Sicherheitsüberprüfung

Kernstück des SÜG sind die personellen Sicherheitsüberprüfungen. Diese Überprüfungen dienen dazu festzustellen, ob eine Person zuverlässig und loyal genug ist, um in Bereichen zu arbeiten, die für die innere oder äußere Sicherheit Deutschlands sensibel sind. Hierbei wird – wie dargestellt – zwischen Überprüfungen aus Gründen des Geheimschutzes und aus Gründen des Sabotageschutzes unterschieden. In beiden Fällen läuft das Verfahren ähnlich ab, allerdings unterscheiden sich Prüfungstiefe und -umfang je nach Art der Tätigkeit und dem Geheimhaltungsgrad.

• Ü1 – Einfache Sicherheitsüberprüfung: Die einfache Überprüfung wird in der Regel für Personen durchgeführt, die Zugang zu VS-Vertraulich erhalten sollen (teils auch schon bei umfangreichem Zugang zu VS-NfD, je nach Weisungen). Die Ü1 umfasst Basisabfragen bei verschiedenen Stellen: u.a. beim Bundeszentralregister (Strafregister), beim zentralen staatsanwaltschaftlichen Verfahrensregister, beim Gewerbezentralregister sowie beim Verfassungsschutz und den Polizeibehörden. Auch öffentlich zugängliche Informationen (zum Beispiel Internetseiten, ausgenommen soziale Netzwerke) können einbezogen werden. In dieser ersten Stufe werden in der Regel keine weiteren Personen in die Überprüfung einbezogen; es geht primär darum, offenkundige Risiken (Vorstrafen, bekannte extremistische Umtriebe etc.) auszuschließen.

• Ü2 – Erweiterte Sicherheitsüberprüfung: Die erweiterte Überprüfung ist erforderlich für höheren Geheimhaltungsgrad, typischerweise Geheim eingestufte Informationen. Hier werden alle Maßnahmen der Ü1 durchgeführt und zusätzlich weitere Schritte unternommen. So erfolgen beispielsweise Anfragen an die örtlichen Polizeidienststellen der letzten Wohnsitze der zu überprüfenden Person und es wird eine Identitätsprüfung vorgenommen. Wichtig ist, dass bei Ü2 grundsätzlich auch die Ehe- oder Lebenspartner der betroffenen Person als mitbetroffene Personen in die Überprüfung einbezogen werden. Für diese Partner werden dieselben Abfragen (mit Ausnahme der Internetrecherchen) durchgeführt, denn eine sicherheitsrelevante Gefährdung kann auch aus dem engsten sozialen Umfeld stammen (z.B. durch Verschuldung oder extremistische Aktivitäten des Partners). Die erweiterte Überprüfung geht also deutlich tiefer und versucht, ein umfassendes Zuverlässigkeitsbild der Person (und ihres unmittelbaren Umfelds) zu gewinnen.

• Ü3 – Erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen: Diese höchste Stufe wird in der Regel für Zugriff auf Streng Geheim erforderlich sein (bzw. für ganz besonders sensible Geheimhaltungsgrade, z.B. einige NATO/EU-Geheimnisse). Zusätzlich zu allen Maßnahmen der Ü1 und Ü2 beinhaltet Ü3 noch nachrichtendienstliche Sicherheitsermittlungen im weiteren Sinne. Insbesondere werden sogenannte Referenz- und Auskunftspersonen aus dem Umfeld der zu überprüfenden Person befragt. Dazu gehören etwa ehemalige Kollegen, Nachbarn oder Bekannte, die vom Nachrichtendienst (in der Regel dem BfV) aufgesucht werden, um Informationen über Charakter, Lebenswandel und mögliche Auffälligkeiten der Zielperson zu erheben. Diese Befragungen erfolgen im persönlichen Gespräch und bieten die Möglichkeit, auch solche Hinweise zu erhalten, die in Registern oder Akten nicht dokumentiert sind. Die Ü3 ist damit sehr tiefgreifend und zeitaufwendig. Sie wird nur angeordnet, wenn es die höchste Geheimhaltungsstufe der Aufgaben erfordert und dient dazu, ein Höchstmaß an Sicherheit über die Vertrauenswürdigkeit der Person zu erlangen.

• Wichtig bei allen Überprüfungsarten im Geheimschutz: Die betroffene Person muss schriftlich zustimmen, bevor die Überprüfung durchgeführt werden darf. Niemand kann gezwungen werden, sich einer Sicherheitsüberprüfung zu unterziehen – allerdings darf der Arbeitgeber eine Person, die nicht einwilligt, nicht in sicherheitsempfindlicher Tätigkeit einsetzen. In der Praxis würde eine Verweigerung also bedeuten, dass der Arbeitsvertrag u.U. nicht zustande kommt oder die betreffende Person versetzt bzw. entlassen werden muss. Die Zustimmung ist daher faktisch Voraussetzung für eine Karriere in Bereichen mit Geheimschutz.

• Für den vorbeugenden personellen Sabotageschutz – also bei Personen, die in sicherheitsempfindlichen Positionen in lebens- oder verteidigungswichtigen Einrichtungen arbeiten – sieht das SÜG grundsätzlich die erweiterte Sicherheitsüberprüfung (Ü2) vor. In § 1 Abs. 4 SÜG ist festgelegt, dass bestimmte Einrichtungen als so wichtig gelten, dass schon der Zugang dort als sicherheitsempfindliche Tätigkeit gilt. Beispiele sind etwa zentrale Steuerungsstellen von Strom- oder Wasserversorgung, Leitwarten, Rüstungsbetriebe oder militärische Anlagen. Für solche Fälle wird immer mindestens eine Ü2 durchgeführt – auch wenn die Person keinen Zugang zu Verschlusssachen hat, sondern „nur“ durch Sabotage schweren Schaden anrichten könnte.

• Ein Unterschied zur Ü2 im Geheimschutz besteht jedoch: Im Sabotageschutz wird die Überprüfung ohne Einbeziehung von Familienangehörigen durchgeführt. Es wird also ausschließlich die betroffene Person selbst überprüft, nicht ihr Partner. Dies trägt dem Umstand Rechnung, dass im Sabotageschutz die Loyalität gegenüber der freiheitlichen demokratischen Grundordnung und die Vertrauenswürdigkeit der einzelnen Person im Vordergrund stehen, während beim Geheimschutz zusätzlich das Umfeld wichtig ist (da ein Partner indirekt Zugang zu Geheimnissen erlangen könnte).

• Abgesehen davon umfasst die Ü2 Sabotageschutz ähnliche Prüfschritte wie die normale Ü2: Registerabfragen, Polizeiauskünfte, ggf. Internetrecherchen usw.

• In der Praxis werden viele Unternehmen im KRITIS-Bereich erstmals durch regulatorische Vorgaben oder Auflagen der Sicherheitsbehörden mit dem Sabotageschutz konfrontiert. Beispielsweise kann das Innenministerium oder das zuständige Landesministerium festlegen, welche Anlagen als „lebenswichtige Einrichtungen“ gelten – dies erfolgt etwa in branchenspezifischen Verordnungen. Werden solche Einrichtungen identifiziert, müssen die Betreiber sicherstellen, dass bestimmte Schlüsselpersonen (z.B. Leitstellen-Personal, leitende Ingenieure, Administratoren kritischer IT-Systeme etc.) einer Ü2 unterzogen werden.

