliche. Die Unternehmensleitung ist gehalten, ein funktionierendes Sicherheitsmanagement aufzubauen (Organisationspflicht); grob fahrlässiges Ignorieren offensichtlicher Risiken kann im Haftungsfall gegen Führungskräfte ausgelegt werden.

• Sicherheitsüberprüfungsgesetz (SÜG): Für den öffentlichen Sektor regelt das SÜG die Überprüfung der Zuverlässigkeit von Personen in sicherheitsempfindlichen Stellen (Ü1/Ü2/Ü3 je nach Geheimhaltungsgrad). In der Privatwirtschaft ist dies nicht unmittelbar bindend, jedoch bahnen sich für KRITIS-Betreiber ähnliche Anforderungen an: Angesichts gestiegener Insider-Bedrohungen (z. B. Sabotageakte in Kraftwerken) ist geplant, erweiterte Zuverlässigkeitsüberprüfungen auch in kritischen Unternehmen zu ermöglichen. Schon jetzt empfiehlt es sich, für Mitarbeiter in sicherheitskritischen Bereichen (Leitstellen, IT-Administratoren, Wachdienstleiter etc.) eine hintergründige Prüfung der Vertrauenswürdigkeit vorzunehmen. Dies kann Prüfungen auf Vorstrafen, finanzielle Probleme, Referenzen und ggf. Sicherheitsbefragungen umfassen. Die private Anwendung des SÜG ist derzeit freiwillig, zeigt aber den Trend: Personelle Sicherheit wird als wichtige Säule gesehen, um Spionage und Sabotage von innen vorzubeugen.

• Weitere Normen, Richtlinien und Best Practices: Neben Gesetzen sollten bei der Konzeption auch anerkannte Standards und branchenspezifische Regeln beachtet werden. Dazu zählen z. B. ISO-Normen wie ISO/IEC 27001 (Informationssicherheits-Managementsystem) für IT-Security und ISO 22301 (Business Continuity) für Notfallplanung. Das BSI bietet mit den IT-Grundschutz-Katalogen und branchenspezifischen Sicherheitsstandards (B3S) Leitfäden, die insbesondere KRITIS-Betreiber als Stand der Technik heranziehen können. Im Bereich der physischen Sicherheit sind Normen wie DIN EN 1627 ff. (Widerstandsklassen für Türen/Fenster), VdS-Richtlinien für Einbruchmeldeanlagen oder die Vorgaben des BHE (Bundesverband Sicherheitstechnik) relevant. Für Videoüberwachung existieren u. a. die Orientierungshilfen der Datenschutzkonferenz der Länder. Zudem fordern Versicherungen oft Mindeststandards (z. B. VdS-Klassen bei Tresoren oder Alarmanlagen) als Voraussetzung für Versicherungsschutz. All diese Vorgaben fließen, soweit zutreffend, in die Maßnahmenplanung dieses Sicherheitskonzepts mit ein.

Das vorliegende Konzept ist so gestaltet, dass es bei konsequenter Umsetzung dazu beiträgt, die genannten Gesetze und Standards einzuhalten. Es ersetzt jedoch keine juristische Beratung im Einzelfall. Insbesondere KRITIS-Betreiber müssen eigenverantwortlich prüfen, ob alle spezialgesetzlichen Pflichten erfüllt sind (z. B. Meldung ans BSI, branchenspezifische Sicherheitsnachweise etc.). Eine vollständige Liste aller anwendbaren Vorschriften sollte zu Beginn eines projektspezifischen Sicherheitskonzepts erstellt werden.

Ein klar definiertes Sicherheitsmanagement und eindeutig zugewiesene Verantwortlichkeiten sind Grundvoraussetzungen für die Wirksamkeit dieses Sicherheitskonzepts.

Die Gesamtsicherheitsverantwortung liegt bei der Geschäftsführung bzw. der Unternehmensleitung, die für die Bereitstellung angemessener Ressourcen und die Durchsetzung der im Konzept festgelegten Maßnahmen sorgt. Operativ wird die Umsetzung typischerweise delegiert an einen Sicherheitsbeauftragten bzw. Security Manager (z. B. Leiter Werkschutz oder Leiter Unternehmenssicherheit). Dieser koordiniert alle Security-Maßnahmen bereichsübergreifend. Für Spezialbereiche bestehen ggf. zusätzliche Verantwortliche, etwa ein IT-Sicherheitsbeauftragter (CISO) für die Cyber-Security oder ein Datenschutzbeauftragter für Datenschutzbelange. Die Zusammenarbeit zwischen Facility Management, Werkschutz (Objektschutz) und IT-Abteilung ist hier besonders wichtig, da bauliche, organisatorische und digitale Sicherheit ineinandergreifen. Es empfiehlt sich die Einrichtung eines Sicherheitsausschusses oder -gremiums, in dem Vertreter aller relevanten Fachbereiche (Facility, Produktion, IT, Personal, Datenschutz, ggf. Arbeitsmedizin/Arbeitsschutz) regelmäßig zusammenkommen. Dieses Gremium überwacht die Umsetzung des Sicherheitskonzepts, bewertet neue Risiken und entscheidet über notwendige Anpassungen.

• Geschäftsführung/Management: Trägt die letztendliche Verantwortung für die betriebliche Sicherheit und genehmigt das Sicherheitskonzept. Stellt Ressourcen (Budget, Personal) bereit und legt die Sicherheitsziele fest. Zeichnet das Konzept ab und akzeptiert ausdrücklich verbliebene Restrisiken. Sorgt für eine Kultur der Sicherheit, in der Compliance und Sicherheitsbewusstsein gefördert werden.

• Sicherheitsbeauftragter / Security Manager: Ist federführend für die Erstellung, Fortschreibung und Umsetzung des Sicherheitskonzepts verantwortlich. Koordiniert alle Maßnahmen der physischen, personellen und organisatorischen Sicherheit. Fungiert als zentraler Ansprechpartner intern wie extern (z. B. gegenüber Behörden oder Dienstleistern). Führt regelmäßige Risikoanalysen und Sicherheitsaudits durch. Schult Mitarbeiter in Sicherheitsrichtlinien und berichtet der Leitung über den Sicherheitsstatus.

• IT-Sicherheitsverantwortlicher (CISO) / OT-Security-Manager: Zuständig für die digitale Sicherheit – entwickelt das IT/OT-Sicherheitskonzept und stellt den Schutz der Informationswerte sicher. Implementiert technische und organisatorische Maßnahmen gemäß Stand der Technik (Firewalls, Zugriffsmanagement, Monitoring). Stimmt sich mit dem Security Manager und dem Datenschutzbeauftragten ab, insbesondere bei Überschneidungen (z. B. Zutrittskontrollsysteme, die personenbezogene Daten verarbeiten). Koordiniert Notfallmaßnahmen bei Cyber-Vorfällen (Incident Response).

• Leiter Facility Management / Werkschutzleitung: Verantworlich für bauliche und physische Sicherheitsmaßnahmen. Betreut die technische Sicherheitsaustattung (Zutrittssystem, Alarmanlage, Videoüberwachung) im operativen Betrieb, inkl. Wartung und Prüfungen. Organisiert den Werkschutz- bzw. Wachdienst (Eigen- oder Fremdpersonal) und stellt die Einhaltung der Dienstanweisungen sicher. Überwacht Zutrittskontrollen, Kontrollrundgänge und das Meldewesen bei Sicherheitsvorfällen auf dem Gelände.

