Gegenstand und Bedeutung der Unternehmenssicherheit

In Deutschland wird die Gestaltung der Unternehmenssicherheit in Gebäuden stark von gesetzlichen Vorgaben, Normen und Standards beeinflusst. Facility Manager müssen ein breites Spektrum an Rechtsvorschriften einhalten – von Arbeitsschutz über Brandschutz bis Datenschutz – und sich an anerkannten Normen orientieren. Dieser Abschnitt gibt einen Überblick über die wichtigsten Rahmenbedingungen.

Zentral für den sicheren Gebäudebetrieb sind die Pflichten aus dem Arbeitsschutzgesetz (ArbSchG) und der Betriebssicherheitsverordnung (BetrSichV), flankiert von weiteren Gesetzen je nach Branche (z. B. dem Medizinproduktegesetz samt Verordnungen im Klinikbereich).

Das ArbSchG verpflichtet Arbeitgeber, für die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit zu sorgen. Dies beinhaltet insbesondere die Durchführung von Gefährdungsbeurteilungen (§ 5 ArbSchG) und die Ableitung geeigneter Schutzmaßnahmen, die Unterweisung der Mitarbeiter (§ 12 ArbSchG) sowie eine laufende Anpassung der Maßnahmen an veränderte Gegebenheiten. In der Praxis bedeutet dies für Facility Manager, potenzielle Gefahren im Gebäude (von Stolperstellen über Lärmbelastung bis zu Brandgefahren) zu analysieren und präventiv zu entschärfen. Die Einhaltung der Technischen Regeln für Arbeitsstätten (ASR) und Unfallverhütungsvorschriften der Berufsgenossenschaften (DGUV-Regeln) konkretisiert diese Pflichten. FM-Abteilungen setzen oft Arbeitsschutzmanagement-Systeme (AMS, z. B. nach ISO 45001) ein, um systematisch alle Anforderungen umzusetzen und zu dokumentieren.

Eine besonders wichtige Vorschrift ist die Betriebssicherheitsverordnung (BetrSichV). Sie ist eine zentrale Rechtsgrundlage des Arbeitsschutzes speziell im Umgang mit Arbeitsmitteln und Anlagen. Die BetrSichV definiert Pflichten des Arbeitgebers/Betreibers, um sicherzustellen, dass die Verwendung von Maschinen, Werkzeugen und technischen Anlagen keine Gefährdung für Beschäftigte darstellt. Kernpunkte sind: Gefährdungsbeurteilung vor Bereitstellung von Arbeitsmitteln (§ 3 BetrSichV), regelmäßige Prüfung der Arbeitsmittel und überwachungsbedürftigen Anlagen (§§ 14, 15 BetrSichV) sowie Unterweisung der Beschäftigten im sicheren Umgang. Für FM bedeutet dies z. B., dass Aufzüge, Druckbehälter, Heizkessel, Elektroanlagen etc. in vorgeschriebenen Intervallen durch befähigte Personen oder zugelassene Überwachungsstellen geprüft werden müssen. § 15 BetrSichV verlangt vom Betreiber, auf Basis einer sicherheitstechnischen Bewertung Prüffristen für bestimmte Anlagen festzulegen und Prüfungen fristgerecht durchzuführen. Versäumnisse können schwerwiegende rechtliche Konsequenzen haben. In sicherheitsrelevanten Bereichen legen Gerichte einen strengen Sorgfaltsmaßstab an; bei schuldhaftem Verstoß gegen Betreiberpflichten drohen Schadenersatz, Bußgelder und im Ernstfall sogar strafrechtliche Folgen. Es ist Aufgabe des Facility Management, durch vorausschauende Organisation und Dokumentation solches Haftungsrisiko zu vermeiden.

Die Summe aller dieser Pflichten wird unter dem Schlagwort Betreiberverantwortung zusammengefasst. Betreiberverantwortung meint die Gesamtheit der Verantwortlichkeiten, die den Betreiber einer Anlage/Immobilie treffen, inklusive der persönlichen Haftung bei Pflichtverletzung. Im FM-Kontext wird häufig die Delegation dieser Betreiberpflichten an spezialisierte Dienstleister praktiziert (z. B. Prüfungen durch TÜV-Sachverständige, Wartungsverträge mit Fachfirmen). Eine rechtssichere Delegation erfordert jedoch klare Regelungen: Die übertragenen Pflichten müssen exakt beschrieben, geeignete Beauftragte sorgfältig ausgewählt und mit den nötigen Ressourcen und Kompetenzen ausgestattet werden. Andernfalls bleibt die Haftung beim originären Betreiber (Stichwort Organisationsverschulden bei unklarer Delegation). Gewisse Kernpflichten – insbesondere das Veranlassen von Gefährdungsbeurteilungen und die Gewährleistung von Prüfungen – können nicht vollständig delegiert werden und obliegen stets der Unternehmensleitung. Für das Facility Management bedeutet dies, dass man trotz Fremdvergabe stets den Überblick und die Kontrolle behalten muss. Die GEFMA-Richtlinie 190 (Betreiberverantwortung im FM) bietet hierzu einen Leitfaden und betont die Notwendigkeit eines rechtskonformen Organisationssystems.

Neben ArbSchG und BetrSichV sind diverse Spezialgesetze relevant, je nach Art der Großimmobilie: Beispielsweise im Gesundheitssektor das Medizinproduktegesetz (MPG) und die Medizinprodukte-Betreiberverordnung (MPBetreibV) für den Betrieb von medizintechnischen Geräten, im Bereich der Versammlungsstätten die Versammlungsstättenverordnungen der Länder (für Veranstaltungsorte, Stadien etc.), im Industriebereich etwa das Bundesimmissionsschutzgesetz (BImSchG) für Anlagen mit Emissionen, oder das Arbeitsschutzgesetz für kritische Infrastrukturen (BSI-Gesetz) hinsichtlich IT-Sicherheit (siehe Abschnitt 3.3). Auch das Arbeitssicherheitsgesetz (ASiG) spielt hinein, indem es die Bestellung von Fachkräften für Arbeitssicherheit und Betriebsärzten vorschreibt, die FM-Verantwortliche beraten. Schließlich sind die Landesbauordnungen mit ihren Anforderungen an bauliche Anlagen (Standsicherheit, Brandschutz, Fluchtwege etc.) und die Technischen Baubestimmungen (wie DIN-Normen zum Brandschutz) von Bedeutung – diese greifen allerdings schon in der Planung/Bauphase, wohingegen FM sich auf den Betrieb konzentriert.

Zusammenfassend steht der Facility Manager in Deutschland vor einem dichten Netz von rechtlichen Pflichten. Die konsequente Compliance mit diesen Vorschriften ist integraler Bestandteil von Unternehmenssicherheit. Sie bildet die Basis für jedes Sicherheitskonzept: Kein noch so modernes System kann fehlende Rechtstreue ersetzen. Umgekehrt schafft Rechtskonformität (etwa nach BetrSichV) bereits ein hohes Maß an Sicherheit, indem systematisch Gefährdungen erfasst und gemindert werden.

Ergänzend zu Gesetzen spielen Normen, Richtlinien und Standards eine wesentliche Rolle bei der Ausgestaltung von Sicherheits- und FM-Konzepten. Normen sind nicht per se bindend, doch häufig geben sie den Stand der Technik vor und werden in Verträgen oder Vorschriften referenziert. Wichtige Organisationen sind hier DIN (Deutsches Institut für Normung), VDI (Verein Deutscher Ingenieure), ISO (International Organization for Standardization) sowie Branchenverbände wie GEFMA (German Facility Management Association) oder VdS (Verband der Sachversicherer).

Für das Facility Management relevant sind z. B. die europäischen FM-Normen der EN 15221-Reihe (bzw. deren Nachfolger ISO 41000-Reihe). Diese definieren Grundlagen, Begriffe und Qualitätsmaßstäbe des FM. EN 15221-4 etwa betont, dass Arbeitssicherheit und Gesundheitsschutz integrale Bestandteile des infrastrukturellen FM sind (hier spiegelt sich das oben erwähnte ArbSchG in der Norm wider). Die EN 15221-6 bzw. DIN EN 15221-6 behandelt Flächenmanagement und verweist auf Normen wie DIN 277 für Flächenermittlung. Solche Normen sind zwar eher indirekt für Sicherheit wichtig (z. B. richtige Flächenplanung kann Evakuierungen erleichtern), werden aber hier der Vollständigkeit halber genannt.

Im Sicherheitskontext existieren Normen zu fast allen technischen Sicherheitsmaßnahmen: Beispiele sind DIN EN 54 (Brandmeldeanlagen), DIN EN 50131 (Einbruch- und Überfallmeldeanlagen), DIN EN 60839 (Videoüberwachungsanlagen), DIN EN 50518 (Anforderungen an Alarmempfangsstellen/Leitstellen) etc. Für physische Sicherheit gibt es z. B. Normen für einbruchhemmende Bauteile (DIN EN 1627 ff. für Türen/Fenster), für Zutrittskontrollanlagen (ISO/IEC 60839-11) oder Gepäckscanner (EU-Normen für Flughafensicherheit). Brandschutz ist stark normiert: DIN 4102 und DIN EN 13501 (Brandklassifizierung von Baustoffen), DIN 14675 (Planung von Brandmeldeanlagen) usw. Facility Manager müssen diese Normen kennen, um die richtigen technischen Lösungen auszuwählen und Wartung/Prüfung nach Norm sicherzustellen.

Der VDI hat ebenfalls einige einschlägige Richtlinien veröffentlicht. Hervorzuheben ist VDI 3810 „Betreiben und Instandhalten von gebäudetechnischen Anlagen“, die detaillierte Vorgaben zur Betreiberorganisation macht (sie deckt u. a. Prüfungen, Wartungen und Dokumentationspflichten für TGA ab). VDI 3810 betont die Pflicht des sicheren Betriebs technischer Anlagen und weist darauf hin, dass dies Teil der Betreiberverantwortung ist. Weiter gibt es VDI 6010 (für den organisatorischen Brandschutz in Gebäuden) und VDI 6200 (Standsicherheit und bauliche Sicherheitsprüfungen von Bauwerken) – letztere für Bauherren relevant, aber auch für FM z. B. im Brückenbau. VDI 3814 zur Gebäudeautomation standardisiert Begriffe und Architekturen von GA-Systemen, was wiederum für IT-Sicherheit wichtig ist (einheitliche GA-Protokolle erleichtern Sicherungsmaßnahmen). VDI 2552 behandelt Building Information Modeling (BIM), was insofern relevant ist, als BIM alle Daten eines Gebäudes digital verfügbar macht – ein Segen für FM, aber potenziell kritisch, wenn die Daten in falsche Hände geraten (Thema digitale Angriffe). Auch VDMA-Einheitsblätter können eine Rolle spielen, z. B. im Kontext von Instandhaltung und Risiko.

Der VDI hat ebenfalls einige einschlägige Richtlinien veröffentlicht. Hervorzuheben ist VDI 3810 „Betreiben und Instandhalten von gebäudetechnischen Anlagen“, die detaillierte Vorgaben zur Betreiberorganisation macht (sie deckt u. a. Prüfungen, Wartungen und Dokumentationspflichten für TGA ab). VDI 3810 betont die Pflicht des sicheren Betriebs technischer Anlagen und weist darauf hin, dass dies Teil der Betreiberverantwortung ist. Weiter gibt es VDI 6010 (für den organisatorischen Brandschutz in Gebäuden) und VDI 6200 (Standsicherheit und bauliche Sicherheitsprüfungen von Bauwerken) – letztere für Bauherren relevant, aber auch für FM z. B. im Brückenbau. VDI 3814 zur Gebäudeautomation standardisiert Begriffe und Architekturen von GA-Systemen, was wiederum für IT-Sicherheit wichtig ist (einheitliche GA-Protokolle erleichtern Sicherungsmaßnahmen). VDI 2552 behandelt Building Information Modeling (BIM), was insofern relevant ist, als BIM alle Daten eines Gebäudes digital verfügbar macht – ein Segen für FM, aber potenziell kritisch, wenn die Daten in falsche Hände geraten (Thema digitale Angriffe). Auch VDMA-Einheitsblätter können eine Rolle spielen, z. B. im Kontext von Instandhaltung und Risiko.

Eine Besonderheit in Deutschland ist das BSI-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dieses stellt einen umfangreichen Katalog von IT-Sicherheitsmaßnahmen bereit, gegliedert nach sogenannten Bausteinen. Bemerkenswert ist, dass 2023 zwei neue Bausteine eingeführt wurden, die speziell Gebäude betreffen: INF.13 Technisches Gebäudemanagement (TGM) und INF.14 Gebäudeautomation (GA). Das BSI trägt damit dem Umstand Rechnung, dass Gebäudetechnik zunehmend Ziel von Cyberangriffen wird. Die Anforderungen in diesen Bausteinen repräsentieren den aktuellen Stand der Technik und gelten für KRITIS-Betreiber als verbindliche Mindestmaßnahmen. Aber auch für andere Unternehmen empfiehlt das BSI, sich daran zu orientieren. Die Ziele von INF.13 und INF.14 liegen darin, Informationssicherheit als integralen Bestandteil bei Planung, Bau und Betrieb von Gebäudetechnik zu verankern. Das bedeutet praktisch: Schon in der Bauphase sind Sicherheitsaspekte der TGA mitzudenken (z. B. sichere Netzwerke für Gebäudeleittechnik), im Betrieb sind Zugriffe, Updates und Monitoring zu regeln. BSI-Baustein INF.14 fordert z. B. die Erstellung eines Sicherheitskonzepts für die Gebäudeautomation, Risikoanalysen, Definition spezifischer Sicherheitsanforderungen, Auswahl geeigneter Komponenten/Dienstleister, Umsetzung von Sicherheitsfunktionen, kontinuierliche Überwachung und Schulung der Nutzer. Diese Empfehlungen decken sich mit bewährten Vorgehensweisen im Sicherheitsmanagement und werden in Kapitel 5 und 7 wieder aufgegriffen.