• Auch hier gilt: Die Initiative zur Überprüfung muss von einer zuständigen Stelle ausgehen – in diesem Fall typischerweise dem BMWK oder der Landesbehörde in Abstimmung mit dem Verfassungsschutz. Unternehmen können nicht eigenmächtig eine SÜG-Überprüfung ihrer Mitarbeiter veranlassen, solange kein gesetzlicher Auftrag oder Vertrag dies vorsieht.

• Genau hierin sehen Vertreter der Wirtschaft in jüngerer Zeit eine Lücke: Bislang fehlt eine gesetzliche Grundlage, wie Unternehmen eigeninitiativ die Vertrauenswürdigkeit von Bewerbern oder Beschäftigten in sicherheitsrelevanten Bereichen überprüfen lassen können. Angesichts wachsender Bedrohungen fordern Industrieverbände daher, im Rahmen neuer Sicherheitsgesetze (etwa zur KRITIS-Richtlinie der EU oder NIS2) freiwillige Zuverlässigkeitsüberprüfungen durch staatliche Stellen zu ermöglichen. Dies würde erlauben, auch außerhalb klassischer SÜG-Fälle präventiv Personal zu prüfen. Derzeit aber bleibt der Sabotageschutz auf die gesetzlich definierten Einrichtungen beschränkt.

• Eine Sicherheitsüberprüfung wird immer von einer sicherheitsüberprüfenden Stelle initiiert. Bei Behörden übernimmt dies der jeweilige Geheimschutzbeauftragte; bei Unternehmen ist es – sofern das Unternehmen bereits in der Geheimschutzbetreuung ist – der Sicherheitsbevollmächtigte (dazu gleich mehr). Die zu überprüfende Person füllt einen umfangreichen Fragebogen (Sicherheitserklärung) aus, in dem persönliche Daten, Wohnsitze, Auslandsaufenthalte, finanzielle Verhältnisse, mögliche Suchtprobleme und Kontakte zu ausländischen Personen etc. anzugeben sind.

• Mit ihrer Einwilligung erlaubt sie zudem den Behörden, Auskünfte aus Registern einzuholen. Die Unterlagen werden an die zuständige Behörde – im Wirtschaftsbereich in der Regel das BMWK, Referat RS 2 – übermittelt, welche dann das Bundesamt für Verfassungsschutz mit der eigentlichen Überprüfung beauftragt. Das BfV führt die Abfragen und ggf.

• Ermittlungen durch und gibt am Ende eine Sicherheitsbewertung ab: keine Bedenken (die Person gilt als zuverlässig) oder Sicherheitsbedenken (die Person ist nicht zuverlässig, keine Freigabe). Die endgültige Entscheidung trifft die Stelle, die die Überprüfung angeordnet hat, meist folgt sie jedoch der Empfehlung des Verfassungsschutzes.

• In der Praxis kann dieser Vorgang beträchtliche Zeit in Anspruch nehmen. Eine der Herausforderungen für Unternehmen ist die teils lange Dauer der Überprüfungsverfahren. Gerade in sicherheitsrelevanten Branchen, die dringend Fachkräfte suchen, stellt dies einen Engpass dar. Vertreter der deutschen Sicherheits- und Verteidigungsindustrie beklagen etwa, dass eine Ü2-Überprüfung in vielen Fällen bis zu einem Jahr dauert. In dieser Zeit können die betroffenen Mitarbeiter zwar oft schon eingestellt werden, dürfen aber nicht an die eigentliche sicherheitsempfindliche Arbeit (z.B. an einem Rüstungsprojekt mit VS-Einstufung) herangelassen werden.

• Sie „sitzen auf dem Trockenen“, was aus Unternehmenssicht ineffizient und hinderlich ist. Die Unternehmen fordern daher eine Beschleunigung der Prozesse – mehr Personal bei den Behörden, digitale Antragsverfahren und klare Fristen.

• Aus rechtlicher Sicht bleibt jedoch klar: Ohne abgeschlossene Sicherheitsüberprüfung kein Einsatz in sicherheitsempfindlicher Position. Dieses strikte Prinzip stellt sicher, dass wirklich alle Personen mit Zugang zu Verschlusssachen oder kritischen Anlagen vorab durchleuchtet wurden.

Die Implementierung der Anforderungen des SÜG in einem Unternehmen erfordert klare organisatorische Zuständigkeiten. Gesetz und Verwaltungsvorschriften sehen deshalb spezielle Rollen vor, die in Behörden wie in Unternehmen zu besetzen sind, um den Geheim- und Sabotageschutz zu managen.

• In öffentlichen Stellen (Ministerien, Behörden, aber auch z.B. Universitäten mit VS-Bereich) wird üblicherweise ein Geheimschutzbeauftragter (GHB) bestellt. Diese Person ist intern dafür verantwortlich, alle Maßnahmen des personellen und materiellen Geheimschutzes umzusetzen. Der Geheimschutzbeauftragte fungiert somit als zentrale Koordinations- und Kontrollinstanz für den Geheimschutz. Er leitet Sicherheitsüberprüfungen ein, betreut die überprüften Personen, verwaltet Verschlusssachenstellen und stellt sicher, dass bauliche und organisatorische Schutzmaßnahmen eingehalten werden. GHBs haben eine besondere Vertrauensstellung und unterstehen meist direkt der Behördenleitung. In kleineren Dienststellen, wo kein eigener GHB ernannt ist, nimmt gesetzlich die Leitung der Dienststelle diese Aufgaben wahr.

• Auch in Unternehmen kann es je nach Konstellation eine Person mit ähnlicher Funktion geben, allerdings wird hier terminologisch unterschieden: In der Wirtschaft spricht man statt vom GHB meist vom Sicherheitsbevollmächtigten.

Ein Sicherheitsbevollmächtigter (SiBe) ist derjenige leitende Angestellte in einem Unternehmen, der für den Geheimschutz verantwortlich zeichnet. Sobald ein Unternehmen einen Vertrag mit einer Stelle der Bundeswehr oder einer Bundesbehörde hat, der den Umgang mit Verschlusssachen beinhaltet, muss es einen solchen SiBe benennen. Der SiBe ist typischerweise unmittelbar der Geschäftsführung unterstellt und mit den nötigen Befugnissen ausgestattet, um Geheimschutzmaßnahmen durchzusetzen.

• Kontaktstelle zu Behörden: Der SiBe kommuniziert mit dem BMWK (Referat Geheimschutz) und ggf. dem Verfassungsschutz. Er stellt Anträge auf Sicherheitsüberprüfungen für Mitarbeiter und meldet Veränderungen (z.B. wenn eine Person das Unternehmen verlässt oder nicht mehr in VS-Bereich arbeitet).

• Personalmaßnahmen: Er prüft, welche Stellen im Betrieb als sicherheitsempfindlich gelten und stellt sicher, dass nur entsprechend überprüfte Personen dort eingesetzt werden. Er hat z.B. das Recht, bei Einstellungen Einsicht in bestimmte Personalunterlagen zu nehmen, um sicherheitliche Aspekte zu bewerten.