• Personalabteilung: Unterstützt die personelle Sicherheit durch zuverlässige Auswahl von Mitarbeitern (Zuverlässigkeitsüberprüfungen im Rahmen des Arbeitsrechts), Einbindung von Sicherheitsklauseln in Arbeitsverträge (Geheimhaltungsvereinbarungen, IT-Nutzungsrichtlinien) und Sensibilisierung neuer Mitarbeiter im Onboarding. Wirkt mit bei Schulungen zu Sicherheitsbewusstsein und verwaltet Zugangsberechtigungen in Abstimmung mit dem Sicherheitsbeauftragten (Wer erhält Werksausweise, Schlüssel, IT-Zugänge, etc.).

• Datenschutzbeauftragter: Berät bei allen Maßnahmen, die personenbezogene Daten betreffen (Videoüberwachung, Ausweisdaten, Besucherdokumentation, IT-Systeme mit Personaldaten), um DSGVO- und BDSG-Compliance sicherzustellen. Prüft Konzepte zur Videoüberwachung oder Zutrittsprotokollierung auf Vereinbarkeit mit Datenschutzgrundsätzen (Datenminimierung, Zweckbindung, Löschfristen).

• Führungskräfte und Bereichsleiter: In ihrem jeweiligen Verantwortungsbereich für die Umsetzung der Sicherheitsvorgaben verantwortlich. Stellen sicher, dass Mitarbeiter die Sicherheitsregeln kennen und einhalten. Melden besondere Schutzbedarfe oder Veränderungen (z. B. neue Anlagen, neue Bedrohungen) an den Sicherheitsbeauftragten.

• Mitarbeiter: Jeder Mitarbeiter trägt Mitverantwortung für die Sicherheit. Erwartet wird die Einhaltung der Sicherheitsbestimmungen (Zutrittsregelungen, Schließordnung, IT-Policies), die Sorgfalt im Umgang mit Unternehmenswerten sowie die aktive Mitwirkung (z. B. Meldung von Vorfällen oder verdächtigen Beobachtungen). Regelmäßige Unterweisungen stellen sicher, dass alle Beschäftigten ihre Rolle im Sicherheitskonzept verstehen.

Die obige Rollenverteilung sollte in einem Organigramm oder einer Matrix festgehalten werden, um Überschneidungen oder Lücken zu vermeiden. Im Anhang kann hierfür z. B. ein Organigramm der Sicherheitsorganisation eingefügt werden, sowie ggf. eine Kontaktliste (mit Rufbereitschaften) der relevanten Ansprechpartner für Sicherheitsfragen.

Die betriebliche Sicherheit erfordert oft Zusammenarbeit mit externen Stellen. Dazu zählen Behörden wie die Polizei (Präventionsberatungen, Objektschutzstreifen), Feuerwehr (Brandschutzdienststelle, Einsatzpläne) und ggf. Verfassungsschutz (bei Hochsicherheitsbereichen oder KRITIS-Belangen). Bei kritischen Infrastrukturen empfiehlt es sich, frühzeitig mit dem BSI und branchenspezifischen Aufsichtsbehörden in Kontakt zu treten, um Anforderungen abzustimmen. Darüber hinaus werden häufig externe Sicherheitsdienstleister eingebunden (für Bewachung, Alarmaufschaltung, Security-Beratung oder technische Sicherheitsausstattung). Verträge mit Sicherheitsfirmen sollten Service Level, Verschwiegenheitspflichten und Zuverlässigkeitskriterien (z. B. Unterrichtung nach §34a GewO, geprüftes Personal) festlegen. Externe Fachplaner oder Auditoren können hinzugezogen werden, um das Sicherheitskonzept zu überprüfen oder spezielle Analysen (z. B. Penetrationstests in der IT, Schwachstellenanalysen der Perimeterzäune) durchzuführen. Auch Versicherer können Vorgaben oder Empfehlungen einbringen, wenn besondere Risiken versichert werden sollen. All diese externen Schnittstellen und ihre Zuständigkeiten sollten im Sicherheitskonzept dokumentiert und in einer Schnittstellenübersicht nachvollziehbar gemacht werden.

Ein wirkungsvolles Sicherheitskonzept basiert auf einer fundierten Risikoanalyse. Zunächst müssen die Schutzgüter und Risiken im konkreten Unternehmenskontext systematisch erfasst und bewertet werden. Ziel der Risikoanalyse ist es, den erforderlichen Grad an Schutz (Schutzbedarf) für verschiedene Assets, Bereiche und Prozesse zu bestimmen. Darauf aufbauend werden angemessene Sicherheitsmaßnahmen ausgewählt, die weder über- noch unterdimensioniert sind – man will vermeiden „mit Kanonen auf Spatzen zu schießen“ und zugleich verhindern, kritische Risiken zu übersehen..

• Schritt 1: Schutzgüter bestimmen: Zunächst wird definiert, was geschützt werden muss. Typische Schutzgut-Kategorien in einem Industriebetrieb sind z. B. Menschen (Mitarbeiter, Besucher), Sachwerte (Gebäude, Anlagen, Maschinen, Lagerbestände), Werte und Produkte (Waren, Rohstoffe, Zwischenprodukte), Informationen (Geschäftsgeheimnisse, Produktionsdaten, personenbezogene Daten) und Betriebsprozesse (Produktionsabläufe, Dienstleistungen). Auch die Umwelt kann ein Schutzgut sein (Vermeidung von Umweltschäden durch Sabotage oder Unfälle). Für jedes Schutzgut wird der Geltungsbereich festgelegt – z. B. welche Gebäude oder Bereiche betrachtet werden und welche organisatorischen Einheiten einbezogen sind.

• Schritt 2: Bedrohungen und Szenarien identifizieren: Als nächstes erfolgt eine Bedrohungsanalyse, in der mögliche Gefährdungen für die identifizierten Schutzgüter gesammelt werden. Dazu zählt ein breites Spektrum an Szenarien: Kriminalität (Diebstahl, Einbruch, Vandalismus, Betrug, Produktpiraterie), Gewaltdelikte (Raubüberfall, Sabotage, Insiderkriminalität, Spionage, Erpressung, Entführung, Anschläge), IT-/Cyber-Bedrohungen (Hackerangriff, Malware, Ransomware, Datenleak), höhere Gewalt und Unglücke (Brandstiftung, Explosion, Störfall, Naturgefahren) und sonstige Störungen (z. B. Versagen kritischer Versorgungseinrichtungen, längerer Stromausfall, Protestaktionen). Hier fließen Informationen aus verschiedenen Quellen ein: bekannte branchenspezifische Risiken, polizeiliche Kriminalstatistiken, vergangene Vorfälle am Standort oder vergleichbaren Standorten, aktuelle Warnungen von Behörden (BSI-Lageberichte, Terrorgefahrenindex, Wetterwarnungen etc.). Das Ergebnis dieses Schritts ist eine Liste plausibler Gefährdungsszenarien, die das Unternehmen treffen könnten.