DIN-Normen existieren natürlich auch für allgemeine Sicherheitsthemen: etwa DIN ISO 31000 für Risikomanagementprinzipien oder die ISO 14000er Reihe für Umweltmanagement (die indirekt relevant ist, weil z. B. Notfallplanung auch Umweltrisiken adressieren muss). Im FM-spezifischen Bereich gibt es die GEFMA 190, die bereits erwähnt wurde (Betreiberverantwortung), sowie GEFMA 710/720 für Notfall- und Gefahrenmanagement im FM, oder VdS-Richtlinien für Sicherheitsanlagen (da VdS als Sicherheits-Zertifizierer fungiert, z. B. VdS 3403 für Alarmanlagen). Diese Normen und Standards bieten dem Facility Management Orientierungsrahmen und Best Practices, um Sicherheitsmaßnahmen fachgerecht umzusetzen. Sie erleichtern die Planung und reduzieren Haftungsrisiken, da die Einhaltung von Normen im Zweifel als Stand der Technik gewertet wird.

Technisierte Großimmobilien fallen häufig in den Bereich der Kritischen Infrastrukturen (KRITIS). Laut BSI-Definition sind KRITIS "Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Störung nachhaltige Versorgungsengpässe oder Gefährdungen eintreten würden". In Deutschland sind derzeit acht Sektoren als KRITIS definiert: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Abfallentsorgung. Betreiber solcher Infrastrukturen unterliegen speziellen gesetzlichen Pflichten, insbesondere nach dem BSI-Gesetz (BSIG) und der BSI-Kritisverordnung (BSI-KritisV).

Diese schreiben u. a. vor, dass KRITIS-Betreiber angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit treffen müssen (Stand der Technik) und erhebliche Sicherheitsvorfälle dem BSI melden. In der Praxis bedeutet dies oft die Einführung eines ISMS (z. B. nach ISO 27001) und sektorspezifischer Sicherheitsstandards (sog. B3S), welche branchenspezifisch konkretisieren, was "angemessen" ist. Ein Beispiel: Große Krankenhäuser (ab ca. 30.000 vollstationären Fällen/Jahr) gelten als KRITIS im Sektor Gesundheit; sie müssen einen branchenspezifischen Sicherheitsstandard für Krankenhäuser umsetzen, der sowohl Cybersecurity-Maßnahmen als auch Ausfallsicherheit der Klinikinfrastruktur abdeckt.

Neben IT-Sicherheit rückt zunehmend auch die physische Sicherheit und Resilienz von KRITIS-Anlagen in den Fokus der Gesetzgebung. Aktuell (Stand 2025) steht ein neues KRITIS-Dachgesetz vor der Verabschiedung, welches die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER Directive) in deutsches Recht umsetzt. Dieses Gesetz wird über die IT-Sicherheit hinausgehen und holistisch die Aufrechterhaltung kritischer Dienstleistungen adressieren. So ist geplant, dass KRITIS-Betreiber sich registrieren und binnen kurzer Fristen umfassende Resilienzpläne vorlegen müssen, die technische, sicherheitsbezogene und organisatorische Maßnahmen enthalten. Dazu gehört insbesondere der Schutz vor physischen Gefahren wie Sabotage, Terror, aber auch Naturkatastrophen. Der Perimeterschutz – also das Verhindern unbefugten Zutritts zu KRITIS-Geländen – wird ausdrücklich hervorgehoben. Beispielsweise sind Maßnahmen gegen Eindringen, Diebstahl, Vandalismus oder Industriespionage zu treffen, bis hin zur Drohnenerkennung über sensiblen Arealen. Die Zahl der betroffenen Anlagen in Deutschland ist groß: aktuell über 2.000 Objekte bei mehr als 1.000 Betreibern, Tendenz steigend durch neue Sektoren (öffentliche Verwaltung, Raumfahrt).

Für das Facility Management bedeutet dies, dass in bestimmten Gebäuden und Branchen erhöhte Sicherheitsstandards gesetzlich vorgeschrieben sind. FM-Verantwortliche müssen hier eng mit den Sicherheitsbeauftragten und ggf. Behörden zusammenarbeiten, um die gesetzlichen Vorgaben umzusetzen. Beispielsweise wird ein FM-Leiter eines Flughafens die luftseitigen Sicherheitsanforderungen (Fluggastkontrollen, Geländezutrittssysteme) koordinieren, oder ein FM in einem Rechenzentrum die Zutrittssysteme und Notstromversorgung gemäß KRITIS-Vorgaben betreiben und auditieren lassen. Auch die Notfallplanung (z. B. Blackout-Szenarien) wird verstärkt gefordert und vom FM meist erstellt bzw. aktualisiert. Durch die rechtliche Verankerung von Resilienz (siehe 7.3) werden FM-Aufgaben strategischer: Es geht nicht mehr nur um reaktives Wiederherstellen nach Störungen, sondern um proaktives Erhöhen der Robustheit schon im Design und laufenden Betrieb (“resilience by design”). Kapitel 7 behandelt diese Trends ausführlicher.

Zusammengefasst bilden die deutschen Gesetze, Normen und KRITIS-Regeln ein umfassendes Rahmenwerk, das die Gestaltung von Unternehmenssicherheit im Facility Management leitet. Compliance und Best Practice sind zwei Seiten derselben Medaille: Die Einhaltung der Vorschriften schafft die Basis, auf der weiterführende Sicherheitsstrategien aufbauen können.

Ein ganzheitlicher Ansatz bedeutet, Sicherheitsaspekte nicht isoliert zu betrachten, sondern als vernetztes System. In einer Unternehmensimmobilie greifen physische, technische, organisatorische und IT-bezogene Sicherheitsmaßnahmen ineinander und verstärken sich idealerweise gegenseitig. Das Facility Management sollte ein integriertes Sicherheitskonzept verfolgen, das alle Dimensionen berücksichtigt. Im Folgenden werden die vier Hauptdimensionen – physisch, technisch, organisatorisch, IT – näher beleuchtet und ihre Relevanz im FM-Kontext beschrieben.

Physische Sicherheit umfasst alle Maßnahmen zum Schutz von Personen und Vermögenswerten vor unmittelbaren, physischen Bedrohungen. Dazu zählen insbesondere Zutrittskontrollsysteme an Gebäuden und Gelände, Objektschutz durch Sicherheitspersonal (Werkschutz, Empfangsdienste), Perimetersicherung (Zäune, Schranken, Schleusensysteme) sowie bauliche Schutzmaßnahmen (einbruchhemmende Türen/Fenster, sichere Wände, Tresore). Im Kontext von Großimmobilien ist die physische Sicherheit herausfordernd, weil oft unterschiedliche Zonen mit abgestuften Sicherheitsanforderungen existieren. Beispielsweise hat ein Krankenhaus öffentlich zugängliche Bereiche (Eingangshalle), aber auch Hochsicherheitsbereiche (Apothekenlager, IT-Zentralen) – diese müssen mittels Zutrittsberechtigungen differenziert geschützt werden. Ein Flughafen benötigt strikte Zutrittskontrolle zu sicherheitssensiblen Zonen (Rollfeld, Gate-Bereiche), während ein Rechenzentrum strenge Zugangsbeschränkungen rund um die Uhr hat (meist Mehr-Faktor-Authentifizierung und Personenschleusen).

Facility Manager sind typischerweise verantwortlich für die Umsetzung und Aufrechterhaltung solcher Zutritts- und Zugangskonzepte. Sie erstellen ein Sicherheitszonenkonzept, welches definiert, wer welche Bereiche betreten darf (etwa öffentliche Zone, interne Zone, Hochsicherheitszone). Elektronische Zutrittssysteme spielen dabei eine Schlüsselrolle, da sie flexible Berechtigungsvergaben erlauben. Moderne Systeme erlauben etwa zeitlich und räumlich genau festzulegen, welche Person oder Personengruppe Zugang hat, und bei Bedarf Berechtigungen zentral zu entziehen oder anzupassen. Mechanische Schlösser stoßen in komplexen Gebäuden an Grenzen (Verwaltungsaufwand, Schlüsselverluste, keine Protokollierung). Deshalb führt heute kaum ein Weg an elektronischen Schließsystemen mit Karten, Transpondern oder mobilen IDs vorbei. Diese bieten zudem Protokollierungsfunktionen, sodass nachvollziehbar ist, wer wann wo eingetroffen ist – ein wichtiges Feature z. B. bei Ermittlungen nach Zwischenfällen oder für Evakuierungen (Stichwort Bereichszählung bei Feueralarm).

Neben der Zugangskontrolle gehört zur physischen Sicherheit auch der Schutz vor Einbruch und Diebstahl. Facility Manager installieren Alarmanlagen (Einbruchmelder, Glasbruchsensoren, Bewegungsmelder) und Videoüberwachungssysteme in gefährdeten Bereichen. Gerade technisierte Anlagen enthalten oft hochwertige Güter (teure Medizingeräte, IT-Server, Produktionsmaschinen), die Ziel von Diebstahl sein können. Eine Studie erwähnte etwa, dass europaweit vermehrt Endoskopiegeräte aus Krankenhäusern gestohlen werden – hier kann intelligente Videoanalyse an Eingängen Abhilfe schaffen. FM muss also die Schwachstellen analysieren und baulich-technische wie personelle Maßnahmen kombinieren: z. B. Videoüberwachung mit Analysetools, aber auch Bewachung durch Sicherheitsdienst in der Nacht.

Perimeterschutz wird für kritische Standorte immer wichtiger (siehe KRITIS-Dachgesetz Anforderungen). Dazu zählen robuste Einfriedungen, Torsicherung, Fahrzeugbarrieren gegen unbefugtes Eindringen oder Anschläge mit Fahrzeugen, und Geländeüberwachung (Kameras, Bewegungssensorik). In Hochsicherheitsbereichen kommen teils spezielle Sensoren (etwa Bodenradar gegen Tunnel oder Drohnendetektion) zum Einsatz. Das FM ist hier gefragt, passende Lösungen zu integrieren und in Alarmpläne einzubetten, damit z. B. bei Zaunalarm sofort Interventionskräfte reagieren.

Zur physischen Sicherheit gehört schlussendlich auch die persönliche Sicherheit der Mitarbeiter und Besucher im Gebäude – sprich Maßnahmen des Arbeitsschutzes, Evakuierungskonzepte, Brandschutz und Erste Hilfe. Obwohl Brandschutz oft als eigenes Fachgebiet gesehen wird, ist er integraler Bestandteil der Sicherheit: Brandschutztüren, Sprinkleranlagen und Rauchabzüge zählen zu technischen Schutzmaßnahmen, aber die Einhaltung von Fluchtwegvorschriften, die Durchführung von Räumungsübungen und Ausbildung von Evakuierungshelfern sind organisatorisch-personelle Aspekte, die in den Bereich physische Sicherheit fallen. Gerade in komplexen Gebäuden mit hohem Publikumsverkehr (Shopping Malls, Flughäfen) sind gut geplante Evakuierungs- und Notfallkonzepte essentiell, um im Ernstfall Paniken zu vermeiden.

Zusammengefasst setzt physische Sicherheit im FM einen mehrschichtigen Ansatz voraus (Defense-in-Depth): Es sollte für jeden Bereich mindestens zwei Schutzebenen geben (z. B. äußere Umfriedung und Zutrittssystem am Gebäude; oder Schließanlage an Raum plus Videoüberwachung). Alle physischen Sicherheitsvorkehrungen müssen zudem gepflegt und regelmäßig getestet werden (Türschließer funktionieren, Kameras sind aktiv, Wachdienst dreht Runden etc.). FM organisiert diese Wartungen bzw. Kontrollen – was uns zur technischen Sicherheit führt, die eng verzahnt ist.

Der Begriff technische Sicherheit kann zweierlei bedeuten: Zum einen die Sicherheit der technischen Anlagen selbst (dass also keine Gefahren von ihnen ausgehen – dies adressiert die Betriebssicherheit, s. o.), zum anderen den Einsatz technischer Systeme für Sicherheitszwecke. Hier konzentrieren wir uns auf Letzteres, da Ersteres bereits unter Betreiberverantwortung betrachtet wurde. Technische Sicherheit im Sinne des Sicherheitsmanagements umfasst all die Sicherheitstechnik, die in Gebäuden zum Einsatz kommt.