• Schulung und Sensibilisierung: Der Sicherheitsbevollmächtigte schult Mitarbeiter, die Zugang zu Verschlusssachen haben, in den Geheimschutzbestimmungen. Er sorgt dafür, dass alle betreffenden Personen die Sicherheits- und Geheimhaltungsverpflichtungen unterschreiben und die geltenden Regeln (z.B. Umgang mit VS-Material, Meldepflichten bei Sicherheitsvorfällen) kennen.

• Geheimschutzdokumentation: Er richtet im Unternehmen eine Geheimschutzordnung ein oder implementiert das Geheimschutzhandbuch des BMWK in betriebliche Anweisungen. Zudem führt er Verzeichnisse der VS-Dokumente und der Personen mit Zugriff (sogenannte VS-Register und Sicherheitsakten der Personen).

• Kontrolle und Verbesserungen: Der SiBe überwacht die Einhaltung der Vorschriften im Alltag (z.B. ob Büros ordnungsgemäß verschlossen werden, keine geheimen Unterlagen offen herumliegen, IT-Richtlinien eingehalten werden). Er meldet sicherheitserhebliche Vorkommnisse (etwa Verlust eines VS-Dokuments) umgehend an die Behörden. Auch wirkt er bei baulichen Planungen mit, um frühzeitig Geheimschutzanforderungen einzubringen.

• Der Sicherheitsbevollmächtigte nimmt damit eine Schlüsselrolle ein, vergleichbar mit einem Datenschutzbeauftragten, jedoch für den Bereich Geheimschutz. In großen Konzernen gibt es häufig ein ganzes Team oder eine Abteilung für Geheim- und Objektschutz, in der der SiBe federführend ist. Ihm können sogenannte Geheimschutzbevollmächtigte in einzelnen Abteilungen oder Standorten unterstellt sein. Gesetzlich geregelt ist diese Rolle unter anderem in der VSA und im Geheimschutzhandbuch.

• Neben dem SiBe, der für den Schutz von Verschlusssachen zuständig ist, verlangen die Richtlinien auch die Benennung von Verantwortlichen für den Sabotageschutz – oft Sabotageschutzbeauftragter (SaBe) genannt. In der Unternehmenspraxis wird der Sabotageschutzbeauftragte häufig mit dem SiBe in Personalunion besetzt, insbesondere wenn die Schnittmengen groß sind (z.B. in einem Rüstungsbetrieb, der zugleich verteidigungswichtig und VS-betreut ist). Der Sabotageschutzbeauftragte kümmert sich speziell um die Identifizierung sicherheitskritischer Stellen im Betrieb (etwa wer Zugang zu Schaltstellen hat) und organisiert die Ü2-Überprüfungen für diese Personen, sofern vorgeschrieben. Auch berät er die Geschäftsführung zu Maßnahmen des personellen Sabotageschutzes (z.B. Rotationsprinzip auf besonders sensiblen Posten, Vier-Augen-Prinzip bei kritischen Handlungen etc.).

• Sowohl SiBe als auch SaBe fungieren im Unternehmen als Ansprechpartner für alle sicherheitssensiblen Belange. Sie sind zumeist von anderen Aufgaben freigestellt bzw. üben diese Tätigkeit hauptamtlich aus, je nach Umfang. Ihr Status ist oft in der Organisationsstruktur hervorgehoben (z.B. eigene Stabsstelle). Um Interessenkonflikte zu vermeiden, dürfen diese Funktionen nicht unvereinbar mit anderen Rollen sein – z.B. wird empfohlen, sie nicht mit Compliance- oder Datenschutzbeauftragten in Personalunion zu besetzen, da unterschiedliche Schutzziele kollidieren könnten.

• Ein Unternehmen, das dem SÜG unterliegt, muss also zunächst für diese organisatorischen Grundlagen sorgen: Bestellung eines Sicherheitsbevollmächtigten und ggf. Sabotageschutzbeauftragten, Einrichtung einer Geheimschutzorganisation im Betrieb, und enge Zusammenarbeit mit den zuständigen staatlichen Stellen. Dies stellt sicher, dass es klare Verantwortlichkeiten gibt und das umfangreiche Regelwerk des Geheimschutzes in praktische betriebliche Prozesse überführt wird.

Neben der Überprüfung des Personals fordert das SÜG-Umfeld auch einen sorgfältigen Umgang mit Verschlusssachen (VS) selbst. Materieller Geheimschutz nennt man alle technischen, physischen und organisatorischen Maßnahmen, die verhindern sollen, dass Unbefugte Zugang zu geheimhaltungsbedürftigen Informationen erhalten. Für Unternehmen, die VS vom Staat erhalten oder selbst erzeugen (z.B. als Auftragnehmer in Rüstungsprojekten), gelten hier strenge Vorgaben, meist in Form der Verschlusssachenanweisung (VSA) und ergänzender Richtlinien.

Zunächst müssen Verschlusssachen als solche erkannt und gekennzeichnet werden. Jede Information, die von einer berechtigten Behörde als VS eingestuft wurde, muss klar mit dem entsprechenden Geheimhaltungsgrad (z.B. „VS-Vertraulich“) markiert sein. Gleiches gilt für Datenträger oder technische Geräte, die solche Informationen enthalten. Unternehmen dürfen grundsätzlich die Einstufung nicht eigenmächtig ändern – weder herauf- noch herabsetzen. Nur die herausgebende Behörde kann die Freigabe oder De-Einstufung veranlassen. Allerdings sind Unternehmen verpflichtet, in ihren Produkten und Unterlagen von sich aus auf mögliche Schutzbedarfe hinzuweisen und ggf. Einstufungsvorschläge an die Behörde zu melden, falls sie glauben, dass etwas als VS behandelt werden müsste.

• Herstellung/Bearbeitung: Wird z.B. ein Dokument erstellt, das VS-Informationen enthält, darf dies nur durch Personen mit entsprechender Berechtigung erfolgen. Gegebenenfalls müssen sichere IT-Systeme (abgeschottet vom Internet, zugangsbeschränkt) genutzt werden, wenn digitale Verarbeitung stattfindet. Häufig werden separate Netzwerke oder Computer für VS-Daten eingerichtet (z.B. ein stand-alone System für bis VS-NfD). Bei höheren Einstufungen (VS-Vertraulich aufwärts) ist oft eine ausschließliche Verarbeitung in speziell zugelassenen Bereichen vorgeschrieben, und es gelten die IT-Sicherheitsvorgaben des BSI (z.B. IT-Grundschutz) in besonderem Maße.

• Vervielfältigung: Das Kopieren oder Scannen von VS-Dokumenten wird möglichst eingeschränkt. Für jedes einzelne Dokument kann in der Einstufungsverfügung festgelegt sein, ob Kopien erlaubt sind. Wenn ja, muss meist eine Kopiennummerierung und Dokumentation erfolgen – jede Kopie eines VS-Geheim-Dokuments wird registriert, um nachverfolgen zu können, wo sich alle Exemplare befinden. Unautorisierte Vervielfältigung ist streng verboten und kann als Geheimnisverrat geahndet werden.