• Schritt 3: Bewertung der Eintrittswahrscheinlichkeit und Schadensauswirkungen: Für jedes Szenario wird nun abgeschätzt, wie wahrscheinlich ein Eintritt ist (z. B. auf einer Skala von sehr unwahrscheinlich über möglich bis sehr wahrscheinlich) und welches Schadenausmaß droht, sollte das Szenario eintreten. Bei der Schadensermittlung müssen verschiedene Dimensionen betrachtet werden: Personenschaden (Könnten Menschen verletzt oder getötet werden?), Sachschaden (Welche materiellen Verluste entstehen? Produktionsausfall, Reparaturkosten?), finanzieller Schaden (Umsatzeinbußen, Vertragsstrafen, Marktanteilsverlust), rechtlicher Schaden (Verstöße gegen Gesetze, behördliche Sanktionen, Haftungsfälle) und Imageschaden (Rufverlust, Vertrauensverlust bei Kunden oder Öffentlichkeit). Oft werden vereinfachende Schadenskategorien genutzt, z. B.: gering (vernachlässigbare Auswirkungen), moderat/normal (spürbare, handhabbare Schäden), hoch (erhebliche Schäden, aber nicht existenzbedrohend) und sehr hoch/kritisch (katastrophale, existenzbedrohende Folgen). Diese Kategorien orientieren sich an BSI-Standards und erleichtern die Einordnung des Schutzbedarfs. Durch Multiplikation oder Matrixbildung von Wahrscheinlichkeit und Schadenshöhe kann man eine Risikoklasse ermitteln (z. B. niedrig, mittel, hoch, extrem), die eine Priorisierung erlaubt.

• Schritt 4: Schutzbedarfsfeststellung: Basierend auf der Risikoanalyse wird für jedes Schutzgut oder jeden Bereich der Schutzbedarf festgelegt. Hierbei werden die Ergebnisse der Schadensbewertung herangezogen: Ein Bereich, bei dem ein Vorfall zu katastrophalen Folgen führen würde, hat einen sehr hohen Schutzbedarf, bei lediglich geringfügigen Folgen entsprechend niedrigen. In der Praxis haben sich drei Haupt-Schutzbedarfskategorien etabliert: normal, hoch, sehr hoch (manchmal ergänzt um gering für Bagatellen). Beispiele: Ein öffentlich zugänglicher Empfangsbereich mag nur normalen Schutzbedarf haben (einfache Zugangskontrolle genügt), während ein Serverraum mit kritischen Produktionsdaten sehr hohen Schutzbedarf hat (erfordert strengste Zutrittsrestriktionen, Überwachung und Ausfallsicherheiten). Der Schutzbedarf bestimmt das Schutzniveau: Je höher der Schutzbedarf, desto umfassender und stärkere Maßnahmen sind zu ergreifen. Wichtig ist die Verhältnismäßigkeit: Die Maßnahmen dürfen nicht außer Verhältnis zum möglichen Schaden stehen – dies bedeutet, dass Ressourcen vor allem dort konzentriert werden, wo die größten Risiken drohen.

• Schritt 5: Risikobehandlung – Maßnahmenableitung: Für Risiken, die das akzeptable Niveau überschreiten, werden Sicherheitsmaßnahmen konzipiert. Dabei folgt man der Priorisierung: zunächst die höchsten Risiken mitigieren. Es gibt in der Regel mehrere Handlungsoptionen pro Risiko: Vermeidung (z. B. gefährlichen Prozess ändern), Verminderung (Schutzmaßnahmen einführen, Redundanzen schaffen), Überwälzung (Versicherungen, Auslagerung) oder Akzeptanz von Restrisiko mit Notfallplanung. Alle vorgesehenen Maßnahmen werden auf ihre Eignung und Wirtschaftlichkeit geprüft. Restrisiken, die trotz aller Maßnahmen verbleiben, müssen dokumentiert und bewusst akzeptiert werden – hierzu dient die formale Freigabe des Konzepts durch die Verantwortlichen.

Teil der Risikoanalyse ist eine Betrachtung der Standortfaktoren. Jeder Standort hat spezifische Umgebungsbedingungen, die die Sicherheitsrisiken beeinflussen.

Auf Basis der obigen Methodik wird in diesem Abschnitt eine Zusammenfassung der wichtigsten Risiken für das betrachtete Industrieobjekt gegeben. (In einem realen Konzept folgt hier eine tabellarische oder stichpunktartige Darstellung der Risikoergebnisse.)

• Diebstahl und Einbruch: Aufgrund wertvoller Lagerbestände (Elektronikteile, Fertigprodukte) und vorhandener Bargeldbestände (Kantine, Kasse) besteht ein erhöhtes Diebstahlrisiko. Insbesondere während der Nachtzeiten und an Wochenenden ist mit Einbruchsversuchen zu rechnen, zumal das Gelände teils abgelegen ist und bislang keine lückenlose Umzäunung besteht. ➔ Schutzbedarf: hoch (kritische Vermögenswerte könnten abhanden kommen, erhebliche finanzielle Verluste möglich).

• Vandalismus: Es wurden bereits Graffiti und geringfügige Sachbeschädigungen am Zaun festgestellt. Lokale Jugendgruppen nutzen einen angrenzenden Parkplatz als Treffpunkt. Das generelle Vandalismus-Risiko wird als mäßig angesehen. ➔ Schutzbedarf: normal (Belästigungen und kleine Schäden, jedoch keine existenziellen Bedrohungen).

• Unbefugtes Eindringen/Sabotage: Als möglicher KRITIS-Betreiber (z. B. im Energiesektor) besteht Sabotagepotenzial durch politisch motivierte Täter oder Konkurrenten. Kritische Anlagen (z. B. Schaltwarte, Produktionsleitstand) könnten Ziel gezielter Störungen sein. ➔ Schutzbedarf: sehr hoch für die kritischen Anlagen (Ausfall hätte katastrophale Folgen für Versorgung und Unternehmen), normal für übrige Bereiche.

• Insider-Risiken: Das Unternehmen beschäftigt viele externe Dienstleister (Reinigung, Wartung). Ohne klare Zutrittsregelung und Zuverlässigkeitsprüfung besteht das Risiko, dass Unbefugte Kenntnisse über Sicherheitslücken erlangen oder selbst Straftaten begehen. ➔ Schutzbedarf: hoch in sensiblen Bereichen (Schlüsselpositionen, IT), entsprechend strikte Auswahl und Kontrolle des Personals nötig.

• IT/Cyber-Bedrohungen: Eine gezielte Malware-Attacke auf die Produktions-IT (Stichwort: Ransomware auf Maschinensteuerungen) könnte die Fertigung lahmlegen. Ebenso ist Datendiebstahl (z. B. Konstruktionspläne, Forschungsdaten) durch Hacker oder Insider ein plausibles Szenario. ➔ Schutzbedarf: sehr hoch für Produktions-OT und zentrale IT-Systeme (langfristiger Produktionsausfall wäre existenzbedrohend), hoch für Office-IT (Reputations- und Rechtsrisiken bei Datenverlust).