Dazu gehören beispielsweise: Brandmelde- und Löschanlagen, Gefahrenmeldeanlagen (Einbruch, Überfall), Videoüberwachungssysteme (CCTV), Zutrittskontrollsysteme (elektronische Schlösser, Badge-Systeme, biometrische Scanner), Einbruchhemmende Konstruktionen (Alarmglas, Rollgitter mit Sensorik), Notstrom- und USV-Anlagen (zur Aufrechterhaltung kritischer Systeme bei Stromausfall), Sicherheitsbeleuchtung (Notbeleuchtung, Anti-Panik-Licht), Sicherheitsleitstellen bzw. Kontrollräume für das Gebäudemonitoring und vieles mehr.

Das Facility Management ist dafür verantwortlich, diese technischen Einrichtungen fachgerecht zu betreiben und instand zu halten. Bei Brandmeldeanlagen z. B. müssen regelmäßige Funktionstests und Wartungen nach DIN 14675 erfolgen, damit im Ernstfall Detektoren und Sirenen zuverlässig arbeiten. Ähnliches gilt für Notstromdiesel, die oft wöchentlich im Testbetrieb laufen müssen, oder für Löschanlagen, deren Druckversorgung kontrolliert werden muss. Die technische Betreiberleistung von Sicherheitssystemen ist explizit ein Aufgabenfeld des FM. Der Facility Manager stellt also sicher, dass alle sicherheitsrelevanten technischen Systeme rund um die Uhr funktionstüchtig sind und im Alarmfall korrekt auslösen. Dies beinhaltet auch das Störungsmanagement: Wenn z. B. ein Brandmelder defekt ist, muss temporär ein Wachdienst den Bereich verstärkt kontrollieren, bis Reparatur erfolgt ist (das nennt man Ersatzmaßnahme im Sicherheitskonzept).

Gerade in technisierten Großbauten ist die Anzahl solcher Systeme enorm. Ein Flughafen etwa hat Tausende von Rauchmeldern, Hunderte Überwachungskameras, komplex vernetzte Zutrittspunkte und ein zentrales Sicherheitsmanagementsystem (SMS), das alle Alarme zusammenführt. FM nutzt zunehmend digitale Tools, um diese Vielfalt zu beherrschen: Computer Aided Facility Management (CAFM)-Software oder Leitstellensoftware, die Prüf- und Wartungspläne verwaltet, Alarmhistorien dokumentiert und mit Sensorik verknüpft ist. Hier zeigt sich Digitalisierung als Enabler, aber auch als neues Risiko (siehe 7.1).

Ein besonderer Aspekt technischer Sicherheit ist die Gebäudeautomation. Heutige Gebäudeleitsysteme integrieren viele Gewerke (HKL, Beleuchtung, Zugang, Beschallung, Brandsicherheit) und erlauben eine zentrale Steuerung. Aus Sicherheitsoptik ermöglicht dies z. B., im Notfall automatisch bestimmte Aktionen auszulösen – etwa Entriegelung aller Notausgänge bei Feueralarm, Rückmeldung der Brandmeldezentrale an die Aufzugssteuerung (damit Aufzüge in sichere Etagen fahren) oder das Schließen von Rauchabschnitten durch die Gebäudeleittechnik. Resilience by design heißt hier: Systeme so zu verschalten, dass sie im Krisenfall sicher reagieren. FM-Fachleute arbeiten bei der Planung eng mit Brandschutzplanern und Systemingenieuren zusammen, um diese Automatismen festzulegen. Wichtig ist auch, dass bei Stromausfall Notfunktionen bleiben (z. B. Batteriepuffer für Zutrittssysteme oder mechanische Notöffnung).

Andererseits eröffnet die zunehmende Vernetzung der Gebäudetechnik Einfallstore: Oft wurden GA-Systeme früher ohne IT-Sicherheitsgedanken entwickelt, was sie verwundbar macht. Es gibt zahlreiche ältere Steuerungen, proprietäre Protokolle und mangelnde Updates in Gebäudeautomations- und Sicherheitssystemen. Die Folge: Hacker könnten z. B. Klimaanlagen manipulieren, Türsteuerungen lahmlegen oder Sicherheitskameras ausschalten. Das BSI warnt, dass Gebäudetechnik seit Jahren von Cyberkriminellen missbraucht wird. Ein bekanntes Beispiel ist der Hack eines Casinos, bei dem Angreifer über ein smartes Thermometer im Aquarium ins Netzwerk eindrangen. Ebenso bekannt: Ein Cyberangriff auf ein deutsches Stahlwerk, der eine Ofensteuerung sabotierte, was zu physischen Schäden führte (BSI-Lagebericht 2014). Diese Vorfälle zeigen, dass technische Sicherheit immer im Zusammenspiel mit IT-Sicherheit gesehen werden muss – dieses Zusammenspiel wird in Abschnitt 4.4 und 7.1 näher adressiert.

Technische Sicherheit bedeutet schließlich auch, Redundanzen vorzusehen. Hier berührt sich das Thema mit Resilienz. FM sollte technische Infrastruktur doppelt auslegen, wo Ausfälle kritisch wären: z. B. zwei Netzersatzanlagen, zwei Brandmeldeleitungen, redundante Kühlaggregate. Resilienz-by-Design (Abschnitt 7.3) fordert solche Vorkehrungen proaktiv einzuplanen. Ein praktisches Beispiel: Viele Krankenhäuser und Rechenzentren haben mindestens zwei unabhängige Stromzuführungen (von verschiedenen Umspannwerken), um bei Ausfall einer Quelle weiterbetrieben werden zu können – FM koordiniert den Test solcher Umschaltungen regelmäßig.

Zusammengefasst ist technische Sicherheit ein weites Feld, das von klassischer Sicherheitstechnik bis zur Anlagensicherheit reicht. FM muss hier als Integrator agieren, der verschiedene Gewerke (Elektro, Mechanik, IT) zusammenbringt, um ein funktionierendes Sicherheitsnetz zu spannen. Die Qualität der technischen Sicherheit wird letztlich im Alltag erprobt – oder im Störfall, der nie eintreten sollte, aber auf den man vorbereitet sein muss.

Während physische und technische Sicherheitsmaßnahmen oft sichtbar und greifbar sind (Türen, Geräte, Sensoren), bildet die organisatorische Sicherheit das unsichtbare Rückgrat eines Sicherheitskonzeptes. Sie umfasst alle Regelungen, Prozesse und personellen Vorkehrungen, die für Sicherheit sorgen. Organisation ist notwendig, um die technischen und physischen Maßnahmen wirksam werden zu lassen – denn ohne klare Zuständigkeiten und Abläufe verpufft die beste Technik.

• Sicherheitsrichtlinien und -konzepte: Jedes Unternehmen sollte ein schriftliches Sicherheitskonzept haben, das bauliche, technische und organisatorische Maßnahmen zusammenführt. Darin werden Schutzziele definiert (z. B. Schutz vor unbefugtem Zutritt, Schutz vertraulicher Informationen, Schutz vor Feuer etc.) und Verantwortlichkeiten zugewiesen. Ein Sicherheitskonzept für ein Gebäude beschreibt, welche technischen und organisatorischen Maßnahmen umgesetzt werden müssen und dient FM als Handlungsanleitung. In komplexen Organisationen gibt es oft Teilkonzepte (Brandschutzordnung, Werkschutzordnung, IT-Sicherheitsrichtlinie), die alle unter dem Dach der Unternehmenssicherheit koordiniert werden.

• Notfall- und Gefahrenabwehrplanung: Organisatorische Sicherheit zeigt sich besonders in der Vorbereitung auf Notfälle. FM erstellt mit den Sicherheits- und Arbeitsschutzbeauftragten Notfallpläne für Feuer, Bombendrohungen, technische Ausfälle usw. Diese Pläne regeln Alarmierungswege, Evakuierungsprozesse, Krisenstäbe und Wiederanlaufszenarien. Übungen (Feueralarmproben, Evakuierungsübungen, IT-Notfalltests) gehören hier dazu und müssen geplant, durchgeführt und nachbesprochen werden. In kritischen Gebäuden wird zunehmend das Konzept der Resilienzpläne (siehe KRITIS-Dachgesetz) verlangt, die ganzheitlich Gefahren abwehren sollen.

• Zuständigkeiten und Schulungen: Organisatorisch muss geklärt sein, wer im Unternehmen für welche Sicherheitsaufgabe verantwortlich ist. Gerade im Zusammenspiel von FM mit ggf. einer Konzernsicherheit (Unternehmenssicherheitsabteilung) braucht es klare Schnittstellen. Beispiele: Wer erteilt Besucherausweise (FM-Empfang vs. Security)? Wer genehmigt Handwerkerzugang? Wer informiert die Polizei im Ernstfall? – All das sind Festlegungen im organisatorischen Bereich. Ebenso wichtig ist die Schulung aller Beteiligten: Mitarbeiterunterweisungen zu Sicherheit (z. B. Verhalten im Alarmfall, Melden von ungewöhnlichen Beobachtungen), spezielle Trainings für Sicherheitsbeauftragte, Evakuierungshelfer, Ersthelfer etc. gemäß ArbSchG § 12. Sensibilisierung ist ein stetiger Prozess; wie Maximen in der Sicherheitskultur lauten: Security Awareness der Belegschaft verhindert viele Vorfälle.

• Prozesse und Dokumentation: Ein oft unterschätzter Teil der Sicherheit ist die richtige Dokumentation und Prozesssteuerung. Beispielsweise: Wie werden Schließberechtigungen verwaltet (Antragsprozess, Freigaben, regelmäßige Revision der Berechtigungen)? Wie läuft das Management von Fremdfirmen (Zutritt für Wartungsfirmen, Begleitung, Zugangsprotokolle)? Wie ist der Prozess, wenn ein Alarm eingeht (wer bewertet, wer entscheidet Evakuierung, wer informiert Einsatzkräfte)? – Für all diese Abläufe erstellt FM idealerweise Prozessbeschreibungen oder Dienstanweisungen. Die GEFMA 190 empfiehlt bspw. ein systematisches Pflichtenmanagement, um Betreiberpflichten nachverfolgen zu können. Digitale Lösungen, wie spezielle Module im CAFM, können hier unterstützen (z. B. Erinnerungen an Prüfungen, Dokumentation von Unterweisungen etc.).

Organisatorische Sicherheit sorgt auch dafür, Sicherheit und Betriebsablauf in Einklang zu bringen. In einem Gebäude muss ja trotz aller Sicherheitsmaßnahmen ein funktionierender Betrieb gewährleistet sein – Kundenströme in einem Flughafen, Patientenversorgung im Krankenhaus, Produktionsfluss in der Fabrik. Organisation heißt daher oft, Regelungen so zu gestalten, dass sie praktikabel sind. Ein Beispiel: ein Zutrittskontrollprozess, der zu lange dauert, wird umgangen werden. Daher versucht man etwa, effiziente Besucherabfertigungen zu organisieren (Vorabanmeldung, Badge-Ausgabe mit Begleitung) statt jeden Ad-hoc-Besucher lange warten zu lassen. FM hat hier eine vermittelnde Rolle zwischen Sicherheitsanforderung und Nutzerbedürfnis.

Zudem fällt unter organisatorische Sicherheit die Koordination externer Partner: Sicherheitsdienste, Feuerwehr (Brandschutzdienststellen), Polizei (für Objektberatung), Versicherer (fordern teils bestimmte Maßnahmen, z. B. VdS-anerkannte Sprinkler). FM vertritt den Betreiber gegenüber diesen Stakeholdern und muss dafür sorgen, dass alle Akteure im Sicherheitskonzept eingebunden sind.

Nicht zuletzt spielt organisatorische Redundanz eine Rolle: Vertreterregelungen, Schichtpläne für Sicherheitspersonal, Erreichbarkeiten im Notfall. Denn Resilienz bedeutet auch, dass wenn eine Person ausfällt (z. B. Sicherheitschef nicht erreichbar), ein anderer weiß, was zu tun ist.

Organisatorische Sicherheit ist schwer messbar, zeigt ihren Wert jedoch in Krisensituationen: Gut geschulte Mitarbeiter und eingeübte Abläufe können Schäden begrenzen oder verhindern. Umgekehrt deckt fast jeder größere Zwischenfall Lücken in Organisation auf. Daher ist es ratsam, im FM regelmäßig Sicherheitsaudits und Drills durchzuführen, um die organisatorischen Vorkehrungen auf die Probe zu stellen. Insgesamt bildet die Organisation das „Immunsystem“ der Unternehmenssicherheit: viel Vorbeugung, still im Hintergrund wirkend, aber unverzichtbar für die Gesamtwirkung.

Die informationstechnische Sicherheit, oft synonym mit IT-Sicherheit oder Cyber-Sicherheit, hat in den letzten zwei Jahrzehnten rasend an Bedeutung gewonnen – auch im Kontext von Gebäuden und Facility Management. Sie zielt darauf ab, Verfügbarkeit, Vertraulichkeit und Integrität von Informationen, IT-Systemen und digitalen Prozessen zu schützen. Für Facility Manager ist dies ein vergleichsweise neues Aufgabenfeld, da früher Gebäude weitgehend „analog“ gemanagt wurden. Heute jedoch durchdringen IT-Systeme alle FM-Bereiche: vom digitalen Schließsystem, über Gebäudeleittechnik bis zur cloudbasierten CAFM-Software. Zudem betreiben viele Unternehmen in ihren Gebäuden geschäftskritische IT-Infrastrukturen (Serverräume, Datennetze), die ebenfalls Schutz bedürfen.