• Verwahrung: Verschlusssachen müssen in behördlich zugelassenen Sicherheitsbehältnissen aufbewahrt werden, sobald sie nicht in Gebrauch sind. Dazu zählen spezielle VS-Stahlschränke oder Tresore, die definierte Widerstandsklassen gegen Einbruch und Feuer erfüllen. Für VS-Vertraulich kann z.B. ein zertifizierter Stahlaktenschrank genügen, während für Geheim und Streng Geheim oft höhere Standards (Klasse A oder B Tresore, Alarmanlagen) verlangt werden. Alternativ können auch VS-Sicherungsräume eingerichtet werden – ein Raum, der baulich so gesichert ist, dass er als Ganzes als Sicherheitsbehältnis dient (mit verstärkten Wänden, Sicherheitstüren, Alarmanlage etc.). Jede Einrichtung, die mit VS arbeitet, muss mindestens einen VS-Tresor oder -Raum als Registratur besitzen. Dort werden die Originale zentral verwahrt. Der Zugang zu diesen Behältnissen ist beschränkt auf einen kleinen Personenkreis, oft den SiBe und ggf. Registraturverwalter.

• Verteilung und Weitergabe: Innerhalb des Unternehmens dürfen VS-Dokumente nur nach dem Need-to-know-Prinzip weitergegeben werden. Das heißt, selbst unter berechtigten Personen bekommt nur derjenige Zugang, der die Information zur Ausübung seiner konkreten Aufgabe benötigt. Eine interne Verteilerliste ist für jedes VS-Dokument zu führen. Die Weitergabe an externe Stellen (z.B. Unterauftragnehmer) bedarf der Zustimmung der originären VS-auftraggebenden Stelle und erfolgt meist via amtliche Kurierdienste oder besonders abgesicherte elektronische Übermittlungswege. Versand per Post unterliegt detaillierten Vorschriften (Doppelumschlag, Siegel etc.), welche z.B. in der VSA festgelegt sind.

• Nutzung und Verarbeitung: Während der Arbeit mit VS ist sicherzustellen, dass Unbefugte nicht mitlesen oder -hören können. Zum Beispiel dürfen Besprechungen über VS nur in abhörgeschützten Räumen stattfinden. Telefone müssen VS-zugelassen (verschlüsselt) sein, wenn vertrauliche Inhalte besprochen werden. Dokumente dürfen am Arbeitsplatz nicht unbeaufsichtigt offen liegen, sofern Unbefugte Zutritt haben könnten. In Behörden und Unternehmen mit regelmäßigem VS-Anfall gibt es häufig abschließbare VS-Sammelschalen auf Schreibtischen: verlässt der Mitarbeiter den Raum, sind die Unterlagen dort einzuschließen.

• Aufbewahrungsfristen und Vernichtung: Sobald Verschlusssachen nicht mehr benötigt werden oder nach Ablauf der Aufbewahrungsfrist, müssen sie sicher vernichtet werden. Papierdokumente etwa sind mit Hochsicherheits-Schreddern zu vernichten, die der jeweils geforderten Sicherheitsstufe entsprechen (Partikelgröße gemäß DIN 66399 für VS). Datenträger werden physisch zerstört oder entmagnetisiert. Über die Vernichtung besonders eingestufter VS (Geheim, Streng Geheim) sind Protokolle zu führen, und sie erfolgt oft unter Aufsicht von zwei Personen.

• Diese Maßnahmen des materiellen Geheimschutzes sind nach Geheimhaltungsgraden abgestuft. So sind die Anforderungen für VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) etwas geringer als für „Geheim“. Beispielsweise erfordert VS-NfD keinen personellen Sicherheitsüberprüfungsnachweis; es genügt, dass die betreffenden Personen vom Geheimschutzbeauftragten belehrt wurden und die VS-NfD-Regeln (festgehalten etwa im Merkblatt Anlage 4 GHB) einhalten. Für VS-NfD genügen oft normale Abschließmöglichkeiten (Büroschrank) und Standard-IT-Sicherheitsmaßnahmen, sofern das Risiko als begrenzt eingeschätzt wird. Höhere VS-Stufen hingegen ziehen striktere Vorkehrungen nach sich – z.B. sind für Geheim i.d.R. Alarmanlagen oder Wachschutz außerhalb der Dienstzeit vorgeschrieben, und VS-Daten dürfen nur auf akkreditierten IT-Systemen verarbeitet werden.

• Insgesamt verlangt der Umgang mit Verschlusssachen von einem Unternehmen eine fast militärische Disziplin in der Informationsverwaltung. Jeder Vorgang – von der Erstellung über Kopien bis zum Versand und zur Vernichtung – muss dokumentiert und nachvollziehbar sein. Jede Person im Unternehmen, die mit VS zu tun hat, trägt persönliche Verantwortung, die Geheimhaltungsregeln einzuhalten. Verstöße können nicht nur arbeitsrechtliche Konsequenzen haben, sondern im Ernstfall auch strafrechtliche – etwa wenn ein Staatsgeheimnis unbefugt weitergegeben wird. Das Strafgesetzbuch stellt die Preisgabe von Staatsgeheimnissen (d.h. Informationen, deren Bekanntwerden der Bundesrepublik schweren Schaden zufügen kann) unter hohe Strafen. Zwar ist nicht jede Verschlusssache automatisch ein „Staatsgeheimnis“ im strafrechtlichen Sinne, doch schon der vertragswidrige Umgang mit eingestuften Informationen kann dazu führen, dass die Geheimschutzbetreuung des Unternehmens entzogen wird – was praktisch das Ende weiterer VS-Aufträge bedeuten würde.

• Für Großunternehmen in den genannten Branchen heißt das: Sie müssen intern klare Prozesse und Zuständigkeiten für die materielle Geheimhaltung etablieren. Oft wird ein Geheimschutzhandbuch auf Unternehmensebene erstellt, das detailliert beschreibt, wie die obigen Maßnahmen konkret im Betrieb umgesetzt werden (z.B. welche Tresore wo stehen, wer welche Schlüssel hat, Ablaufpläne für Postversand von VS etc.). Dieses interne Handbuch lehnt sich an das BMWK-Geheimschutzhandbuch (GHB) an und wird meist von der Geschäftsführung genehmigt und von den Behörden überprüft.

Ein wichtiger Teil des materiellen Geheimschutzes sind die baulichen und technischen Vorkehrungen zum Schutz von Verschlusssachen und sensiblen Bereichen. Gleichzeitig sind organisatorische Maßnahmen erforderlich, um Sicherheitsprinzipien in den Alltag des Unternehmens zu integrieren. Diese Aspekte überschneiden sich teilweise mit dem vorigen Kapitel, sollen aber im Folgenden speziell unter dem Blickwinkel des Facility Managements und der betrieblichen Abläufe betrachtet werden.