• Brandstiftung/Explosion: In Lagerhalle werden brennbare Materialien gelagert; ein Brand (ggf. durch Brandstiftung) könnte großflächigen Schaden anrichten. ➔ Schutzbedarf: hoch (Personen in angrenzenden Büros gefährdet, Produktionsstillstand möglich). Hier überschneidet sich das Konzept mit dem Brandschutzkonzept – enge Abstimmung erforderlich.

• Gewalttaten gegen Personen: Das Risiko eines Amoklaufs oder eines Übergriffs auf Mitarbeiter durch betriebsfremde Personen wird als gering eingeschätzt (Zugang zum Bürobereich nur über Pforte; keine Hinweise auf besondere Bedrohung gegen Firma). Dennoch sind Notfallpläne für solche Lagen vorzusehen. ➔ Schutzbedarf: normal, aber Notfallmanagement greift.

(Die oben genannten Beispiele dienen der Veranschaulichung und sind in einem realen Konzept durch tatsächliche Analyseergebnisse zu ersetzen. Eine umfangreiche Tabelle kann an dieser Stelle eingefügt werden, die pro identifiziertem Risiko das Szenario, die Bewertung (Wahrscheinlichkeit, Schadenshöhe, Risikoniveau) und die vorgesehenen Gegenmaßnahmen skizziert. Siehe Muster-Tabelle 1.)

(Hinweis: Die oben aufgeführten Maßnahmen sind teilweise verkürzt dargestellt)

Aus der Schutzbedarfsfeststellung wird abgeleitet, welche Sicherheitsstufen bzw. Zonen im Betrieb eingerichtet werden. Bereiche mit hohem/ sehr hohem Schutzbedarf werden als kritische Zonen definiert, für die strengere Zugriffsbeschränkungen gelten. Bereiche mit normalem Schutzbedarf erhalten Basis-Schutzmaßnahmen. Dieses abgestufte Konzept stellt sicher, dass der Ressourceneinsatz fokussiert erfolgt. Das Ergebnis der Risikoanalyse sollte von der Geschäftsführung geprüft und genehmigt werden, da sie implizit bestimmt, welche Restrisiken akzeptiert werden. Restrisiko-Akzeptanz: Eine Übersicht der verbleibenden Risiken (nach geplanter Umsetzung aller Maßnahmen) wird dokumentiert und vom Management mit Unterschrift akzeptiert. So ist festgehalten, dass die Unternehmensleitung sich ihrer Verantwortung bewusst ist und das Restrisiko bewusst trägt – dies ist im Ernstfall wichtig, um nachweisen zu können, dass Sorgfaltspflichten erfüllt wurden.

Risiken, die trotz Präventionsmaßnahmen verbleiben oder nicht gänzlich verhindert werden können (z. B. Naturkatastrophen, gezielte schwere Angriffe), werden im Rahmen des Notfall- und Krisenmanagements betrachtet. Zwar gehört dies nicht zum unmittelbaren Präventions-Konzept, jedoch sollte im Sicherheitskonzept vermerkt sein, welche Szenarien außerhalb des kontrollierbaren Rahmens liegen und durch Notfallpläne abgedeckt werden (z. B. Evakuierungsplan bei Bombendrohung, Krisenkommunikation bei Entführung/Erpressung). Verweise auf bestehende Notfall- und Business-Continuity-Pläne (BCP) des Unternehmens sind hier sinnvoll.

Hier werden alle baulichen, mechanischen und technischen Maßnahmen beschrieben, die der äußeren und inneren Sicherheit des Industriekomplexes dienen. Darunter fallen der Schutz der Grundstücksgrenzen (Perimeterschutz), die Sicherung der Gebäudehülle, die Einrichtung von Sicherheitszonen im Inneren sowie alle technischen Systeme wie Zutrittskontrollanlagen, Einbruchmeldetechnik und Videoüberwachung. Die folgenden Maßnahmen sind auf Grundlage der vorhergehenden Risikoanalyse dimensioniert und orientieren sich an bewährten technischen Standards.

Der Perimeterschutz bildet die erste Verteidigungslinie gegen unbefugtes Eindringen von außen.

• Umzäunung: Das Betriebsgelände wird – wo immer möglich – vollständig umzäunt oder durch bauliche Barrieren eingefriedet. Zum Einsatz kommt ein stabiler Industriezaun (empfohlen: Höhe z. B. 2,4 m, Material Stahlmattenzaun mit Übersteigschutz oder Stacheldrahtaufsatz). Der Zaunverlauf deckt alle Grundstücksgrenzen ab, ausgenommen offizielle Zufahrten. Besonders kritisch zu schützende Areale (z. B. Gefahrstofflager) erhalten ggf. eine doppelte Einzäunung oder zusätzliche Schutzvorrichtungen. Der Zugang durch den Zaun (Tore) wird minimiert auf definierte Ein- und Ausfahrten.

• Zufahrtskontrolle: Fahrzeug-Zufahrten sind als Schleusenpunkte gestaltet. Hauptzufahrten zum Gelände (für Mitarbeiter und Besucher) werden mit automatisierten Schranken oder Toranlagen versehen, die nur nach Berechtigungsprüfung (Zutrittskarte, Kennzeichenerkennung) öffnen. Für LKW-Lieferverkehr wird eine separate Zufahrt mit Tor und ggf. vorgelagertem Wartebereich eingerichtet, in dem LKW vor dem Einlass geprüft werden können (z. B. Sichtkontrolle durch Werkschutz, Dokumentenkontrolle). Ein Sozialraum für Fahrer in Wartezonen kann das Verweilen an der Pforte regeln. Ausfahrten vom Gelände sind vorzugsweise ebenfalls kontrolliert (z. B. elektronische Schranke mit automatischer Öffnung von innen oder Freigabe durch Pförtner), um Diebstahl (Herausschmuggeln von Waren) zu erschweren. Eine Rund-um-die-Uhr-Besetzung der Pforte oder technische Überwachung (siehe Video) stellt sicher, dass auch nachts/feiertags keine unkontrollierte Zufahrt erfolgt.

• Geländeüberwachung und -beleuchtung: Das Außengelände wird flächendeckend beleuchtet, um potentiellen Eindringlingen wenig Deckung bei Dunkelheit zu bieten und um die Videoüberwachung zu unterstützen. Kritische Bereiche (Zaunabschnitte, Eingänge, Ladezonen) erhalten helle LED-Beleuchtung mit Dämmerungs- oder Bewegungssteuerung. Ergänzend kommen Bewegungsmelder oder Sensorik am Zaun zum Einsatz (z. B. Erschütterungssensoren oder Infrarot-Lichtschranken), um unbefugtes Übersteigen oder Durchtrennen des Zauns frühzeitig zu detektieren. Entsprechende Alarme werden an die Sicherheitszentrale übermittelt (siehe 5.5 Einbruchmeldeanlage). Des Weiteren werden an strategischen Punkten außerhalb und entlang des Zauns Videokameras installiert (siehe Abschnitt 5.4), um die Außenhaut visuell zu überwachen. Auch Warnschilder ("Videoüberwacht - Zutritt verboten - Privatgelände") am Zaun dienen der Abschreckung und erfüllen rechtliche Hinweispflichten.