• Gebäudeautomations- und Steuerungssysteme (OT): Wie in Abschnitt 4.2 ausgeführt, sind moderne Gebäude mit Netzwerken und Automationsstationen ausgestattet. Diese operativen Technologien müssen gegen Angriffe geschützt werden. Dazu gehört die Segmentierung der Netzwerke (Trennung von GA-Netz und Büro-IT), Absicherung von Fernzugängen (VPN, Zwei-Faktor-Authentisierung für Dienstleister, Monitoring von Remote-Zugriffen), regelmäßige Sicherheitsupdates für Steuerungssoftware und Einspielen von Patches, sofern möglich. Da klassische ICS/SCADA-Systeme oft nicht einfach patchbar sind (man kann nicht mal eben eine Brandmeldezentrale rebooten für ein Update), kommt dem Vulnerability-Management besondere Bedeutung zu: Schwachstellen müssen identifiziert, bewertet und ggf. durch andere Maßnahmen kompensiert werden. Das BSI empfiehlt hier ein aktives Schwachstellenmanagement, um bekannte Lücken (CVE) in z. B. Klimasteuerungen oder Aufzugsleitständen rechtzeitig zu erkennen.

• Klassische IT im Gebäude: Das umfasst die Büro-Netzwerke, WLANs, Server in Technikräumen, aber auch die Daten in CAFM- oder ERP-Systemen, die FM nutzt. Ein Verlust oder Manipulation dieser Daten (z. B. Wartungsnachweise, Schließpläne) kann Sicherheitslücken reißen. Standardmaßnahmen sind hier wie in jedem Unternehmensnetzwerk: Firewalls, Zugriffskontrollen, Backup und Notfallwiederherstellung, Antivirus, Intrusion Detection. Speziell im FM ist die Integration der Systeme ein Thema: Oft gibt es Schnittstellen zwischen z.B. Zutrittskontrollsoftware und Personaldatenbank. Diese Schnittstellen müssen sicher gestaltet sein (Authentifizierung, Protokollierung), damit kein unautorisierter Zugriff von einer Komponente zur anderen erfolgen kann.

• Physische IT-Sicherheit: Überschneidung mit physischer Sicherheit – gemeint ist der Schutz der IT-Hardware vor physischen Einwirkungen. FM stellt z. B. sicher, dass Serverräume abschließbar sind, Zutritt nur für Berechtigte möglich ist und Umgebungsrisiken minimiert werden (Klimakontrolle, Brandschutz, keine Wasserleitungen über dem Rechenzentrum etc.). In KRITIS-Umgebungen gibt es hierfür oft genaue Vorgaben. Auch Zugangskontrollen für externe IT-Techniker (etwa bei Hardwaretausch) fallen in dieses Gebiet.

Eine besondere Herausforderung ist die Zuständigkeitsverteilung: Traditionell gibt es eine IT-Abteilung, die für Büro-IT zuständig ist, und eine FM-Abteilung, die die Gebäudeautomation betreut. Die Security-Abteilung wiederum kümmert sich um Objektschutz. Diese Silostruktur ist bei Cyber-physischer Konvergenz problematisch. Es existieren oft viele Zuständigkeiten, aber Cybersecurity ist kaum involviert in Gebäudetechnik. Das kann dazu führen, dass z. B. die IT nichts von einem neuen internetfähigen Kühlsystem weiß, das FM installiert hat – bis ein Vorfall passiert. Daher fordern Experten eine engere Zusammenarbeit: IT-Sicherheit muss auch im FM-Bereich greifen. Einige Unternehmen haben bereits Chief Information Security Officers (CISO), die dann auch für OT-Sicherheit mitverantwortlich sind.

Im Rahmen ganzheitlicher Unternehmenssicherheit sollte FM die IT-Grundschutz-Empfehlungen (siehe INF.13/INF.14) umsetzen oder mit der IT-Abteilung zusammen angehen. Konkrete Maßnahmen aus dem BSI-Katalog umfassen u. a.: Erstellung eines Informationssicherheitskonzepts für die Gebäudetechnik, Risikoanalysen für GA und IT im Gebäude, definieren von Sicherheitsanforderungen an Dienstleister (z. B. Vertrag, dass Hersteller von Aufzuganlagen Sicherheitsupdates liefern), Monitoring der GA-Netzwerke auf Anomalien, Aufbau eines zentralen Asset-Inventars mit allen Komponenten und deren Firmwareständen, regelmäßige Zugangskontrollen und Logging für Fernwartung sowie Schulung der Betreiber und Nutzer in Cyber-Hygiene.

Gerade die Sensibilisierung (Awareness) ist wichtig: Ein Beispiel aus der Praxis – eine Steuerungsanlage wird oft via TeamViewer vom Hersteller gewartet. Wenn der FM diese Session nicht überwacht, könnte ein Angreifer via kompromittierte TeamViewer-Zugangsdaten eindringen. Daher die Empfehlung: Remote-Zugänge nur über sichere Jump-Hosts erlauben und Aktivitäten protokollieren bzw. live beobachten.

Auch Datenschutz sei erwähnt: In Gebäuden werden viele personenbezogene Daten erfasst (Ausweisdaten von Besuchern, Videobilder, Zutrittslogs). FM muss hier mit dem Datenschutzbeauftragten Konzepte zur DSGVO-konformen Verarbeitung ausarbeiten (Speicherfristen für Videos, Hinweisbeschilderung etc.). Datenschutzverletzungen können ebenfalls Sicherheitsrelevanz haben (z. B. wenn Zutrittslisten öffentlich werden).

Insgesamt lässt sich sagen: Informationstechnische Sicherheit ist in der Unternehmenssicherheit nicht mehr wegzudenken. Für Facility Manager heißt das, sich Kompetenzen in diesem Bereich aufzubauen oder Experten hinzuzuziehen. Safety und Security by Design müssen heute auch IT-Security by Design umfassen, wenn Gebäude entworfen und betrieben werden. Andernfalls können Angriffe über die IT sämtliche physischen Barrieren umgehen – etwa wenn ein Hacker die Zutrittskontrolle überlistet und Türen öffnet oder die Klimaregelung sabotiert, was in bestimmten Umgebungen (Rechenzentrum, Lager mit temperaturempfindlicher Ware) Millionenschäden verursachen kann. Beispiele aus 2023/24, wie Brandanschläge auf Strominfrastruktur oder Aktionen von Aktivisten („Klimakleber“ an Rollfeldern), zeigen, dass Angreifer sowohl digital als auch analog vorgehen – oft kombiniert. Dem kann nur ein integrierter Sicherheitsansatz begegnen, in dem FM, IT und Security zusammenwirken.

Facility Management nimmt in Bezug auf Unternehmenssicherheit eine Schlüsselrolle als Schnittstellen- und Umsetzungspartner ein. Während strategische Vorgaben zur Sicherheit oft vom Top-Management oder einer Konzernsicherheitsabteilung kommen, liegt die praktische Umsetzung und der Betrieb von Sicherheitsmaßnahmen häufig in den Händen des FM, insbesondere bei großen Liegenschaften.

Ein Facility Manager agiert gewissermaßen als Bindeglied zwischen den Sicherheitsanforderungen des Gebäudenutzers und der technischen Gebäudeausrüstung. Beispielsweise hat ein Mieter (etwa eine Bankfiliale in einem Gebäude) bestimmte Sicherheitsvorgaben – der FM muss diese auf Gebäudeebene realisieren, indem er die technische Gebäudesicherheit entsprechend anpasst. Gerhard Link beschreibt den Sicherheitsberater im Bereich Gebäudesicherheit als Vermittler zwischen FM-Dienstleister und Gebäudenutzer mit eigener Sicherheitsphilosophie. In der Praxis bedeutet das: Das FM-Team muss die Sicherheitsprozesse des Nutzers verstehen (z. B. Zugangsrichtlinien eines Rechenzentrumsbetreibers) und sie mit den Möglichkeiten der Gebäudetechnik in Einklang bringen. So werden etwa Sicherheitszonen eingerichtet und technisch ausgestattet (mit Zutrittskontrolle, Überwachung etc.), um den vom Nutzer definierten Schutzbedarf zu erfüllen.

Idealerweise verfügt der Facility Manager selbst über Expertise im technischen Sicherheitsbereich und erkennt die Zusammenhänge zwischen Prozessen des Nutzers und der Gebäude-Sicherheitsinfrastruktur. In der Realität wird bei besonders sicherheitskritischen Vorhaben oft zusätzlich ein externer Sicherheitsexperte hinzugezogen, vor allem in Planungs- und Bauphasen von Neubauten oder größeren Umbauten. Dennoch bleibt FM in der täglichen Nutzung die konstante Instanz, welche die Sicherheitsstrategie am Objekt lebt.

Bereits in der Bauphase ist Facility Management involviert, um Sicherheitseinrichtungen zu konzeptionieren, planen und zu errichten. FM bringt Praxiswissen ein, welche Lösungen im Betrieb handhabbar sind. Typische Beiträge des FM in Planungsprojekten: Mitwirkung bei der Layout-Planung von Sicherheitszonen (z. B. Schleusenanordnung), Spezifikation von technischen Anlagen (Wahl eines Zutrittssystems, Anzahl und Position von Kameras, Anforderungen an Sicherheitsraum für Leitstelle), Berücksichtigung von Betreiberbelangen (z. B. Zugang für Wartungsteams). Während Architekten und Fachplaner nach baulichen und normativen Gesichtspunkten planen, achtet FM auf Betrieb und Instandhaltung. Das ist wichtig, damit Sicherheitsfeatures später nicht aufgrund von Bedienproblemen oder Kosten ausgehebelt werden.

In der Implementierungsphase (Übergang Bau zu Betrieb) übernimmt FM oft die Projektkoordination für die Einrichtung von Sicherheitssystemen. Dazu gehört, Abnahmen der sicherheitstechnischen Anlagen durchzuführen, Mitarbeit bei behördlichen Abnahmen (z. B. Bauabnahme mit Brandschutz) und das Aufsetzen aller Betriebsprozesse (Wartungsverträge, Alarmorganisation, Dokumentation). FM stellt sicher, dass von Anfang an z. B. ein Wachdienst bestellt ist, dass Schlüssel und Berechtigungen vergeben sind und dass die Sicherheitsanlagen im Gebäudeleitstand integriert sind.

Ein besonderes Thema ist die Übergabe der Sicherheitsdokumentation: Sicherheitskonzepte, Gefährdungsbeurteilungen (falls z. B. Explosionsschutzdokumente erforderlich sind), Pläne der Sicherheitsanlagen – all das muss beim FM verfügbar sein. Nicht selten hapert es daran, wenn Planung und Betrieb getrennt sind; doch ein gut eingebundenes FM fordert diese Unterlagen aktiv ein.

Im laufenden Betrieb ist FM der Hüter der Sicherheitseinrichtungen. Es trägt die Verantwortung, dass alle Sicherheitsmaßnahmen 24/7 funktionieren und im Alltag greifen.

• Überwachung und Steuerung: In vielen Großobjekten betreibt FM eine Sicherheitszentrale oder Leitwarte, in der Meldungen von Brandmeldern, Einbruchsensoren, Aufzügen etc. auflaufen. Geschultes FM-Personal (oder beauftragte Sicherheitsdienst-Mitarbeiter) überwacht diese Systeme und leitet bei Alarm die vorgesehenen Schritte ein (z. B. Feuerwehr rufen, Interventionsdienst schicken, Entwarnung geben).

• Instandhaltung und Prüfungen: FM erstellt Wartungspläne für alle sicherheitsrelevanten Anlagen und sorgt für deren Einhaltung (Eigenleistung oder Fremdfirma). Dazu gehört auch, externe Prüftermine zu koordinieren (TÜV-Prüfung von Aufzügen, Sachverständigenprüfung von Sprinkleranlagen, Funktionsprüfungen der Sicherheitsbeleuchtung etc.). Alles wird dokumentiert, um im Haftungsfall Nachweise zu haben.

• Anpassung und Optimierung: Sicherheitsanforderungen sind nicht statisch. FM muss fortlaufend Anpassungen vornehmen, sei es durch Änderungsmanagement (z. B. Umprogrammierung der Zutrittsmatrix bei Organisationsänderungen, Erweiterung der Videoüberwachung bei neuem Risikobereich) oder durch Optimierung (etwa Reduzierung von Falschalarmen durch bessere Sensorjustierung). Ein Beispiel: In der Uni-Klinik Köln wurde eine eigene Medizintechnik-Abteilung gegründet, die Änderungen an vernetzten Medizinprodukten steuert und Prozessabläufe überwacht. Dies kann man auf Sicherheit übertragen – FM muss Änderungen an Sicherheitsprozessen steuern und überwachen, um Konsistenz zu gewährleisten.

• Koordination des Sicherheitspersonals: Infrastrukturelles FM beinhaltet oft die Führung des Security-Personals vor Ort (Empfang, Wachdienst, Kontrollgänge). FM erstellt Dienstpläne, definiert Aufgaben (Rundgänge, Schließdienste, Zutrittsausweiserstellung) und kontrolliert die Leistungserbringung. In sensiblen Bereichen stellt FM sicher, dass das Personal entsprechend überprüft und qualifiziert ist (z. B. Zertifizierungen nach §34a GewO, falls erforderlich).