• Zutrittskontrollbereiche: Bereiche, in denen mit VS gearbeitet wird (beispielsweise Projektbüros mit VS-Verträgen, Rechenzentren mit kritischen Systemen), sollten als Sicherheitsbereiche ausgewiesen werden. Das bedeutet, der Zugang ist nur autorisiertem, überprüftem Personal gestattet und wird durch technische Zutrittskontrollanlagen geregelt. Dies kann etwa durch elektronische Kartenleser, PIN-Schlösser oder biometrische Systeme erfolgen. Häufig gibt es unterschiedliche Sicherheitszonen: z.B. ein allgemein gesicherter Perimeter (Werksgelände oder Gebäudezugang) und darin nochmals abgetrennte VS-Bereiche mit höherer Schutzstufe.

• Alarmanlagen und Überwachung: Je nach Gefährdungslage werden Einbruchmeldeanlagen installiert, die unautorisierte Zugangsversuche sofort detektieren. Besonders VS-Tresore oder -Räume sind mit Sensoren (Erschütterung, Türkontakt) versehen. Auch Videoüberwachung kann zum Einsatz kommen, um sensible Bereiche im Blick zu halten (unter Wahrung datenschutzrechtlicher Vorgaben).

• Physische Barrieren: Alle physischen Einbauten wie Türen, Fenster, Wände in VS-Bereichen müssen definierte Widerstandszeiten gegen Manipulation bieten. Beispielsweise sind Sicherheitstüren und -schlösser vorgeschrieben. Fenster in solchen Büros könnten vergittert oder mit Einbruchsicherungsfolie versehen sein, oder der Raum liegt idealerweise innenliegend ohne Fenster. Rechenzentren haben oft zusätzlich Zugangsschleusen.

• VS-Behältnisse: Wie schon erwähnt, kommen Tresore und spezielle Schränke zum Einsatz. Deren Auswahl (Typ, Klassifizierung) muss den Vorgaben entsprechen und sie müssen ggf. vom BSI oder einer zugelassenen Prüfstelle zertifiziert sein. Schlüssel zu solchen Behältnissen werden in VS-Schlüsselbehältern aufbewahrt – kleine Tresore, auf die nur Befugte Zugriff haben. Alternativ werden Schließsysteme mit Code oder elektronischem Zugriff verwendet, sodass keine physischen Schlüssel kursieren.

• Datensicherheit (IT-Sicherheit): Aus baulich-technischer Sicht gehört hierzu z.B. die Einrichtung getrennter Netzwerke. Ein Unternehmen könnte parallel zum normalen Firmennetz ein vom Internet isoliertes Netz für VS-Daten betreiben. Serverräume für VS-Daten werden besonders geschützt (Zutritt nur für Administrationspersonal mit Ü2, Abschottung nach außen). Zudem müssen technische Abhörsicherungen bedacht werden: in extrem sensitiven Bereichen (z.B. wo „Streng Geheim“ erörtert wird) kommen mitunter abschirmende Maßnahmen (Faradayscher Käfig gegen elektromagnetische Abstrahlung) zum Tragen – allerdings betrifft das vorrangig Behörden oder Militär, in der Industrie nur in Ausnahmefällen.

• Vernichtungseinrichtungen: Vor Ort sollten geeignete Schutzvorrichtungen für die Vernichtung bereitstehen, z.B. Partikelschnitt-Schredder für Papier (mindestens Sicherheitsstufe 4-5 für VS-NfD, Stufe 6 für Vertraulich und höher). Für elektronische Datenträger können Degausser (Entmagnetisierer) oder Datenträger-Schredder vorhanden sein. Diese Geräte gewährleisten, dass keine lesbaren Reste zurückbleiben.

All diese technischen Maßnahmen greifen ineinander, um ein mehrstufiges Schutzkonzept zu bilden. Wichtig ist die Gesamtschau: es nützt z.B. wenig, ein Hochsicherheitsschloss an einer Tür zu haben, wenn die Wand daneben leicht zu durchbrechen ist. Daher orientieren sich die Anforderungen oft an Schutzzielen: Vertrauliche Infos müssen so geschützt sein, dass ein ungewollter Zugriff nur mit erheblichem Zeit- und Kraftaufwand möglich wäre – ausreichend, dass Wachpersonal oder Alarmsysteme reagieren können.

Im Facility Management kommen diese Anforderungen ins Spiel bei Planung, Bau und Unterhaltung von Gebäuden. Schon bei Neubauprojekten eines sicherheitsrelevanten Betriebs müssen Sicherheitsplaner hinzugezogen werden, um Konzepte für Zugangskontrollen, Alarmierung und physische Sicherheit zu integrieren. Im Bestand müssen Umbauten ggf. vorgenommen werden: z.B. Nachrüstung von Sicherheitstüren oder -schränken in bestehenden Büros, Einrichtung von Schleusen oder Umbau eines Raumes zum Sicherheitsraum. Das Facility Management arbeitet hier eng mit dem Sicherheitsbevollmächtigten zusammen, um bauliche Lösungen gemäß VSA-Anforderungen umzusetzen.

Neben Hardware und baulicher Hülle ist der Faktor Organisation entscheidend. Viele Vorgaben des Geheimschutzes betreffen die betrieblichen Prozesse und Verhaltensregeln. Diese fallen teilweise in den Zuständigkeitsbereich von Personalmanagement und Organisationsabteilungen, aber in hohem Maße auch ins Facility Management, da es Abläufe rund um Zugang, Aufenthalt und Schutz auf dem Betriebsgelände gestaltet.

• Zugangsregelungen und Besucherwesen: Das Unternehmen muss klare Prozesse haben, wie Mitarbeiter und Externe Zugang zu Liegenschaften und besonders zu Sicherheitsbereichen erhalten. Besucher (auch kurzfristig anwesende externe Techniker, Reinigungskräfte etc.) dürfen Sicherheitsbereiche nur in Begleitung und nach Anmeldung betreten. Üblich ist ein Besuchermanagement-System, das Namen erfasst, Ausweise ausstellt und kennzeichnet, wo Zugang gestattet ist. Für Bereiche mit VS-Vertraulich und höher gilt in der Regel: kein Zutritt für Personen ohne gültige Ü-Sicherheitsüberprüfung. Das FM organisiert hier z.B. bauliche Separierungen (Besucher warten in Empfangsbereichen) und die Ausgabe von temporären Zutrittskarten mit eingeschränkten Rechten.

• Schlüssel- und Berechtigungsverwaltung: Die Verwaltung von Schlüsseln, Codes und Berechtigungen ist ein sensibler Prozess. Es muss dokumentiert sein, wer welche Schlüssel besitzt, und ein regelmäßiges Schlüsselmonitoring stattfinden. Elektronische Zutrittsysteme erfordern eine stetige Pflege der Benutzerrechte (wenn jemand das Unternehmen verlässt oder die Abteilung wechselt, sind Berechtigungen sofort anzupassen). Hier arbeiten FM und IT oft gemeinsam, um eine integrierte Access Control List aktuell zu halten.