• Sicherheitszonen im Außengelände: Falls das Betriebsgelände sehr groß ist, kann es sinnvoll sein, äußere Bereiche nochmals zu zonieren. Zum Beispiel kann ein öffentlicher Vorbereich (vor dem eigentlichen Zaun, z. B. Besucherparkplätze) definiert werden, ein kontrollierter Bereich innerhalb des Zauns, und ggf. besondere Schutzbereiche innerhalb (z. B. ein abgesicherter Hof für Gefahrgutlager mit eigenem Zaun). Im vorliegenden Template gehen wir von einem einheitlich umzäunten Gelände aus, innerhalb dessen dann die Gebäude sichern.

• Außenhaut der Gebäude: Alle Gebäudefassaden, Fenster und Türen, die vom unbefugten Außenbereich aus zugänglich sind, bilden die äußere Schale. Hier kommen einbruchhemmende Konstruktionen zum Einsatz: Haupteingangstüren und wichtige Zugangspunkte sollten mindestens Widerstandsklasse RC3 (nach DIN EN 1627) oder höher aufweisen. Fenster im Erdgeschoss und leicht erreichbare Fenster (z. B. an Fluchttreppen) erhalten einbruchsicheres Glas (P4A/P5A Verglasung) oder Schutzfolien sowie abschließbare Griffe. Notausgangstüren werden von außen vollflächig geschlossen (keine Außengriffe) und alarmgesichert, um als Einbruchweg ungeeignet zu sein. Lade- und Rolltore in Hallen sind massiv und verfügen über verschließbare Verriegelungen; im geschlossenen Zustand werden sie ins Einbruchmeldesystem einbezogen (Magnetkontakte). Besondere Schwachstellen wie Lüftungsgitter, Lichtkuppeln oder Dachzugänge (z. B. Revisionsluken) werden vergittert oder mit Sensoren überwacht. Die Dächer großer Hallen sind ebenfalls Teil der Außenhaut – Zugänge zum Dach (Steigleitern, Wartungstüren) sind abschließbar und alarmgesichert, zudem sollten unbefugte Kletterhilfen (z. B. Container nahe an der Wand) vermieden werden.

• Empfangsbereich und Hauptzugang: Häufig ist ein zentrales Empfangsfoyer der Kontrollpunkt für Besucher und ggf. Mitarbeiter. Dieser Bereich wird baulich so gestaltet, dass ein unbefugtes Durchdringen ins Gebäudeinnere erschwert wird. Beispielsweise durch ein Schleusensystem: Der Haupteingang führt in einen Vorraum/Empfang mit Zugangskontrolle, von dem aus erst nach Legitimation (und ggf. Anmeldung beim Empfangspersonal) die Tür zum inneren Gebäudebereich geöffnet wird. Die Zugangstür vom Empfang zu den Büros/Produktionshallen ist stets geschlossen und mit Zutrittskontrollleser versehen. Der Empfangstresen selbst kann durch Panzerglas oder eine mobile Absperrungsmöglichkeit geschützt sein, um das Personal bei etwaigen Aggressionen zu schützen. In öffentlich zugänglichen Teilen (wie Lobby) sollte es keinen direkten Zugang zu sensiblen Bereichen geben (z. B. Aufzüge in Sicherheitszonen nur mit Karte nutzbar).

• Innere Aufteilung und Sicherheitsbereiche: Innerhalb der Gebäude werden Sicherheitszonen definiert (siehe 5.3), die baulich durch Wände, Türen und Schleusen voneinander getrennt sind. Bereiche mit erhöhtem Schutzbedarf (z. B. Labore, Serverräume, Entwicklungsabteilungen) liegen in abgeschlossenen Trakten, die nur über speziell gesicherte Türen zu betreten sind. Besucher- oder Kundenbereiche sind physisch von internen Bereichen getrennt (z. B. Zugang zu Besprechungsräumen nur in Begleitung, Toiletten für Besucher getrennt von Mitarbeitern, etc.). Brandschutztüren und -abschnitte können doppelt genutzt werden, um auch als Sicherheitsschleusen zu dienen (elektrisch verriegelte Brandschutztüren können außerhalb von Alarmfällen als Zutrittsbarriere dienen, sofern zulässig). Wichtig ist, dass Fluchtwege trotz Zutrittskontrolle im Notfall funktionstüchtig bleiben – z. B. durch Panikbeschläge an Türen, die mit Alarmierung geöffnet werden können.

• Mechanische Schutzeinrichtungen: Zur physischen Sicherheit gehören auch mechanische Vorrichtungen wie Poller, Sperrpfosten und Durchfahrtssperren, die genutzt werden, um Gebäude vor Fahrzeug-Anschlägen oder -Anprall zu schützen (insbesondere wichtig bei repräsentativen Glasfassaden in Eingangsbereichen). Wertgegenstände (z. B. Prototypen, vertrauliche Unterlagen) können in zertifizierten Tresoren oder Wertschutzschränken (mit definierter Widerstandsklasse, z. B. EN 1143-1 Grad III) aufbewahrt werden, wenn sie nicht ständig bewacht sind.

• Schutz technischer Infrastruktur: Die räumliche Sicherheit erstreckt sich auch auf kritische technische Anlagen. Beispielsweise müssen Transformatorstationen, Hauptverteilungen oder Serverräume in abschließbaren Technikräumen untergebracht sein, die nur Befugte betreten können. Gleiches gilt für Überwachungseinrichtungen selbst – z. B. der Raum der Sicherheitszentrale mit den Monitoren der Videoüberwachung muss geschützt sein, damit ein Täter nicht einfach dort Geräte sabotieren kann. Physische Trennung von redundanten Systemen (z. B. zwei Netzersatzanlagen an unterschiedlichen Orten) ist ebenfalls Teil der baulichen Sicherheitsstrategie.

Basierend auf dem festgestellten Schutzbedarf werden im Konzept verschiedene Zonen mit abgestuften Zutrittsrechten eingerichtet.

• Zone 0 – Öffentlich zugänglicher Bereich: Bereiche, die entweder außerhalb des Werksgeländes liegen oder für jedermann zugänglich sind, z. B. Besucherparkplätze vor der Hauptpforte oder ein Empfangsbereich vor der eigentlichen Zugangsschleuse. Hier finden i.d.R. nur passive Maßnahmen statt (Beleuchtung, Videoüberwachung, sichtbare Präsenz von Sicherheitspersonal). Beispiel: Besucherparkplatz und Vorplatz, frei zugänglich zu Geschäftszeiten, Videoüberwacht.

• Zone 1 – Interner Bereich (Standard): Allgemeine Betriebsbereiche, in die nur Mitarbeitende und angemeldete Besucher gelangen dürfen. Dies umfasst z. B. Büros, Sozialräume, die Produktionshalle allgemein. Zutritt wird durch Zutrittskontrollsysteme geregelt: Elektronische Kartenleser oder PIN-Tastaturen an den Zugangstüren. Mitarbeitende erhalten Berechtigungen gemäß ihrer Rolle; Besucher nur mit temporären Ausweisen und Begleitung. In Zone 1 gelten die grundlegenden Sicherheitsregeln (Ausweispflicht, Begleitpflicht für Externe, keine Fotoaufnahmen etc.). Beispiel: Bürotrakt und Hauptproduktionsflächen – Zutritt mit Mitarbeiterausweis (RFID-Karte) zu den üblichen Arbeitszeiten.