• Sicherheitsberichterstattung: FM berichtet an die Unternehmensleitung über sicherheitsrelevante Vorgänge – z. B. monatliche Reports über Vorkommnisse (Diebstahl, Unfälle), Status der Prüfungen, offene Risiken. Diese Transparenz ist Teil der Governance in der Unternehmenssicherheit und hilft, Entscheidungen (Investitionen, Personalbedarf) zu begründen.

Wie in Abschnitt 3 beschrieben, trägt FM de facto die Betreiberverantwortung für Sicherheitsbelange. Das bedeutet, FM ist verlässlich in der Verantwortung, dass alle gesetzlichen Pflichten (Arbeitsschutz, Technikprüfungen etc.) erfüllt werden. Die Unternehmensführung delegiert diese Pflichten typischerweise an den Leiter FM oder vergleichbare Position. Damit hat FM eine Garantenstellung: Versäumnisse können Organisation und einzelne verantwortliche Personen haftbar machen. Dies unterstreicht, warum FM im Sicherheitskontext so kritisch ist – es reicht nicht, ein Konzept auf dem Papier zu haben, es muss im Alltag gelebt werden. Und diese Alltags-Verantwortung liegt zu großen Teilen beim FM-Team vor Ort.

• der Geschäftsleitung (um Ressourcen und Rückendeckung zu bekommen, z. B. Budget für Sicherheitsmaßnahmen, Freigabe für bauliche Änderungen),

• der IT-Abteilung (für alle Punkte, wo Gebäude-IT betroffen ist – Access Control Systeme laufen auf Servern, CCTV speichert in Netzwerken usw., hier ist Zusammenarbeit Pflicht),

• der Personalabteilung (im Arbeitsschutz-Bereich, z. B. Organisation von Sicherheitsunterweisungen oder Umgang mit Mitarbeiterdaten bei Zutrittssystemen),

• dem Datenschutzbeauftragten (Videoüberwachung, Zutrittslogs – alles datenschutzrelevant),

• den Nutzern/Mietern des Gebäudes (um deren Sicherheitsbedürfnisse zu kennen und umzusetzen, sowie um sie über Sicherheitsregeln zu informieren),

• ggf. einer zentralen Konzernsicherheit oder HSE-Abteilung (Health, Safety & Environment), falls vorhanden, die oft die Strategie oder Policies vorgibt, während FM die operative Umsetzung macht.

• Behörden (Feuerwehr für Übungen und Begehungen, Bauaufsicht für Brandschutz, Gewerbeaufsicht für Arbeitsschutzüberprüfungen, Polizei für Objektschutzberatung und im Notfall),

• Dienstleistern (Wartungsfirmen für Sicherheitstechnik, Sicherheitsdienstleister, Berater für spezielle Themen wie Sprengschutz, TÜV und Sachverständige),

• Versicherungen (die Anforderungen an Sicherheit stellen können, z. B. Alarmanlage als Bedingung für Versicherungsschutz; im Schadensfall arbeitet FM bei Aufklärung mit).

In kritischen Immobilien werden oft Sicherheitsausschüsse eingerichtet, wo all diese Stakeholder regelmäßig zusammenkommen. FM ist dort zentral vertreten, um Themen wie Gefahrenanalysen, Maßnahmenumsetzung und Vorfälle zu besprechen.

Ein nicht zu vernachlässigender Aspekt ist, dass FM auch stets die Wirtschaftlichkeit im Blick haben muss. Sicherheitsmaßnahmen verursachen Kosten, und FM muss oft zwischen Kostendruck und Sicherheitsniveau vermitteln. Effizienzsteigerung im Sicherheitsbetrieb ist daher ein Thema – z. B. durch technische Innovationen (automatisierte Überwachung spart Personal, KI-Videoauswertung erhöht Abdeckung), durch risikoorientierten Mitteleinsatz (teure Maßnahmen nur dort, wo Risiko hoch ist, statt Gießkannenprinzip) oder durch gute Vertragsgestaltung mit Dienstleistern. Ein resilienter, sichere Betriebsführung darf jedoch nicht primär Opfer von Sparzwängen werden, sonst drohen im Nachhinein hohe Verluste durch Zwischenfälle. Hier hilft dem FM, wenn es mittels Kennzahlen den Nutzen von Sicherheitsinvestitionen darstellen kann. In der Literatur wird dazu an Konzepten gearbeitet, um Sicherheitsinvestitionen ökonomisch zu rechtfertigen (z. B. Performance Measurement der Unternehmenssicherheit nach Kaack 2017).

Zusammengefasst lässt sich die Rolle des FM wie folgt charakterisieren: Der Facility Manager ist der operative Sicherheitsmanager für das Gebäude. Er übersetzt Richtlinien in Betrieb, erkennt und meldet Risiken im Alltag, hält die Schutzmechanismen am Laufen und verbessert sie kontinuierlich. Ohne engagiertes FM bleibt ein noch so gutes Sicherheitskonzept auf dem Papier wirkungslos.

Großimmobilien mit hoher Technisierung sind sowohl vielfältigen Risiken ausgesetzt als auch schwierig zu handhaben. In diesem Kapitel werden typische Risiken und besondere Herausforderungen in den beispielhaften Bereichen Krankenhaus, Flughafen, Rechenzentrum und Industrieanlage analysiert. Diese vier stehen stellvertretend für unterschiedliche Schwerpunkte, teilen aber die Komplexität als gemeinsamen Nenner. Dabei wird jeweils aufgezeigt, wie die im vorherigen Kapitel beschriebenen Sicherheitsaspekte konkret angewendet oder auf die Probe gestellt werden.

Krankenhäuser – insbesondere Kliniken der Maximalversorgung und Universitätskliniken – sind äußerst komplexe Einrichtungen. Sie gehören zum KRITIS-Sektor Gesundheit, sodass besondere Aufmerksamkeit auf ihrer Betriebs- und Ausfallsicherheit liegt.

• Technikintensive Patientenversorgung: Moderne Kliniken betreiben zehntausende Medizinprodukte (Überwachungsmonitore, Infusionspumpen, bildgebende Geräte, Laborautomaten etc.). Beispielsweise unterhält die Uniklinik Köln über 25.000 Medizingeräte, was eine eigene Medizintechnik-Abteilung rechtfertigt. Diese Geräte müssen sicher betrieben werden, oft vernetzt in IT-Systeme integriert (Stichwort Telemetrie, elektronische Patientenakte). Das Risiko von Gerätedefekten oder -ausfällen ist allgegenwärtig und kann unmittelbar Leben gefährden. FM/Hospitaltechnik muss hier eng mit der medizintechnischen Abteilung arbeiten, um Wartung, Updates und Notfallkonzepte (z. B. Backup-Geräte) zu koordinieren.

• Stromversorgung und Klima: Krankenhäuser sind auf unterbrechungsfreie Versorgung mit Strom, medizinischen Gasen, sterilem Equipment etc. angewiesen. Ein Blackout oder Klimaausfall kann nach wenigen Minuten katastrophal werden (OP-Säle, Intensivstationen). Daher sind mehrstufige Notstromkonzepte vorgeschrieben: i. d. R. Batterie-USVen für Sofortüberbrückung, Dieselaggregate für längere Zeit, und regelmäßige Testläufe. Trotzdem bleibt Restrisiko – z. B. war 2019 ein Krankenhaus in Nordrhein-Westfalen stundenlang ohne Strom durch Diesel-Notstromversagen. FM muss diese Systeme daher hoch verfügbar halten. Klima/HVAC-Ausfall ist ebenso kritisch (z. B. für Medikamentenkühlung, im OP darf Temperatur/RLF nicht zu stark schwanken). Redundanz und ständige Überwachung dieser TGA sind eine Kernaufgabe.

• Infektions- und Arbeitssicherheit: Krankenhäuser haben zusätzlich biohazard-Risiken (hochinfektiöse Patienten, multiresistente Keime). Sicherheitskonzepte umfassen hier Isolationseinheiten, Schleusen und strikte Zutrittsregelungen für bestimmte Bereiche (z. B. Intensivstation, Labor, Radiologie wegen Strahlenschutz). Organisatorisch sind Hygieneprotokolle teils wichtiger als klassische Security-Aspekte. Aber auch Gewaltprävention ist ein Thema – Angriffe auf Personal oder zwischen Patienten kommen vor, so dass Sicherheitspersonal oder Alarmsysteme (Personennotruf) erforderlich sein können.

• Brandschutz und Evakuierung: Aufgrund der eingeschränkt mobilen Patienten ist ein Krankenhaus ein Alptraum im Brandfall. Evakuierungen müssen sehr gut vorbereitet sein, da viele Patienten nicht selbstständig rauskommen. Die Brandschutzkonzepte setzen auf Verhindern von Bränden (z. B. striktes Rauchverbot, Brandwachen bei Bauarbeiten) und auf horizontale Evakuierung (Verlegung in sichere Nachbarbereiche statt Totalräumung). FM hat hier die Herausforderung, Personal laufend zu schulen, Übungen in kleinen Schritten durchzuführen und mit Feuerwehr eng zu kooperieren.

• Kombination aus öffentlich und hochsicher: Ein Krankenhaus muss einerseits offen und zugänglich sein (Notaufnahme, Besuchszeiten, öffentliche Cafeteria), andererseits sehr sensible Zonen schützen (Apotheke mit Betäubungsmitteln, EDV-Zentrale mit Patientendaten, Geburtstation – Kindesentführungsrisiko). Dies erfordert ausgefeilte Zutrittskontrollkonzepte mit unterschiedlicher Security-Layer. Einige Kliniken setzen inzwischen RFID-Tracking für Neugeborene ein. Das FM muss die Balance schaffen zwischen gastfreundlicher Atmosphäre und notwendiger Strenge in bestimmten Bereichen.

• Cybersecurity: Krankenhäuser sind zunehmend Ziel von Ransomware-Angriffen und Hacking, weil ein IT-Ausfall (z. B. Ausfall der digitalen Patientenakten oder Labor-IT) den Betrieb lähmt. Beispiele aus Deutschland (wie Düsseldorf Uniklinik 2020) zeigen die Gefahr. Hier überschneiden sich IT und FM: FM kümmert sich um die medizinischen Geräte-Netzwerke (diese laufen oft im Hausnetz) und den Schutz der Gebäudeautomation (z. B. OP-Klimasteuerung). Normativ ist mit DIN EN 80001 ein Risikomanagementprozess definiert, damit der Betreiber seine Sorgfaltspflichten beim Betrieb vernetzter Medizinprodukte erfüllt. Dieses Regelwerk zwingt FM/Medizintechnik, vor der Vernetzung von Geräten Risiken abzuwägen und Maßnahmen zu ergreifen (z. B. VLAN-Abtrennung, Firewall zwischen Medizinnetz und Büronetz). Trotzdem bleiben Krankenhäuser tendenziell verwundbar, da sie ein heterogenes Geräteumfeld und begrenzte IT-Ressourcen haben.

Zusammengefasst sieht sich das FM im Krankenhaus einer extremen Breite an Sicherheitsanforderungen gegenüber – vom Schutz kritischer Infrastrukturen (Strom/Gas/Klima) über klassischen Brandschutz bis zu High-Tech-Risiken (vernetzte Medizingeräte). Handlungsempfehlungen hier sind eine sehr enge Verzahnung von Technischem Facility Management, IT-Abteilung und medizinischer Abteilung, regelmäßige Risikoanalysen (z. B. Ausfallsimulationen) und striktes Umsetzen der Betreiberpflichten (Medizinprodukte rechtzeitig prüfen, Gebäude nicht überbelegen etc.).

Flughäfen sind sicherheitsmäßig eine der am höchsten regulierten zivilen Infrastrukturen. Nicht zuletzt wegen Terrorgefahren (Erfahrungen wie 9/11, Anschläge in Terminals) herrschen hier besonders strikte Vorgaben, die in EU- und nationalen Luftsicherheitsgesetzen verankert sind.

• Luftsicherheitsvorgaben: Es gibt gesetzliche Sicherheitsbereiche (Luftseite vs. Landseite). Zutritt zur Luftseite (dort wo Flugzeuge sind oder abgefertigt werden) ist nur nach Sicherheitskontrolle möglich. FM hat zu gewährleisten, dass baulich und organisatorisch diese Trennung konsequent ist – z. B. Schleusen an jedem Zugang, Überwachung der Zäune im Außenbereich, Alarmsysteme bei jeder Notfalltür. Außerdem unterliegen alle Mitarbeiter mit Zugang strengen Zuverlässigkeitsüberprüfungen. FM muss diese Prozesse kennen, da auch Techniker, Reinigungskräfte etc. betroffen sind (Hintergrund: es darf kein unüberwachter Gegenstand an Bord gelangen). Die Herausforderung ist, den hohen Durchsatz an Personen und Waren mit den Kontrollen zu vereinbaren. Lange Wartezeiten oder Staus in Abläufen (z. B. wenn eine Sicherheitsschleuse ausfällt) wirken sich sofort auf den Flugbetrieb aus. FM muss also für Redundanz sorgen: mehrere Schleusen, schnelle Störungsbehebung, Pufferpersonal.