• Reinigung, Instandhaltung und Fremdfirmen: Facility Management koordiniert in der Regel Reinigungspersonal und Handwerker. In Sicherheitsbereichen darf Reinigungspersonal nur unter Aufsicht arbeiten, es sei denn, es ist selbst sicherheitsüberprüft (was selten der Fall ist, da Aufwand und Kosten hoch sind). Daher werden z.B. Büroräume mit VS erst gereinigt, nachdem alle Verschlusssachen weggeschlossen wurden; oder ein Sicherheitswächter begleitet das Reinigungsteam. Ähnliches gilt für Wartungsarbeiten: Wenn etwa ein externer Techniker in den Serverraum muss, darf er dort nicht unbeobachtet agieren, falls dort VS-Daten lagern. Betriebe regeln dies oft durch Begleitscheine und die Verpflichtung, dass immer ein Mitarbeiter des Unternehmens (mit Clearance) anwesend ist. Teil des organisatorischen Geheimschutzes ist somit ein strenges Ausweis- und Begleitwesen für alle betriebsfremden Personen.

• Arbeitsplatzgestaltung und -kontrolle: Eine scheinbar banale, aber wichtige Maßnahme ist die Clean-Desk-Policy für VS-Bereiche. Mitarbeiter müssen sicherstellen, dass keine VS-Dokumente offen herumliegen, wenn Unbefugte anwesend sein könnten. Außerhalb der Arbeitszeiten kommt häufig der Objektschutz (Wachdienst) ins Spiel: Dieser führt Kontrollgänge durch und prüft, ob z.B. Safes verschlossen sind, keine Dokumente offen liegen und Türen gesichert sind. Das Facility Management stellt hierfür oft das Personal oder managt den Dienstleistervertrag mit einer Sicherheitsfirma. Interessant ist, dass diese Wachleute selbst oft nicht die höchsten Überprüfungen haben – sie haben i.d.R. keine eigene Befugnis, VS zu lesen, sollen aber auf Einhaltung der Vorschriften achten. Daher werden Rundgänge so gestaltet, dass Wachen nicht in Dokumente Einsicht nehmen (dürfen), sondern nur deren ordnungsgemäße Verwahrung checken.

• Notfall- und Krisenmanagement: Auch für Notfälle müssen organisatorische Vorkehrungen bestehen: Im Brandfall etwa ist es wichtig, dass Verschlusssachen gesichert oder mitgenommen werden, sofern möglich. Unternehmen erstellen Evakuierungspläne, die berücksichtigen, wer für die Mitnahme oder Zerstörung von VS im Notfall zuständig ist. Beispielsweise könnten VS-Behältnisse feuersicher sein, sodass man sie verschlossen lassen kann. Oder man deponiert versiegelte Notfallbeutel, um schnell Dokumente zu verpacken. Das FM spielt hier eine Rolle in der Planung von Notfallübungen, bei denen auch Geheimschutzaspekte mitgeübt werden (z.B. Umgang mit geheimen Unterlagen während einer Evakuierung). Zudem müssen Unternehmen auf Sicherheitsvorfälle vorbereitet sein – etwa einen Einbruchsversuch oder den Verlust eines Dokuments. Es existieren Meldeketten: der SiBe informiert ggf. binnen 24 Stunden das BMWK und den Verfassungsschutz. All dies sollte in der Organisation verankert und trainiert sein.

• Schulungen und Geheimschutzkultur: Eine der wichtigsten organisatorischen Maßnahmen ist die ständige Sensibilisierung der Mitarbeiter. Geheimschutz lebt von der Aufmerksamkeit jedes Einzelnen. Daher organisieren Unternehmen regelmäßige Schulungen, E-Learnings oder Aushänge („Think Security!“, „Vorsicht, was man spricht – Wände haben Ohren“ etc.). Gerade neue Mitarbeiter, die aus weniger sicherheitsregulierten Branchen kommen, müssen oft erst ein Verständnis dafür entwickeln, warum z.B. bestimmte USB-Sticks nicht benutzt werden dürfen oder weshalb sie vor Konferenzräumen ihre Handys abgeben sollen. Eine Sicherheitskultur, die von oben vorgelebt wird, ist essenziell. Das Facility Management kann hier unterstützen, indem es z.B. Infrastruktur für Schulungen bereitstellt, Erinnerungsschilder im Gebäude anbringt („Nicht bei offener Tür über VS sprechen!“) oder technische Lösungen implementiert (z.B. Abschirmboxen für Handys in Besprechungszimmern).

Zusammengefasst erfordert der materielle Geheimschutz einen ganzheitlichen organisatorischen Ansatz: Technik und Bau bieten die Hülle, aber Regeln und Disziplin füllen sie mit Leben. Großunternehmen müssen interne Prozesse detailliert definieren, oft in Form von Dienstanweisungen oder Handbüchern, um allen Beteiligten klare Handlungsanleitungen zu geben. Diese Prozesse sind keineswegs statisch – sie müssen kontinuierlich an neue Bedrohungen (z.B. Cyberangriffe, Social Engineering Versuche) und an geänderte Rechtsvorschriften angepasst werden. Hier fließen dann auch Erkenntnisse aus dem Wirtschaftsschutz mit ein, die über den reinen staatlichen Geheimschutz hinausgehen (z.B. Schutz von Betriebsgeheimnissen, die ebenfalls ein hohes Gut sind, aber anderer Gesetzgebung unterliegen).

• Aus den vorangegangenen Kapiteln wird deutlich, dass die Umsetzung des Sicherheitsüberprüfungsgesetzes nicht nur eine juristische oder personalwirtschaftliche Angelegenheit ist, sondern tief in die betrieblichen Abläufe hineinwirkt. Insbesondere das Facility Management (FM) – zuständig für die Bewirtschaftung von Gebäuden, Sicherstellung von Infrastruktur und Dienstleistungen am Standort – ist maßgeblich von den SÜG-Anforderungen betroffen. Im Folgenden werden die wichtigsten Auswirkungen und Handlungsfelder für das Facility Management in Großunternehmen betrachtet.

• Planung und Betrieb von Gebäuden: Facility Manager müssen bei Gebäudedesign und -ausstattung die Vorgaben des Geheimschutzes berücksichtigen. In der Planungsphase neuer Gebäude, etwa eines Entwicklungszentrums für Rüstungstechnologie, sind frühzeitig Sicherheitsfachleute einzubinden, um z.B. Schleusen, sichere Konferenzräume oder Trennung von Bereichen vorzusehen.

• Im Betrieb bedeutet dies, dass FM-Abteilungen gemeinsam mit Sicherheitsbeauftragten regelmäßig Sicherheitsaudits in den Gebäuden durchführen: Sind bauliche Schwachstellen vorhanden? Entsprechen Türen und Schließanlagen den Vorgaben? Gibt es dunkle Ecken oder tote Winkel, die ein Risiko bergen? Ggf. muss das FM Nachrüstungen veranlassen (zusätzliche Kameras, Zäune, Sichtschutz).

• Das Raummanagement wird komplexer, da nicht jeder Mitarbeitende in jedem Bereich arbeiten darf. FM-Software (z.B. CAFM-Systeme) können Erweiterungen haben, die Zutrittsberechtigungen je Raum verwalten. So weiß man, wer wo sitzen darf, welche Räume als „Geheimhaltungszone“ klassifiziert sind usw. Die Koordination mit Umzügen und Umbauten wird entsprechend aufwändiger.