• Zone 2 – Kritischer Bereich (Erhöht geschützt): Bereiche mit höherem Schutzbedarf, z. B. Laboratorien, IT-Serverräume, Entwicklungsabteilungen, Lager mit hochwertigen Materialien. Zugang streng limitiert auf einen kleinen Personenkreis (Need-to-know-Prinzip). Technisch umgesetzt durch verstärkte Zutrittskontrolle (z. B. Kombination aus Karte und PIN = Zwei-Faktor-Authentifizierung). Türen haben evtl. höhere Widerstandsklassen, es gibt zusätzliche Melder (z. B. Türalarm bei gewaltsamem Öffnen). Besuche in Zone 2 sind nur in Ausnahmefällen und unter ständiger Aufsicht möglich. Beispiel: Rechenzentrum – Zutritt nur für IT-Administratoren mit Spezialausweis + PIN, Tür in RC4-Ausführung, 24/7-Alarmierung bei unbefugtem Öffnen.

• Zone 3 – Hochsicherheitsbereich: Nur falls erforderlich definiert – Bereiche mit sehr hohem Schutzbedarf, wo selbst ein kurzzeitiger unbefugter Zugang gravierende Folgen hätte. Beispiele: Hauptleitwarte eines KRITIS-Betriebs, Tresorräume, Forschung mit streng vertraulichen Prototypen. Zugang nur für einzeln namentlich benannte Personen; oftmals wird 4-Augen-Prinzip erzwungen (zwei Berechtigte müssen gemeinsam Zutritt nehmen). Technisch könnten biometrische Zugangssysteme eingesetzt werden (Fingerabdruck, Iris-Scan) neben Karte+PIN. Permanente Videoüberwachung und eventuelle Personenschleusen mit Metalldetektion sind in solchen Bereichen üblich. Beispiel: Leitstand Energieversorgung – Zutritt nur für Schichtleiter und Vertreter, via Doppel-Schleuse mit Biometrie, Bereich videoüberwacht, Wachpersonal in unmittelbarer Nähe.

Die konkrete Aufteilung der Sicherheitszonen sollte in einer Übersichtsplan-Grafik dargestellt werden (z. B. farbliche Markierung von Bereichen in einem Gebäudeplan entsprechend der Zonen Grün/Gelb/Orange/Rot). Im Anhang kann zudem eine tabellarische Übersicht der Zonen, ihrer Schutzprofile und Zugriffsregelungen eingefügt werden.

(Die obige Tabelle dient als Vorlage. In der Praxis sind die Zonen und Maßnahmen standortspezifisch festzulegen.)

Um diese Zonen praktisch umzusetzen, wird ein Zutrittskontrollsystem (ZKS) installiert. Alle Außentüren und relevanten Innentüren werden mit elektronischen Schlössern und Lesegeräten ausgestattet. Das System verwaltet die Zugangsberechtigungen zentral: Jeder Mitarbeiter hat ein persönliches Identifikationsmedium (Ausweiskarte, Transponder oder evtl. biometrisches Merkmal), das für bestimmte Zonen freigeschaltet ist. Die ZKS-Software erlaubt das Zuweisen von Profilen (z. B. Mitarbeiter Produktion = Zugang Zone1 Prod-Halle + Zone1 Sozialeinrichtungen, aber nicht Zone2 Lager; IT-Admin = Zugang auch Zone2 Serverraum etc.). Zeitprofile können integriert werden, sodass z. B. außerhalb der Arbeitszeiten nur Wachdienst und Berechtigte Zutritt erhalten. Besucher erhalten temporäre Ausweiskarten, die ggf. eingeschränkt gültig und an eine Person gebunden sind (Registrierung mit Namen, Besuchsbuch analog oder digital).

Zur Zutrittsorganisation gehört auch die Schlüsselverwaltung für mechanische Schlüssel (sofern noch im Einsatz, z. B. als Backup oder für Technikräume). Ein Schlüsselausgabebuch oder elektronischer Schlüsseltresor sorgt dafür, dass der Verbleib von Schlüsseln kontrolliert ist. Generell ist anzustreben, mechanische Schlüssel in sensiblen Bereichen zu minimieren und auf elektronische Authentifizierung zu setzen, da dort Berechtigungsentzug einfacher ist (im Verlustfall Karte sperren vs. Schloss tauschen).

Ein integraler Bestandteil der physischen Sicherheit ist die Videoüberwachung, die sowohl der Abschreckung als auch der Ereignisdokumentation und Echtzeit-Alarmverifikation dient.

• Kameras im Außenbereich: Überwachung des Perimeters (Zaunlinien), der Zufahrten sowie exponierter Fassadenbereiche. PTZ-Kameras (schwenk/neige/zoom) an den Haupttoren ermöglichen es dem Sicherheitspersonal, einfahrende Fahrzeuge und Personen genauer in Augenschein zu nehmen. Fest installierte Kameras überwachen lange Zaunstrecken, Parkplatz und Ladezonen. Auch die Eingangsbereiche der Gebäude sind mit Kameras versehen, die Gesichter von Eintretenden aufnehmen (zugangskontrollunterstützend, und zur späteren Nachvollziehbarkeit). Bei Dunkelheit arbeiten Außenkameras mit Infrarot oder in Kombination mit Bewegungsmeldern, welche die Beleuchtung auslösen.

• Kameras im Innenbereich: In öffentlich zugänglichen oder stark gefährdeten Innenzonen werden Kameras eingesetzt, zum Beispiel im Empfangsbereich, in Fluren vor sensiblen Bereichen (z. B. vor dem Serverraum oder Labor) sowie in den Produktionshallen zur Überwachung von Zugängen und kritischen Anlagen. Es wird jedoch darauf geachtet, dass keine Bereiche überwacht werden, in denen ein höherer Schutz der Privatsphäre geboten ist (z. B. Pausenräume, Sanitärbereiche – diese sind selbstverständlich kamerasfrei). Die Betriebsräte/Mitarbeitervertretungen sind in die Planung einzubeziehen, um die Wahrung von Arbeitnehmerrechten sicherzustellen.

• Monitoring und Aufzeichnung: Alle Kameras laufen in ein zentrales Video-Management-System (VMS) in der Sicherheitszentrale oder Pförtnerloge. Die Monitore dort zeigen Livebilder von prioritären Kameras (z. B. Tor, Eingang, kritische Innenzonen). Auf Bewegungs- oder Ereigniserkennung hin können Bilder aufgeschaltet oder Alarmbilder angezeigt werden. Aufzeichnung erfolgt digital auf einem Rekorder/NVR mit ausreichender Speicherzeit (z. B. 72 Stunden oder nach Risiko bis 14 Tage), unter Berücksichtigung der DSGVO-Vorgaben zur Speicherdauer. Der Zugriff auf Aufzeichnungen ist beschränkt auf autorisiertes Personal (Sicherheitsbeauftragter, Datenschutzbeauftragter im Falle datenschutzrelevanter Auswertung, im Ereignisfall Polizei).