• Große Menschenmengen & öffentliches Areal: Flughäfen sind quasi kleine Städte: Einkaufspassagen, Restaurants, Parkhäuser und viele Besucher. Das Crowd Management ist daher ein Thema – Sicherheit heißt hier auch, Massenbewegungen kontrolliert zu lenken (z. B. im Fall einer Teil-Evakuierung oder bei Panik). Notfallpläne für Amok, für Bombendrohungen oder Entschärfungen sind in der Schublade. FM spielt mit bei Evakuierungsübungen, spricht sich mit Polizei/Einsatzleitung ab. 2016 etwa musste der Flughafen München nach einer Sicherheitsverletzung komplett geräumt werden – ein logistischer Albtraum und immenser wirtschaftlicher Schaden. Lehre: FM muss für Krisen, die durch Sicherheitsvorfälle entstehen (z. B. unklarer Gegenstand), gerüstet sein, um geordnet und schnell reagieren zu können.

• Technische Anlagen in Fülle: Flughäfen verfügen über eine Vielzahl gebäudetechnischer und betriebstechnischer Anlagen: von Gepäckförderanlagen, Fluggastbrücken, Aufzügen über komplexe Beleuchtungssysteme bis zu Startbahn-Befeuerung, Tower-Technik etc. Jede davon hat sicherheitskritische Implikationen (Versagen kann Betrieb oder Sicherheit gefährden). FM muss hochgradig proaktiv Instandhaltung betreiben, um Ausfälle zu minimieren. Beispielsweise könnte ein Ausfall des Gepäcksortiersystems nicht nur zu Chaos führen, sondern auch ein Sicherheitsproblem darstellen, wenn Gepäck nicht kontrolliert wird.

• Perimeterschutz und Außengelände: Das Flughafengelände ist weitläufig, oft mehrere Quadratkilometer. Die Sicherung des Außenbereichs (Zäune, Tore, Kameras, Sensoren) ist extrem wichtig, da unbefugtes Betreten von Rollfeld oder Piste dramatische Folgen haben kann. Klimaprotest-Aktionen („Klimakleber“ aufs Rollfeld gelangen) haben dies jüngst gezeigt. FM muss in Zusammenarbeit mit der Flughafensicherheit Technologie wie Detektionssysteme (z. B. Radar, Kameras mit Bewegungserkennung) und Patrouillen so koordinieren, dass Lücken geschlossen werden. Auch Drohnen sind eine neue Gefahr – Anti-Drohnen-Maßnahmen (Detektion, ggf. Störsender) werden implementiert, was wiederum FM involviert (Installation, Betrieb).

• Terror- und Sabotagerisiko: Flughäfen sind symbolträchtige Ziele. Szenarien wie Sprengstoffanschläge, Schüsse, Cyberangriffe auf Flugsysteme gehören leider zum realistischen Repertoire. Während der Schutz vor Anschlägen primär Aufgabe der staatlichen Sicherheit ist (Bundespolizei, Luftsicherheitsbehörden), hat FM z. B. für bauliche Vorkehrungen zu sorgen: Explosionsschutzfolie an Glasflächen, Absperrungen gegen Fahrzeug-Rammattacken (Poller), architektonische Trennung von Publikumsbereichen um Kollateralschäden zu begrenzen. Sabotage kann auch intern passieren (Innentäter). Dem begegnet man mit strengen Zugangskontrollen und Hintergrundüberprüfungen, aber FM kann auch technische Hilfen leisten wie Monitoring-Systeme, die ungewöhnliche Aktivitäten erkennen.

• IT und Kommunikation: Flughafenbetrieb hängt von IT ab – Reservierungssysteme, Boarding-Systeme, FIDS (Flight Information Display Systems). Ein Cybervorfall kann also indirekt den physischen Betrieb stören (z. B. IT-Ausfall führt zu manueller Abfertigung, was Chaos erzeugt). FM konzentriert sich aber mehr auf die Operational Technology: Die Air-Condition oder Beleuchtung lahmzulegen kann ebenfalls Chaos bewirken (im Sommer Hitze in Terminals, oder Landebahn dunkel). Daher fließen hier die Erkenntnisse aus 4.4 ein: strikte Netztrennung und Sicherheitsupdates, v.a. weil viele ältere Systeme in Flughäfen laufen.

• Krisenmanagement: Flughäfen haben i. d. R. eine eigene Krisenorganisation, da sie auf Unvorhersehbares (auch Flugunfälle, Wetterextreme) vorbereitet sein müssen. FM ist darin stark involviert, da bei etwa einem Flugzeugunfall auf dem Gelände alle technischen Dienste mobilisiert werden (Feuerwehr, Notstrom, Absperren, etc.). Auch in der COVID-19-Pandemie war FM gefordert, neue Hygienekonzepte und temporäre Einrichtungen (Testzentren) zu realisieren – eine Sicherheitsaufgabe im Gesundheitskontext.

In Summe ist die Herausforderung Flughafen: höchste Sicherheitsanforderungen bei gleichzeitigem 24/7-Betrieb und Massengeschäft. Facility Management muss hoch zuverlässig und redundant arbeiten, strikt nach Vorschrift, und dennoch flexibel bleiben, um auf Störungen schnell zu reagieren. Gute Praxis ist hier ein ausgefeiltes Facility- und Sicherheitshandbuch, eng abgestimmt mit Behörden, sowie moderne Technik einzusetzen, wo sie entlastet (z. B. automatische Personenzählung in Evakuierungssituationen mit Kamera-AI). Flughäfen sind oft Vorreiter in Sicherheitsinnovationen, aber auch abhängig von reibungslosem FM zur Umsetzung.

Rechenzentren (RZ), insbesondere große Colocation- oder Cloud-Rechenzentren, sind ein Backbone der digitalen Gesellschaft. Ihre Verfügbarkeit ist das A und O, deshalb wird Sicherheit hier vor allem unter dem Gesichtspunkt der Betriebscontinuity betrachtet – ergänzt durch physischen und logischen Schutz vor Eindringlingen (Daten- und Sabotageschutz).

• Ausfallsicherheit der Infrastruktur: RZs müssen eine Verfügbarkeit von mindestens 99,99% erreichen (Tier III oder IV Standard). Das bedeutet, Sicherheit im Sinne von technischer Ausfallsicherheit – Redundante Stromversorgung (N+1 oder besser 2N, bis zu eigener Trafostation), Klimaanlagen-Redundanz, Löschanlagen (meist Gaslöschung, um IT nicht zu beschädigen), mehrfach abgesicherter Netzanschluss. FM hat hier primär die Aufgabe, diese redundanten Systeme in Schuss zu halten und im Falle einer Komponente-Störung sofort zu reagieren, bevor es die IT-Last beeinflusst. Jedes Wartungsfenster ist kritisch und muss streng prozedural ablaufen. Auch hier gilt resilience-by-design: Schon beim Bau werden z. B. zwei getrennte Klimasysteme mit Brandschutzklappen usw. eingebaut.

• Physischer Zutrittsschutz: Da Datenwert schwer bezifferbar aber extrem hoch sein kann (ein Industriespionage-Angriff oder ein Datendiebstahl im RZ wäre verheerend), wird physischer Zugang sehr restriktiv gehandhabt. Mehrstufige Authentifizierung ist Standard: zuerst Zugang zum Gelände, dann ins Gebäude, dann zu den Serverräumen, evtl. bis zum einzelnen Rack – jeweils mit separater Berechtigung. Oft kommt Biometrie (Handvenenscanner, Iris) zum Einsatz für Personal und nur Begleitung für Besucher. FM administriert dieses System und sorgt für Lückenlosigkeit: keine Besucher ohne Ausweis, Logging aller Zutritte (meist CCTV-Überwachung in allen Gängen als Kontrolle).

• Überwachung und Detektion: Im RZ sind umfangreiche Sensoren verbaut – Klimasensoren, Wassermelder am Doppelboden, Rauchansaugsystem (RAS) für früheste Branddetektion, Bewegungsmelder. Diese erzeugen viele Daten; FM muss Tools einsetzen, um diese zentral auszuwerten (Building Management System, DCIM-Software – Data Center Infrastructure Management). Das Ziel ist, vor einem Ausfall Warnungen zu erkennen (Predictive Maintenance, z. B. Lüftervibration ungewöhnlich) und vor einem Einbruch auffälliges Verhalten zu bemerken. Einige Rechenzentren nutzen KI in Kameras, um zu sehen, ob sich jemand untypisch verhält (herumlungert, versucht Türen zu öffnen).

• Brandschutz: Feuer ist das größte Einzelrisiko (neben Stromausfall). Gaslöschanlagen (CO₂ oder Novec) können einen Entstehungsbrand ersticken, müssen aber fehlerfrei funktionieren und bedürfen Isolation der Räume. FM muss sicherstellen, dass z. B. Brandschutztüren immer schließen, keine Durchdringungen offengelassen werden etc. Regelmäßige Simulationen sind nötig, damit im Ernstfall die Abschaltung der Klimaanlagen, Strom etc. und Auslösung der Löschung reibungslos erfolgt, ohne Panik (es darf ja niemand im Raum sein, wenn CO₂ auslöst).

• Cybersecurity: Rechenzentren sind primär IT-Einrichtungen, aber hier betrachten wir vor allem die OT-Security: also Steuerung von Klimaanlagen, USV, Diesel etc. – all das läuft über SPS/SCADA. Ein Angriff hier könnte Infrastruktur zerstören (z. B. Klima abschalten -> Überhitzung -> Ausfall). 2011 gab es z. B. einen Fall, wo Hacker einen RZ-Notstromtest manipulierten, wodurch Diesel ausfielen. Daher gelten RZ-Betreiber als fortschrittlich in OT-Security: Netztrennung streng, BSI-Grundschutz oft implementiert, SCADA nur über dedizierte Terminals zugreifbar, etc. FM bzw. die RZ-Technikteams betreiben diese Netze und müssen die BSI-Anforderungen (sofern KRITIS – einige RZ gelten als KRITIS der Kategorie IT/TK) umsetzen. Auch DDoS-Angriffe oder virtueller Einbruch sind Thema, aber das liegt eher bei den IT-Kollegen (virtuelle Sicherheit).

• Notfall- und Wiederanlaufplanung: Sollte dennoch ein ernster Vorfall eintreten (Brand, Totalausfall), braucht es detaillierte Pläne, wie ein geordneter Shutdown/Restart erfolgt, ob Ausweichrechenzentren aktiviert werden etc. FM stellt hier v.a. sicher, dass die Infrastruktur (Strom, Kühlung) in definierter Reihenfolge heruntergefahren und wieder hochgefahren werden kann. Das bedarf Tests – allerdings in Realumgebung schwer testbar. Einige RZ machen Teil-Tests (eine USV vom Netz nehmen etc.).

Die Herausforderung für FM im RZ ist, dass Toleranz für Fehler praktisch null ist. Während ein Bürogebäude mal 1 Stunde Stromausfall haben kann (unangenehm, aber selten lebensbedrohlich), kann 1 Stunde Ausfall in einem Cloud-RZ viele SLAs brechen und große finanzielle Schäden verursachen. Die Kultur in RZ-Teams ist daher sehr sicherheitsorientiert, oft streng nach Protokoll (Change Management, kein Eingriff ohne Freigabe). FM-Mitarbeiter müssen hochqualifiziert und vertrauenswürdig sein (Hintergrundchecks üblich).

Industrieanlagen können sehr unterschiedlich sein (Chemie, Automotive, Stahlwerk, Halbleiterfabrik...). Sie vereint oft das Nebeneinander von klassischen Sicherheitsanforderungen (Werksgelände, Perimeterschutz) und Arbeitssicherheits-Themen (Maschinenschutz, Explosionsschutz, Umweltrisiken).

• Arbeitssicherheit / Occupational Safety: In Fabriken gibt es gefährliche Maschinen, Roboter, Förderanlagen. Das Unfallrisiko ist hoch, daher stehen Maßnahmen wie Schutzzäune, Totmann-Schalter, persönliche Schutzausrüstung, Sicherheitsunterweisungen an erster Stelle. FM ist in Werken oft auch für die Arbeitssicherheit mitverantwortlich oder stellt die Fachkraft für Arbeitssicherheit. Betriebsanweisungen und Kontrollen (z. B. ob Schutzgitter nicht manipuliert wurden) gehören zum Alltag. Bei hoher Automatisierung (Industrie 4.0) kommen neue Risiken: Mensch-Maschine-Kollaboration, fahrerlose Transportsysteme – diese müssen sicher konzipiert sein (Notstopp, Laser-Sensoren etc.). FM wirkt hier bei Planung und Unterhalt mit.

• Anlagensicherheit / Prozesssicherheit: In Chemie- oder Energieanlagen muss die Prozessführung sicher sein, um Unfälle (Leckagen, Explosionen) zu verhindern. Das fällt primär in den Bereich der Verfahrenstechnik, aber FM kümmert sich um Infrastruktur drumherum, wie z. B. Brandschutzsysteme (Löschmonitore, Kühlwasser), Ex-Bereiche Lüftung, Sensorik für Gaswarnung. Die Betreiberverordnung (StörfallV) fordert Gefahrenabwehrpläne, die FM zusammen mit Produktionsleitung erstellt. Großübungen mit Werksfeuerwehr und ggf. öffentlicher Feuerwehr sind nötig.