• Sicherheitspersonal und -dienste: Das Facility Management ist meist für Werkschutz oder Objektschutzdienste verantwortlich, entweder mit eigenem Personal oder über Sicherheitsdienstleister. Diese Dienste müssen eng auf die Erfordernisse des SÜG abgestimmt sein. Wachleute benötigen ggf. eine gewisse Zuverlässigkeitsüberprüfung, zumindest nach § 34a GewO (für das Bewachungsgewerbe) oder – falls sie kritische Bereiche bewachen – sogar eine Ü2, wenn sie z.B. dauerhaft in einer militärischen Sicherheitszone eingesetzt sind. Das FM muss bei der Ausschreibung von Sicherheitsdienstleistungen solche Voraussetzungen festschreiben.

• Außerdem sind die Dienstanweisungen für das Wachpersonal detailliert auszuarbeiten: Kontrollrouten, was bei Alarm zu tun ist, wie mit aufgefundenen VS-Dokumenten zu verfahren ist (z.B. nicht lesen, sondern dem SiBe melden). Schnittstellen zwischen Werkschutz und Geheimschutzbeauftragtem sind zu etablieren, etwa regelmäßige Treffen, bei denen Vorfälle oder Auffälligkeiten besprochen werden.

• Zugangskontrolle und Besuchermanagement: Wie bereits beschrieben, fallen Aufgaben rund um Zutrittskontrolle typischerweise ins Facility Management. Systeme zum Ausweismanagement (Erstellung von Mitarbeiter- und Besucherausweisen), Drehkreuze, Schranken und Wachposten werden vom FM betrieben. Änderungen durch das SÜG – etwa dass ab jetzt ein bestimmter Bereich nur noch für Ü2-befugtes Personal betretbar sein darf – müssen durch das FM technisch umgesetzt werden (z.B. Programmierung der Schließanlage entsprechend der Personenberechtigungen).

• Auch die Verwaltung der Zugangsdatenbank bedarf besonderer Sorgfalt: Listen der sicherheitsüberprüften Personen müssen aktuell gehalten werden, so dass z.B. eine Person, deren Überprüfung abläuft oder entzogen wurde, automatisch keinen Zutritt mehr erhält. Das FM muss hier eng mit der Personalabteilung und dem SiBe kooperieren, um stets informiert zu sein, wenn jemand sicherheitsempfindliche Tätigkeiten aufnimmt oder beendet.

• Beim Besuchermanagement wird das FM-Regime durch SÜG-Anforderungen strenger: Besucher sind oft mindestens 24 Stunden vorab anzumelden (damit ggf. eine einfache Abfrage gemacht werden kann, ob etwas gegen ihre Person vorliegt), und sie sind immer zu begleiten. Der FM-Empfangsservice hat also zusätzlichen Aufwand, und die Gebäude sind ggf.

• so zu gestalten, dass Besucher gar nicht erst in kritische Bereiche vordringen können (Stichwort: Empfangsschleusen – das FM richtet räumlich so ein, dass ein Empfangsbereich vom Rest abgeriegelt ist).

• Koordination von Dienstleistern und Fremdfirmen: Facility Manager beauftragen viele externe Firmen (Reparaturen, Wartungen, Reinigung, Catering etc.). In einem sicherheitssensiblen Umfeld müssen diese Aufträge unter dem Aspekt Geheimschutz vergeben werden. Das kann bedeuten, dass in Verträgen Sicherheitsklauseln aufgenommen werden (z.B. Verpflichtung auf Geheimhaltung nach § 5 SÜG, auch wenn kein direkter VS-Zugang besteht, aber etwa Kenntnis von Sicherheitsmaßnahmen erlangt werden kann).

• Bei handwerklichen Arbeiten im Hochsicherheitsbereich muss das FM ggfs. darauf bestehen, dass das Fremdfirmenpersonal vorab überprüft wird – zumindest ein polizeiliches Führungszeugnis, wenn nicht gar eine Ü2, falls Arbeiten in streng geschützten Zonen anstehen (z.B. Sanierung in einem geheimen Entwicklungsbüro).

• Realistisch ist eine Ü2 für Handwerker selten, daher plant das FM solche Einsätze sorgfältig: VS-Material wird vorher weggeschlossen oder aus dem Bereich entfernt, ein Sicherheitsmitarbeiter begleitet die Handwerker, und nach Abschluss wird kontrolliert, dass nichts kompromittiert wurde. Dies alles erfordert detaillierte Ablaufpläne, die vom FM erstellt werden (man könnte es als „Musterprozess externer Zugang in Sicherheitsbereich“ bezeichnen). Auch zeitlich müssen Arbeiten so gelegt werden, dass wenige Mitarbeiter vor Ort sind und die Risiken minimiert werden (z.B. außerhalb der Kernarbeitszeit, wenn keine sensiblen Besprechungen laufen).

• Dokumentation und Audit-Unterstützung: Das Facility Management trägt Mitverantwortung dafür, dass die Dokumentation der Sicherheitsmaßnahmen schlüssig ist. Bei behördlichen Überprüfungen (das BMWK kann Audits in den Firmen durchführen) wird auch das Zusammenwirken von baulichen, technischen und organisatorischen Maßnahmen begutachtet. Das FM sollte dafür sorgen, dass es übersichtliche Pläne der Sicherheitsinfrastruktur gibt (Lagepläne mit Sicherheitsbereichen, Kamerastandorten, Alarmzonen), Wartungsprotokolle für sicherheitstechnische Anlagen (z.B. Prüfung von Alarmanlagen, Schlosssystemen) und Nachweise über die Einweisung von Fremdpersonal etc. Diese Unterlagen fließen in die Geheimschutzdokumentation ein, die der SiBe vorhalten muss. Wenn es Abweichungen gibt – etwa zeitweise eine defekte Alarmanlage – muss dies vermerkt und kompensierende Maßnahmen (z.B. zusätzlicher Wachdienst) organisiert werden. Das FM ist hier zentraler Lieferant von Informationen und zugleich Umsetzer von Korrekturmaßnahmen.

• Einfluss auf Arbeitsabläufe und Unternehmenskultur: Insgesamt verändert ein strenges Geheimschutzregime auch die Arbeitskultur in einem Unternehmen. Für das Facility Management ergibt sich u.a., dass es die Belegschaft unterstützen muss, mit den manchmal unbequemen Regeln zu leben.

• Beispielsweise: In einem normalen Unternehmen bekommen Mitarbeiter vielleicht einfach Besuch von Kollegen anderer Abteilungen oder externen Partnern – in einem SÜG-regulierten Betrieb muss der FM sicherstellen, dass Meetingräume für Besuche nur in unkritischen Zonen stattfinden oder dass Besucher vorher freigegeben sind. Das kann den Alltag komplizierter machen. Mitarbeiter dürfen unter Umständen keine elektronischen Geräte (Smartphones, USB-Sticks) in gewisse Bereiche mitnehmen – hier stellt das FM evtl. Schließfächer am Eingang zur Verfügung. All dies hat Einfluss auf die Zufriedenheit der Mitarbeiter, die der FM-Bereich in gewissem Sinne managen muss. Eine transparente Kommunikation (in Zusammenarbeit mit der Sicherheitsabteilung), warum diese Maßnahmen nötig sind, hilft Akzeptanz zu schaffen.