• Datenschutz und Beschilderung: Videoüberwachung wird transparent gemacht: An allen Eingängen zum überwachten Bereich hängen Hinweisschilder gemäß DSGVO (Zweck, Verantwortlicher, Kontaktdaten). Im Verzeichnis der Verarbeitungstätigkeiten ist die Videoüberwachung dokumentiert, und es existiert ein spezifisches Datenschutzkonzept dafür (siehe ggf. Anhang Muster "Datenschutzkonzept Videoüberwachung"). Die Kameras sind so eingerichtet, dass sie nur das notwendige Areal erfassen (Privacy-by-Design, keine Nachbargrundstücke oder öffentliche Straßen unverhältnismäßig mitfilmen).

• Integration mit Sicherheitssystemen: Das CCTV-System ist mit anderen Sicherheitsanlagen verknüpft. Zum Beispiel kann ein Einbruchmeldealarm automatisch die entsprechenden Kameras auf den Alarmmonitor schalten. Oder eine Videoanalyse registriert, wenn sich Personen in einem definierten Sperrbereich bewegen (virtuelle Tripwire-Funktion) und löst Alarm aus. Solche intelligenten Videoanalyse-Funktionen können optional hinzugefügt werden, um den Wachdienst zu entlasten (Stichwort: KI-basierte Erkennung von Eindringlingen). Wichtig ist, diese Technik verlässlich zu testen, um Fehlalarme zu minimieren.

Video surveillance primarily serves to provide a situational overview and to provide evidence in the event of an incident. However, it does not replace other measures—it is always combined with response forces (plant security) and serves as alarm verification and deterrent.

To immediately detect and report unauthorized intrusion attempts, an intrusion detection system (IAS) is installed.

• Perimeter monitoring: All doors and windows of the exterior (zone between the exterior and interior) are equipped with magnetic contacts or locking contacts that detect any unplanned openings. Glass surfaces can be equipped with glass break detectors (acoustic or vibration sensors). Roof hatches and other openings are also protected by sensors. These perimeter detectors are configured to trigger an alarm immediately if the building is alarmed (e.g., a hold-up or burglary alarm).

• Indoor motion detectors: In certain rooms or corridors (e.g., warehouses, production halls outside of operating hours, corridors leading to sensitive rooms), motion detectors (PIR or dual detectors) supplement the surveillance. They serve as traps inside in case a perpetrator has penetrated the outer skin. They are placed in such a way that an intruder can hardly reach their target without passing through a detector. Rooms containing valuables (vaults, warehouses with expensive goods) are particularly well-suited for motion detectors with increased sensitivity.

• Alerting and connection: In the event of an alarm (burglary detected), the EMA triggers acoustic and visual alarms at the property (sirens, flashing lights as a deterrent) and simultaneously reports to a 24-hour manned location. This can be the company's own security control center/control center (if available) or an external security service/alarm receiving center (NSL - emergency call and service control center). A direct, silent alert to the police is also possible, but alarms are usually checked internally first to rule out false alarms. An intervention plan is provided: In the event of an alarm, the patrol or intervention service immediately goes to the property; at the same time, if necessary, the remote monitor monitors the property via video (if networked). Contact details for key holders are stored so that a responsible person can arrive in an emergency.

• Switching/Scheduling: The burglar alarm system is activated (armed) outside of operating hours. During working hours, it is either disarmed or partially armed (e.g., perimeter active, internal detector off). A locking concept is implemented: At the end of the day, responsible personnel close all windows/doors and arm the system. If necessary, a central control panel is used in the porter's room. Sub-control panels are possible for specific areas (e.g., archives that should remain alarm-protected during the day). The system is linked to the access control system, so that the first employee to arrive in the morning with a card and PIN unlocking simultaneously disarms the alarm (convenience function).

• Robbery and panic alarms: In addition to intrusion detection, the system can include silent alarm buttons—e.g., at the reception or checkout areas—to unnoticed alert the control center in the event of a robbery (silent robbery alarm). A mobile alarm system (radio emergency buttons for security personnel) could also be integrated so that help can be summoned in an emergency (e.g., if an employee encounters a perpetrator during a security patrol).

Die Videoüberwachung dient vor allem dazu, einen situativen Überblick zu gewährleisten und im Ereignisfall Beweismaterial zu haben. Sie ersetzt jedoch nicht andere Maßnahmen – sie ist immer kombiniert mit Reaktionskräften (Werkschutz) und dient der Alarmverifikation sowie Abschreckung.

Um unautorisierte Eindringversuche sofort zu erkennen und zu melden, wird eine Einbruchmeldeanlage (EMA) installiert. Diese deckt sowohl die Gebäude (Innenraumüberwachung) als auch – soweit möglich – den Außenbereich (Außenhautüberwachung) ab.

• Außenhautüberwachung: Alle Türen und Fenster der Außenhülle (Zone zwischen Außen- und Innenbereich) sind mit Magnetkontakten oder Riegelschaltkontakten versehen, die registrieren, ob sie unplanmäßig geöffnet werden. Glasflächen können mit Glasbruchmeldern (akustisch oder Erschütterungssensoren) ausgestattet werden. Auch Dachluken und andere Öffnungen sind sensorisch gesichert. Diese Außenhautmelder werden so geschaltet, dass sie sofort Alarm auslösen, wenn das Objekt alarmgeschaltet ist (Überfall- bzw. Einbruchalarm).

• Bewegungsmelder im Inneren: In bestimmten Räumen oder Fluren (z. B. Lager, Produktionshalle außerhalb Betriebszeit, Flure zu sensiblen Räumen) ergänzen Bewegungsmelder (PIR oder Dualmelder) die Überwachung. Sie dienen der Fallenüberwachung im Innern, falls ein Täter die Außenhaut überwunden hat. Die Platzierung erfolgt so, dass ein Eindringling kaum zum Ziel gelangen kann, ohne einen Melder zu passieren. Insbesondere Räume mit Wertgegenständen (Tresorräume, Lager mit teurem Gut) erhalten Bewegungsmelder mit verstärkter Empfindlichkeit.

• Alarmierung und Aufschaltung: Im Alarmfall (Einbruch erkannt) gibt die EMA akustische und optische Alarme am Objekt (Sirenen, Blitzleuchten zur Abschreckung) und meldet zugleich an eine 24h-besetzte Stelle. Das kann die unternehmenseigene Sicherheitszentrale/Leitstelle sein (falls vorhanden) oder ein externer Wachschutzdienst/Alarmempfangszentrale (NSL – Notruf- und Service-Leitstelle). Auch eine direkte stille Alarmierung der Polizei ist möglich, jedoch prüft man in der Regel Alarme zuerst intern, um Fehlalarme auszuschließen. Vorgesehen ist ein Interventionsplan: Bei Alarm fährt der Revierstreifen- oder Interventionsdienst unverzüglich zum Objekt, gleichzeitig schaut ggf. der Fernüberwacher via Video (wenn vernetzt) nach dem Rechten. Kontakte zu Schlüsselträgern sind hinterlegt, damit im Ernstfall ein Verantwortlicher kommen kann.