• Werksgelände und Perimeter: Industriegelände sind in der Regel umzäunt und durch Werksschutz kontrolliert. Das Risiko von Diebstahl (Metalle, Produkte) und Sabotage (z. B. in Automobilwerken durch aktivistische Gruppen) besteht. Zutrittskontrolle ist komplex, weil oft viele Fremdfirmen auf dem Gelände arbeiten (Montagen, Handwerker). FM verwaltet Besucherausweise, Safety-Briefings für Fremdfirmen (Nachweis Unterweisung bevor Zugang). Fremdfirmenmanagement ist ein kritischer Prozess: Unautorisierte Personen oder Fahrzeuge könnten Gefahrgut entwenden oder Anschläge verüben. Daher werden immer häufiger digitale Systeme genutzt (Vorabanmeldung, Scannen von Ausweisen, Telematik für LKWs).

• Spionage und Know-how-Schutz: In forschungs- und technologieintensiven Betrieben (Pharma, Halbleiter, Rüstungsindustrie) ist Industriespionage ein realer Faktor. Die Wirtschaftsspionage kann durch Insider oder Eindringlinge erfolgen. FM-Security setzt dagegen Maßnahmen wie Zugang nur nach dem Vier-Augen-Prinzip in sensiblen Bereichen (Serverräume, R&D-Labore) – es werden tatsächlich solche Mechanismen eingesetzt, z. B. zwei gleichzeitige Berechtigungen notwendig, wie es auch in Hochsicherheitsszenarien der Fall ist. Außerdem gehören Schrankensysteme, Kontrollen von Materialabflüssen (Gate-Kontrollen), visuelle Überwachung und IT-seitig Data Loss Prevention zusammen. Für FM bedeutet das oft, zusätzliche Personalprozesse zu managen: z. B. werden kritische Bereiche nur von bestimmten Personen gereinigt (nicht vom allgemeinen Reinigungsteam), um Risiko zu verringern.

• Cyber-Physische Angriffe: Industrie 4.0 hat Produktion, Logistik und IT stark verzahnt. Bekannte Vorfälle wie der Hackerangriff auf ein deutsches Stahlwerk, bei dem ein Hochofen außer Kontrolle geriet, zeigen, dass eine Cyberattacke direkte physische Zerstörung bewirken kann. Produktionsanlagen enthalten SPS-Steuerungen, die teils noch alte Windows-Systeme oder unsichere Protokolle (OPC Classic etc.) verwenden – Einfallstore, wenn nicht gut abgeschirmt. FM in Form der Werksinstandhaltung muss zusammen mit OT-Security-Teams hier Abwehrstrategien umsetzen: Netzwerksegmentierung, Patch-Management auch für selten upgedatete Systeme, Monitoring des Produktionsnetzverkehrs (Anomalieerkennung) analog zu GA-Systemen in Gebäuden.

• Umwelt- und Notfallszenarien: Industriebetriebe sind oft auf dem Radar der Öffentlichkeit, Umweltverbände etc. Ein Vorfall (Brand mit toxischem Rauch, Leck in Chemieanlage) kann externe Folgen haben (Evakuierung im Umkreis). FM hat in Störfallkonzepten daher auch Kommunikation und Kooperation mit Behörden drin. Die Herausforderung ist, interne Notfallorganisation und externe Schnittstellen zu synchronisieren. Hier zahlt es sich aus, wenn FM als Koordinator alle relevanten Akteure (Feuerwehr, Polizei, Umweltamt) bereits im Voraus in Übungen eingebunden hat.

Industrieanlagen sind vom FM-Standpunkt aus spannend, weil sie sehr individuell sind – jedes Werk hat andere Schwerpunkte. Trotzdem gibt es leitende Prinzipien: strikte Sicherheitskultur, hohe Technikaffinität (viele Sensoren/Messer, viel Automatisierung), und die Notwendigkeit, sowohl Safety (Arbeitsschutz/Prozesssicherheit) als auch Security (Schutz vor externen Angriffen/Einwirkung) zu gewährleisten. Oft spricht man hier vom Sicherheitsmanagementsystem, das beides unter einem Dach betrachtet (im Englischen Unterscheidung Safety vs. Security, im Deutschen beides „Sicherheit“). FM ist in Werken häufig für beide Aspekte zuständig, was logisch ist, weil Maßnahmen sich überschneiden (eine gut gesicherte Anlage ist meist auch betriebssicherer, z. B. Zutritt nur für Befugte verringert Unfallgefahr durch Unbefugte).

Abschließend zu diesem Kapitel: Die Beispiele zeigen, dass in technisierten Großimmobilien eine Vielzahl an Gefahren – von technischen Störungen über menschliches Fehlverhalten bis zu gezielten Angriffen – beherrscht werden muss. Risikomanagement ist daher eine Kernfunktion: Risiken identifizieren, bewerten, passende Maßnahmen definieren. Facility Manager nutzen hierfür oft Risikomatrizen und Audits, teils unterstützt durch Standards (z. B. ISO 31000, branchenspezifische Vorgaben). Die besonderen Herausforderungen liegen in der Komplexität und Dynamik: Systeme ändern sich, Bedrohungslagen ändern sich (z. B. neue Cyberbedrohungen), und externe Anforderungen verschärfen sich (Gesetze, Versicherungsauflagen).

Die Landschaft der Unternehmenssicherheit im Facility Management unterliegt stetigem Wandel. Technologische Innovationen, gesellschaftliche Erwartungen und neue Regulierungsvorhaben führen zu neuen Trends, auf die sich FM einstellen muss. Im Folgenden werden einige der aktuell prägenden Trends erläutert: Digitalisierung und Automatisierung, ESG (Environmental Social Governance), “Resilience-by-Design” sowie Veränderungen im Bereich Kritische Infrastrukturen.

Die Digitalisierung hat das Facility Management in den letzten Jahren grundlegend verändert. Prozesse, die vormals papierbasiert und manuell waren, werden nun durch Software unterstützt oder komplett automatisiert.

• Smart Building und IoT: Gebäude sind durch digitale Sensoren und Aktoren “smart” geworden. IoT-Geräte erfassen in Echtzeit Zustände (Temperatur, Präsenz, Energieverbrauch) und können automatisiert reagieren oder Alarm schlagen. Für die Sicherheit bedeutet das z. B., dass ein Gebäudemanagementsystem (BMS) Anomalien erkennt – etwa ungewöhnliche Temperaturanstiege in einem Raum (möglicher Schwelbrand) oder ungewöhnliche Bewegungsmuster (Einbruch). Diese Datenfülle erlaubt ein präventiveres Sicherheitsmanagement. Allerdings erhöhen IoT-Geräte die Angriffsfläche (siehe 4.4): Ein unsicheres IoT-Gerät kann Einfallstor sein, wie das Beispiel des Aquarium-Thermometers im Casino zeigt. FM muss daher bei aller Digitalisierung die IT-Sicherheit immer mitdenken (Security by Design).

• Automation in Sicherheitsaufgaben: Routinetätigkeiten werden zunehmend automatisiert. Beispielsweise patrouillieren bereits in einigen Objekten Security-Roboter oder Drohnen, die Gelände überwachen – sie ergänzen oder ersetzen menschliche Rundgänge bei Nacht. Zugangskontrollen können automatisiert per Gesichtserkennung erfolgen (Pilotprojekte in modernen Bürogebäuden). Auch die Auswertung von Videomaterial ist durch KI (Künstliche Intelligenz) teils automatisiert: Systeme erkennen verdächtiges Verhalten oder lassen anhand von Personenbeschreibung automatisch alle Kameras nach einer Person suchen. Diese Automatisierung steigert Effizienz und könnte Kosten senken, bringt aber zugleich datenschutzrechtliche und ethische Fragen (Bias bei Gesichtserkennung, Akzeptanz der Überwachung) sowie wieder neue Risiken (Manipulation der KI-Systeme, False Positives/Negatives). FM wird hier zum Technologie-Evaluator: welche Automatisierung ist reif und sinnvoll?

• CAFM und digitale Plattformen: Die Digitalisierung interner FM-Prozesse (z. B. Wartungsmanagement, Betreiberpflichten-Tracking) hilft, Sicherheitskonformität sicherzustellen. Wie Dr. Florian Schrammel anmerkt, können maßgeschneiderte Softwarelösungen im Controlling einen wichtigen Beitrag zur Exkulpation leisten – sprich: dokumentierte, digitale Nachweise ordnungsgemäßen Handelns (Wartungssoftware, Prüfnachweise) schützen FM-Verantwortliche, indem sie lückenlose Erfüllung der Pflichten zeigen. Dieser Trend zum digitalen Nachweis wird weiter zunehmen, auch getrieben durch Regulatorik (z. B. auditable Logs für KRITIS).

• BIM (Building Information Modeling): BIM liefert ein digitales Abbild des Gebäudes und aller Anlagen. In der Betriebsphase kann BIM dem FM dienen, um z. B. genaue Positionen von Sicherheitsrelevanten Bauteilen zu kennen, Prüfpläne zu generieren, Simulationen durchzuführen (z. B. Evakuierungssimulation mit digitalem Zwilling). Es erlaubt auch, Änderungen durchzuspielen (Resilienztests, “Was passiert wenn X ausfällt?”) virtuell. Der Trend geht dahin, dass FM-Leute mit BIM-Viewer auf dem Tablet durch Gebäude gehen und bei Inspektionen direkt im Modell vermerken, ob alles normgerecht ist.

• Big Data und Analytics: Mit Sensoren und digitalen Prozessen fallen Unmengen Daten an. Analyse dieser Daten kann Sicherheit optimieren: z. B. Mustererkennung, wann/wo es häufig zu Beinahe-Unfällen kommt (um präventiv Maßnahmen zu setzen), oder Energieanomalien, die auf defekte Geräte hinweisen (Brandgefahr). Einige FM-Dienstleister werben mit KI-Lösungen, die aus historischen Störungsdaten lernen, um zukünftige Ausfälle vorherzusagen – was dann wiederum proaktive Wartung erlaubt (Predictive Maintenance), auch ein Sicherheitsgewinn.

• Remote Management und Cloud: Insbesondere seit der COVID-Pandemie wird mehr remote gemonitort. Leitstände können geografisch entfernt sein (ein zentrales Security Operation Center überwacht mehrere Standorte). Ebenso werden FM-Systeme in die Cloud verlagert (z. B. cloudbasierte Zutrittsverwaltung). Das spart Kosten, birgt aber Sorge: Wem gehören die Sicherheitsdaten, wie sicher sind Cloud-Systeme? Ein Ausfall der Internetverbindung könnte z. B. den Zugang blockieren, falls keine Offline-Modi vorgesehen sind. FM muss hier mit Herstellern SLAs verhandeln und fallback-Lösungen (z. B. lokale Caches) einplanen.

Zusammenfassend bringt Digitalisierung Chancen und Risiken. Sie erhöht die Komplexität – wie Max Gilg es beschreibt: Integration verschiedener Systeme erhöht Komplexität und Angriffsfläche. Gleichzeitig ermöglicht sie mehr Transparenz und Reaktionsgeschwindigkeit. Der Trend ist irreversibel, daher lautet die Empfehlung: Digitalisierung bewusst sicher gestalten. Das FM sollte eigene IT-Kompetenz aufbauen oder einkaufen, um diese Systeme zu verstehen und abzusichern. In der Planung neuer Gebäude sollte FM dafür sorgen, dass Digitalisierung nicht nur aus Effizienzgründen erfolgt, sondern unter einem “Secure by Design”-Prinzip.

ESG (Environmental, Social, Governance) ist ein Konzept aus der Finanz- und Unternehmenswelt, das Kriterien für nachhaltiges und verantwortungsvolles Wirtschaften definiert.

• Environmental (Umwelt): Hier steht Sicherheit insofern im Bezug, als bestimmte Sicherheitsmaßnahmen Umweltrisiken reduzieren. Ein Beispiel: Brandschutz und Leckage-Prävention verhindern Umweltkatastrophen (Chemikalienbrand, Öl-Austritt). Resiliente Energieversorgung (Notstrom) kann Ausfälle überbrücken, was in kritischer Infrastruktur dem Gemeinwohl dient. Auch Katastrophenvorsorge (z. B. Hochwasserschutz am Gebäude) fällt unter Umweltresilienz. ESG fordert Unternehmen auf, Klimarisiken offenzulegen – dazu zählt auch, wie resilient ihre Anlagen gegenüber Extremwetter sind. FM muss somit im Bereich Governance (siehe unten) diese Sicherheitsvorkehrungen nachweisen.

• Social (Soziales): Hierunter fallen Aspekte wie Arbeitsschutz und Gesundheitsschutz der Mitarbeiter, Sicherheit für Kunden/Gäste, und gesellschaftliche Verantwortung bei Schutz der Allgemeinheit. Arbeitsschutz ist explizit Teil der “Social”-Kriterien, und wie [27] andeutet, auch Teil des FM-Aufgabenfeldes. Ein Unternehmen, das keine sicheren Arbeitsbedingungen bietet, würde in ESG-Ratings schlecht abschneiden. Daher steigt der Druck, Arbeitssicherheit (Unfallzahlen, Gefährdungsbeurteilungen) transparent zu machen und kontinuierlich zu verbessern. FM trägt hier wesentlich bei, indem es sichere Arbeitsstätten gewährleistet. Auch Notfallvorsorge für Mitarbeiter (z. B. Evakuierungsübungen, erste Hilfe) fließt ein. Sicherheit wird hier zum Wohlfühlfaktor: Immobilien, die als sicher wahrgenommen werden, steigern das Vertrauen der Nutzer (z. B. sind Büroangestellte sensibilisiert für Zugangskontrolle nach Fällen von Gewalt in Unternehmen – ein AG, der hier vorgesorgt hat, punktet).