• Zusammengefasst zwingt das SÜG Unternehmen dazu, ihre Facilities als Teil des Sicherheitssystems zu begreifen. Gebäude und Prozesse sind nicht neutrale Arbeitsumgebungen, sondern müssen gezielt gestaltet werden, um Sicherheit zu gewährleisten.

• Für das Facility Management bedeutet dies in der Praxis oft eine Erweiterung des Aufgabenprofils: Zusätzlich zu klassischen Themen wie Flächenmanagement, Kostenoptimierung und Betriebskomfort treten nun Sicherheitsmanagement-Aufgaben. FM-Leiter großer Unternehmen in KRITIS oder der Rüstungsindustrie arbeiten eng mit Sicherheits- und IT-Abteilungen zusammen und benötigen Kenntnisse der einschlägigen Gesetze und Richtlinien. Häufig wird Personal mit Sicherheitsüberprüfung auch im FM benötigt – beispielsweise der Leiter Technisches Facility Management mit Ü2, da er Zugang zu allen Technikzentralen hat, die als kritisch gelten. Stellenanzeigen zeigen, dass z.B. ein Bauingenieur in der Bau-/FM-Abteilung eines Rüstungsbetriebs „Kenntnisse im Umgang mit Verschlusssachen oder Bereitschaft zur Sicherheitsüberprüfung“ mitbringen muss.

• Nicht zuletzt hat die strikte Umsetzung des SÜG Einfluss auf die Resilienz und Reputation eines Unternehmens. Einerseits erhöht sie die Widerstandsfähigkeit gegen Bedrohungen (Spionage, Sabotage) – ein gut geschütztes Unternehmen ist weniger anfällig für Zwischenfälle, die im schlimmsten Fall Produktion oder Dienstleistung lahmlegen könnten. Andererseits erwarten auch Auftraggeber (vor allem staatliche Stellen) diese Professionalität. Ein Unternehmen, das in Sicherheitsfragen nachlässig wäre, würde kaum weitere hochsensible Aufträge erhalten. Insofern trägt das Facility Management durch konsequente Umsetzung von Schutzmaßnahmen auch zum Geschäftserfolg bei, indem es die Voraussetzung schafft, dass das Unternehmen als verlässlicher Partner für sicherheitsempfindliche Projekte gilt.

• Sicherheitsüberprüfungsgesetz (SÜG) – Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen. (Regelt u.a. Begriff der sicherheitsempfindlichen Tätigkeit, Arten der Sicherheitsüberprüfung Ü1–Ü3, Zuständigkeiten, Rechte und Pflichten der überprüften Personen.)

• Bundesverfassungsschutzgesetz (BVerfSchG) – insbesondere § 3, der den Auftrag des BfV im Bereich Geheim- und Sabotageschutz und die Mitwirkung bei Sicherheitsüberprüfungen beschreibt.

• Allgemeine Verwaltungsvorschrift zum personellen Geheim- und Sabotageschutz (SÜG-AVV) – Verwaltungsvorschrift (erschienen im Gemeinsamen Ministerialblatt), die das SÜG präzisiert. Enthält Detailregelungen zu Verfahren, Fristen, Einstufung von Einrichtungen (Definition „lebenswichtige Einrichtung“ etc.) und zur Zusammenarbeit der Behörden.

• Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz – Verschlusssachenanweisung (VSA) – Rechtsverordnung des Bundes (für Bundesbehörden unmittelbar geltend, für Unternehmen über Vertragsklauseln bzw. Zuweisung). Legt materielle Schutzmaßnahmen fest: Klassifizierung, Kennzeichnung, Aufbewahrung, VS-Registratur, Versand, Vervielfältigung und Vernichtung von VS. Neueste Fassung in Kraft seit 1. April 2023.

• Geheimschutzhandbuch (GHB) des Bundesministeriums für Wirtschaft und Klimaschutz – ausführliches Handbuch für Unternehmen, die VS-Aufträge bearbeiten. Enthält praktische Hinweise zur Umsetzung von Geheimschutz in der Wirtschaft, inklusive Musterformularen (z.B. Sicherheitsüberprüfungsantrag, Verpflichtungserklärungen) und Anlagen wie VS-NfD-Merkblatt (Anlage 4 GHB). Aktuelle Ausgabe 2004, fortgeschrieben, Stand: August 2020.

• Sicherheitsüberprüfungsformular (Sicherheitserklärung) – vom Bundesministerium des Innern herausgegebenes Musterformular, das von zu überprüfenden Personen auszufüllen ist (Angaben zur Person, Einwilligungen, etc.).

• Muster-Geheimhaltungsverpflichtung – Vertragliche Verpflichtungserklärung nach § 5 SÜG, die Personen unterschreiben, bevor sie Zugang zu VS erhalten. Bestätigt die Kenntnis der Strafandrohungen bei Geheimnisverrat etc.

• Checkliste „Einrichtung eines VS-Bereiches“ – Hilfsliste zur baulichen und organisatorischen Umsetzung, z.B.: Tür mit Sicherheitsschloss eingebaut? Fenster gesichert? Zutrittssystem programmiert? Alarm getestet? (Solche Checklisten finden sich oft in Schulungsunterlagen oder werden vom BMWK-Sicherheitsforum bereitgestellt.)

• Prozessablauf Sicherheitsüberprüfung – Diagramm oder Beschreibung, wie eine Überprüfung von der Antragstellung bis zur Entscheidung verläuft (inkl. Beteiligung BfV, Beteiligung der mitbetroffenen Person, Bescheiderteilung). Nützlich für Personalabteilungen und SiBe, um interne Bearbeitungswege festzulegen.

• Leitfaden „Vorbeugender personeller Sabotageschutz“ – (beispielsweise vom BMWK-Sicherheitsforum herausgegeben) mit branchenspezifischen Empfehlungen, welche Stellen in KRITIS-Unternehmen als sicherheitsempfindlich einzustufen sind und wie man die Ü2-Anträge vorbereitet.

• VS-NfD Merkblatt (Anlage 4 GHB) – kurze Verhaltensrichtlinie für Mitarbeiter mit Zugang zu VS-NfD: enthält Do’s and Don’ts (z.B. „VS-NfD-Dokumente nicht unbeaufsichtigt lassen“, „Vertrauliches nur auf dienstlichen Geräten bearbeiten“, etc.), das von den Personen gegenzuzeichnen ist.

• Notfallplan VS-Dokumentenverlust – innerbetrieblicher Ablaufplan, wie bei Verlust oder möglicher Kompromittierung von VS zu verfahren ist (Benachrichtigungskette, Durchsuchung, Meldung an Behörden, Incident-Report-Formular).

Diese Gesetze, Vorschriften und Hilfsmittel bilden zusammen den Rahmen, in dem sich Großunternehmen beim Geheim- und Sabotageschutz bewegen. Sie sollten im Unternehmen bekannt und zugänglich sein (in der Regel im Sicherheitsmanagement-System oder in der Dokumentensammlung des SiBe hinterlegt). Eine regelmäßige Überprüfung und Schulung im Umgang mit diesen Unterlagen stellt sicher, dass das Unternehmen stets auf dem aktuellen Stand bleibt und seine Schutzmaßnahmen kontinuierlich verbessert.