• Schaltung/Zeitplanung: Die EMA wird außerhalb der Betriebszeiten aktiviert (scharf geschaltet). Während der Arbeitszeit ist sie entweder unscharf oder in Teilschärfe (z. B. Perimeter aktiv, Innenmelder aus). Es wird ein Verschlusskonzept implementiert: Verantwortliche schließen am Feierabend alle Fenster/Türen und schalten die Anlage scharf. Ggf. nutzt man ein Zentralbedienteil im Pförtnerraum. Für Teilbereiche (z. B. Archive, die auch tagsüber alarmgesichert bleiben sollen) sind Unterzentralen möglich. Das System ist mit dem Zutrittssystem gekoppelt, sodass ein erster Mitarbeiter am Morgen mit Karte+PIN Entriegelung gleichzeitig Alarm unscharf schaltet (Komfortfunktion).

• Überfall- und Panikalarm: Zusätzlich zur Einbruchserkennung kann das System stille Alarm Taster haben – z. B. am Empfang oder Kassenbereichen – um bei Raubüberfall unbemerkt Alarm an die Leitstelle zu geben (stiller Überfallalarm). Ebenso könnte eine mobile Alarmierung (Funk-Notknöpfe für Wachpersonal) integriert sein, damit im Notfall Hilfe gerufen werden kann (z. B. beim Kontrollgang, falls der Mitarbeiter auf einen Täter trifft).

Die EMA wird nach VdS-Standard geplant und installiert (ggf. VdS-Klasse, um Versicherungsvorgaben zu erfüllen). Wartung und regelmäßige Funktionsprüfungen sind Pflicht, um Zuverlässigkeit sicherzustellen.

(Hinweis: Ein detailliertes Brandschutzkonzept ist getrennt zu betrachten. Hier im Sicherheitskonzept werden nur Schnittstellen dargestellt, z. B. Sabotageschutz relevanter Brandschutzeinrichtungen oder Alarmierungsintegration.) Der Industriekomplex verfügt über automatische Brandmeldeanlagen und Feuerlöschinfrastruktur. Die Relevanz für Security: Brandmeldetechnik muss manipulationsgeschützt sein (z. B. keine fremden Eingriffe in Sprinkler oder Melder). Sabotage an Brandschutzeinrichtungen (bspw. Feuerlöscher unbrauchbar machen) wird als Szenario mit betrachtet und durch organisatorische Kontrollen verhindert. Im Alarmfall (Brandalarm) müssen Zugänge für die Feuerwehr schnell geöffnet werden können – die Sicherheitsorganisation regelt eine Schließanweisung dafür (Pförtner öffnet Tore/barrierefreie Zufahrt). Zudem sind Evakuierungspläne Teil des Notfallmanagements; sie werden mit dem Security-Konzept abgestimmt, damit z. B. Zutrittskontrollsysteme bei Alarm entriegelt werden und Notausgänge frei nutzbar sind. Auch mögliche Fälle von böswilligen Alarmen (Bombendrohung, Fehlalarm durch Täter) sind im Krisenmanagement vorgesehen.

Im Anhang dieses Konzepts kann eine Übersicht aller technischen Sicherheitssysteme in tabellarischer Form beigefügt werden (z. B. "Sicherheitsausstattungsliste": Zauntyp, Anzahl Kameras, Typ der Alarmanlage, Modell der Zutrittskontrolle, etc.). Dies erleichtert die Fortschreibung und technische Planung.

Zusammenfassend gewährleistet die Kombination der oben beschriebenen physischen Maßnahmen, dass das Objekt sowohl gegen äußere als auch innere Bedrohungen geschützt ist. Die bauliche und technische Sicherheit bildet das Fundament – sie ist jedoch nur wirksam in Zusammenspiel mit den folgenden organisatorischen und personellen Maßnahmen, die nun dargelegt werden.

Während die Technik und Bauwerke einen wichtigen Teil der Sicherheit liefern, sind organisatorische Regelungen und das Personal ebenso entscheidend. Dies beschreibt die Prozesse, Richtlinien und personellen Vorkehrungen, die das Sicherheitsniveau aufrechterhalten. Organisatorische Maßnahmen definieren das Verhalten und die Abläufe, um Sicherheitsvorfälle zu verhindern oder korrekt zu handeln, und personelle Maßnahmen betreffen Auswahl, Schulung und Umgang mit Menschen als Sicherheitsfaktor.

Zu Beginn wird eine unternehmensweite Sicherheitsleitlinie etabliert, die vom Management verabschiedet und allen Mitarbeitern kommuniziert wird. Darin werden die Bedeutung der Sicherheit, die wichtigsten Ziele und die Erwartung an das Verhalten jedes Einzelnen festgehalten. Zum Beispiel: “Die Sicherheit von Mitarbeitern, Informationen und Anlagen hat höchste Priorität; Verstöße gegen Sicherheitsbestimmungen können arbeitsrechtliche Konsequenzen haben.” Diese Leitlinie schafft Bewusstsein und gibt Rückendeckung für die Durchsetzung von Regeln. Ergänzend gibt es konkrete Richtlinien/Dienstanweisungen, z. B. eine Werkschutzordnung, IT-Sicherheitsrichtlinie, Zutritts- und Ausweisrichtlinie, Besucherrichtlinie etc. In diesen Dokumenten wird festgelegt, wer was darf und wie zu verfahren ist (z. B. “Mitarbeiter müssen ihren Firmenausweis sichtbar tragen und auf Verlangen vorzeigen”). Dieses Template enthält im Anhang Beispiele für solche Muster-Dienstanweisungen, die angepasst werden können.

Organisatorisch wird geregelt, wer Zugang zu welchen Bereichen erhält – ergänzend zur technischen Zutrittskontrolle.

• Ausweissystem: Jeder Mitarbeiter und jeder regelmäßige Externe (z. B. Werkvertragsmitarbeiter) erhält einen personifizierten Werksausweis. Dieser ist sichtbar zu tragen und auf Verlangen vorzuzeigen. Es wird eine Ausweistragepflicht eingeführt. Besucher bekommen deutlich unterscheidbare Besucherausweise (farblich markiert, mit Besucherdauer versehen). Die Ausgabe und Rücknahme von Ausweisen wird dokumentiert (Software oder Besucherliste).

• Besucheranmeldung: Besucher (Kunden, Lieferanten, Bewerber etc.) müssen vorab angemeldet werden. Die Anmeldung erfolgt durch den internen Gastgeber via digitales System oder schriftlich an den Empfang/Werkschutz. Unangemeldete Besucher werden nur im Ausnahmefall eingelassen, nach Rücksprache mit dem entsprechenden Unternehmensbereich. Jeder Besucher meldet sich am Empfang an, wird in Empfang genommen und durch einen Mitarbeiter begleitet, solange er sich in nicht-öffentlichen Zonen befindet. Besucher erhalten ggf. Sicherheitsunterweisungen je nach Bereich (z. B. in der Produktion auf PSA hinweisen, in Labors auf Verbote etc.). Ein Besucherregister wird geführt mit Name, Firma, Personalausweisnummer (wenn nötig) und Zeitpunkt Ein/Aus. Besucher bekommen in sensiblen Bereichen eine Begleitung und dürfen sich nicht frei bewegen.

• Umgang mit Fremdfirmen: Externe Dienstleister, Handwerker oder Reinigungspersonal (Fremdkräfte) werden ähnlich behandelt wie Besucher, sofern sie nicht fest am Standort stati