• Governance: Unter Governance-Kriterien fällt das Risikomanagement und die Compliance eines Unternehmens. Ein solides Sicherheitsmanagementsystem mit klaren Verantwortlichkeiten und Dokumentation ist Governance pur. Dass FM z. B. Gefährdungsbeurteilungen dokumentiert und aktualisiert, oder Sicherheitsaudits durchführt, kann in ESG-Reports als Indikator für gutes Management dienen. Außerdem fordern Governance-Prinzipien, dass Vorstand/Aufsichtsrat sich mit den Risiken (inkl. Sicherheitsrisiken) befassen. Das FM muss die entsprechenden Kennzahlen und Berichte liefern (z. B. Anzahl sicherheitsrelevanter Zwischenfälle, Status der Maßnahmen).

ESG legt auch Wert auf Business Continuity und Resilienz, weil Ausfälle große Stakeholdergruppen treffen können. Das englische Zitat im Trend [40] besagt sinngemäß, Unternehmen müssen beweisen, dass sie ihre Geschäftstätigkeit managen, ohne bei Sicherheit, Nachhaltigkeit oder Ethik Kompromisse einzugehen. Sicherheit ist hier quasi ein Fundament: Ohne sichere Betriebsabläufe keine Nachhaltigkeit.

Ein konkretes Beispiel: In ESG-Ratings werden Arbeitsunfälle (LTIFR – Lost Time Injury Frequency Rate) häufig abgefragt. Ein Unternehmen mit vielen Unfällen (was auf schlechte Sicherheitskultur hinweist) kann Abzüge bekommen. FM als Hüter der Arbeitssicherheit beeinflusst direkt diesen Score. Ebenso Thema Datenschutzverletzungen (Teil von Governance): große Data Breaches sind negativ – hier spielt IT-Sicherheit rein.

Kurzum, ESG erhöht den Stellenwert von Security & Safety auf Vorstandsebene. Was früher vielleicht als reines Kostenfaktor im FM gesehen wurde, ist jetzt Teil der Reputation und Investorenerwartung. Dieser Trend dürfte FM in eine stärkere Position bringen, nötige Sicherheitsinvestitionen durchzusetzen (“ESG-Compliance” als Argument). Wir sehen auch, dass Ratings oder Zertifizierungen (z. B. WELL Building Standard hat auch Safety-Elemente, oder GRESB für Real Estate beinhaltet Resilienz) in neue Gebäudeprojekte einfließen. Ein nachhaltiges Gebäude ist eben nicht nur energieeffizient, sondern auch sicher für Nutzer und vorbereitet auf Gefahren.

Resilienz bezeichnet die Fähigkeit eines Systems, Störungen zu absorbieren und möglichst schnell in den Normalzustand zurückzukehren. Im Kontext von Gebäuden und Facility Management spricht man von “Resilience-by-Design”, wenn bereits in der Konzeption und Planung von Gebäuden auf hohe Widerstandsfähigkeit gegen unterschiedliche Risiken geachtet wird. Diese Bewegung gewinnt durch die Zunahme von Klimawandel-Einflüssen und durch KRITIS-Vorgaben an Fahrt.

• Bauliche Resilienz: Gebäude werden so geplant, dass sie Extremereignissen standhalten. Beispielsweise robustere Bauweise in Erdbebengebieten, Flutschutz (wichtige Anlagen in höhere Geschosse verlegen), zusätzliche Feuer- und Explosionsabschnitte, um Schaden zu begrenzen. Ein resilient geplantes Gebäude kann einen teilweisen Ausfall ertragen, ohne komplett unbenutzbar zu sein.

• Technische Resilienz: Bereits angesprochen – Redundanzen in der Versorgung (N+1 Prinzip für kritische Infrastruktur), modulare Systeme, die sich isolieren lassen. Ein Beispiel: Ein Rechenzentrum Tier IV kann jeden Single Point of Failure ohne Unterbrechung verkraften. In Krankenhäusern diskutiert man z. B. “modulare Intensivstationen”, die unabhängig autark einige Stunden laufen können. Fail-safe-Prinzipien gehören auch dazu: Systeme so auslegen, dass sie bei Fehlfunktion in sicheren Zustand gehen (z. B. Aufzüge fahren im Brandfall ins nächste sichere Stockwerk und bleiben, Türen entriegeln auf, nicht zu).

• Organisatorische Resilienz: Das Einüben von Krisenszenarien, Backup-Personal und -Prozesse. Resilient-by-Design im organisatorischen Sinne könnte heißen: Schon bei Aufbau einer Abteilung darauf achten, Vertretungen auszubilden, oder Notfallteams zu definieren, bevor man sie braucht.

• Digital/IT Resilienz: Systeme doppelt auslegen nicht nur hardware-, sondern auch softwareseitig (z. B. Cloud-Ausfallsicherung), Cyber-Resilienz durch Incident Response Pläne. Hier kommen BSI-Anforderungen ins Spiel: Für KRITIS werden Resilienzpläne Pflicht, die technische und organisatorische Maßnahmen beinhalten. Auch NIS2 (EU-Richtlinie für Netzwerk- und Informationssicherheit 2022) fordert Ausweitung von Resilienzmaßnahmen auf mehr Unternehmen.

Aktuell (2024/25) wird Resilienz als Konzept institutionalisiert: Der erwähnte KRITIS-Dachgesetzentwurf verlangt ein strukturiertes Vorgehen mit Fristen. In der FM-Praxis führt dies dazu, dass Resilienz-Workshops stattfinden, wo man Worst-Case-Szenarien durchgeht und Verbesserungen identifiziert. ESG getriebene Berichte fragen: Hat das Unternehmen Business Continuity Pläne? Wann wurden sie zuletzt getestet?

Für Facility Manager bedeutet Resilience-by-Design, früh in Bauprojekte involviert zu sein und in Planungsteams die “Was-wenn”-Fragen zu stellen. Beispiel: Was, wenn im neuen Bürohochhaus der Hauptwasserzulauf kontaminiert ist? – Ein resilienter Plan wäre, einen zweiten Zulauf oder große Wasserreserven vorzusehen. Was, wenn der Haupteingang blockiert ist (z. B. Demonstration)? – Resilienz: zweiter Zugang für Mitarbeiter. Solche Überlegungen fließen idealerweise in Pflichtenhefte für Neubauten ein.

Auch Bestandsgebäude werden nachgerüstet für mehr Resilienz: Viele Firmen investieren in Notfallausrüstung (mobile Generatoren-Anschlüsse, Satellitentelefone, alternative Kühlmethoden z. B. mit Eisspeichern), gerade nach Ereignissen wie dem Ahrtal-Hochwasser 2021 oder Stromausfällen.

Resilienzdenken verändert die Sicherheitskultur: Weg von “Vorfall vermeiden um jeden Preis” hin zu “annehmen, dass Vorfälle passieren können und robust damit umgehen”. Das passt gut zur FM-Mentalität, die ohnehin pragmatisch Krisen managen muss. Resilience-by-Design institutionalisiert diese Vorbereitung.

• Erweiterung des KRITIS-Begriffs: Die EU-Richtlinie NIS2 und CER führen zu mehr Branchen unter KRITIS-Schutz, z. B. kommunale Verwaltung, Raumfahrt, Lebensmittelproduktion etc. Das heißt mehr Unternehmen müssen erstmals formell Sicherheitsmaßnahmen nach bestimmten Standards umsetzen. FM-Dienstleister spüren das, wenn plötzlich auch Kunden aus weniger sicherheitsaffinen Branchen Anforderungen erfüllen müssen. Hier wird Beratung nötig sein.

• Meldepflichten und Transparenz: Gesetzlich werden Meldewege für Sicherheitsvorfälle ausgeweitet (z. B. nach IT-SiG 2.0 auch für sog. Unternehmen im besonderen öffentlichen Interesse). FM wird in die Lage kommen, Vorfälle (z. B. ein Einbruch in ein Versorgungsunternehmen) intern schnell zu eskalieren, damit das Unternehmen fristgerecht an BSI oder Aufsichten meldet.

• Konvergenz von physischer und cyber-Security bei KRITIS: Siemens schreibt beispielsweise, dass durch Kombi von Cyber- und physischer Sicherheit man NIS2-Anforderungen erfüllen und Resilienz von Gebäuden stärken kann. Das heißt konkret: Sicherheitskonzepte werden integraler – nicht mehr getrennte Abteilungen. Es entstehen vermehrt Security Operations Center (SOC), die beides überwachen (physische Alarme und Cyberangriffe). Für FM könnte das bedeuten, dass die Leitstellen mit IT-Security-Teams zusammenwachsen.

• Public-Private Partnership und Zivilschutz: Bei extremen Lagen (Blackout, Naturkatastrophen) kommt der Aspekt der kritischen Infrastruktur-Vorsorge hoch: Unternehmen werden verpflichtet, auch einen Beitrag zur öffentlichen Sicherheit zu leisten (z. B. Telekom soll Handynetze stundenlang autark halten; Supermärkte sollen Notstrom vorhalten). FM wird Schnittstelle zu Katastrophenschutz. Ein Facility Manager eines KRITIS-Betriebs muss ggf. mit dem örtlichen Katastrophenstab interagieren, Lageberichte geben, Hilfe anfordern oder anbieten (z. B. Gebäude als Notquartier). Solche Kooperationen werden geübt werden müssen – neuer Anspruch, der über normalbetriebliches Sicherheitsdenken hinausgeht.

• Zunehmende Bedrohungslage: Leider ist zu beobachten, dass sowohl Cyberattacken wie auch physische Angriffe (Drohnen-Spionage, Vandalismus, politische Extremisten) auf Infrastrukturen zunehmen. Die „Zeitenwende“ geopolitisch erhöht auch Sabotagerisiken (siehe Anschläge auf Bahn-Infrastruktur 2022). FM muss daher immer vom Worst Case ausgehen und versuchen, wenigstens die Folgen abzufedern (z. B. redundante Systeme falls etwas gezielt sabotiert wird).

• Versicherbarkeit und Standards: Versicherer verlangen für KRITIS oft Nachweise (ähnlich wie VdS bei Brandschutz). Es entstehen spezialisierte Standards, z. B. der VDMA begrüßte Aufnahme von Gebäudeautomation in Grundschutz, was Brancheninitiativen befeuert. FM sollte sich aktiv in solche Standardisierungen einbringen (ggf. via GEFMA oder Branchenverbände), um Praxisnähe zu wahren. Für Eigentümer und Betreiber kann es attraktiv werden, eine Zertifizierung vorzuweisen (“KRITIS-sicheres Gebäude”), was wiederum vom FM vorbereitet werden muss.

All diese Trends fordern vom Facility Management ein hohes Maß an Weiterbildung, Anpassungsfähigkeit und strategischem Denken. Weg vom reaktiven Hausmeistertum, hin zum proaktiven Risiko- und Sicherheitsmanager – das ist die Richtung.

• Aufbau einer integrativen Sicherheitsorganisation im FM: Unternehmen sollten in ihrer FM-Struktur eine klar definierte Sicherheitsfunktion verankern (z. B. „Security & Safety Manager“ in der FM-Abteilung). Diese Rolle koordiniert physische Security und Arbeitsschutz mit IT-Security-Stellen. So wird verhindert, dass Sicherheitsmaßnahmen getrennt nebeneinander laufen. Ist eine separate Konzernsicherheit vorhanden, sind regelmäßige Abstimmungen (mindestens quartalsweise Meetings) zwischen dieser und FM Pflicht.

• Regelmäßige Schulung und Sensibilisierung: Investieren Sie in die Aus- und Weiterbildung des FM-Personals in Sicherheitsbelangen. Dazu zählen Fachqualifikationen (z. B. Weiterbildung zur „Geprüften Schutz- und Sicherheitskraft“ für Objektleiter, Zertifikate im Risk Management) und kontinuierliche Schulungen der Belegschaft im Gebäude (Evakuierungsübungen, Security Awareness). Eine Sicherheitskultur entsteht nur durch Vorleben und Üben. Der Werkschutz bzw. Sicherheitsdienst sollte eng ins FM-Team integriert und gemeinsam geschult werden, um einheitliche Standards sicherzustellen.

• Pflichten und Prüfungen digital managen: Nutzen Sie CAFM-Systeme oder spezielle Compliance-Tools, um alle Betreiberpflichten (Wartungen, Prüfungen, Unterweisungen) zu erfassen und fristgerecht zu steuern. Erinnerungsfunktionen und digitale Nachweise schaffen „Sicherheit vor unangenehmen Folgen – z. B. Bußgeldern oder Schadenersatz“. Im Zweifel gilt: Lieber eine Prüfung mehr dokumentiert als eine zu wenig. Bei Audits oder Vorfällen haben lückenlose Dokumentationen schon häufig vor Strafen bewahrt.

• Sicherheitskonzepte regelmäßig überprüfen und aktualisieren: Ein einmal erstelltes Sicherheitskonzept (z. B. aus der Bauphase) sollte mindestens jährlich oder anlassbezogen (nach Sicherheitsvorfällen, nach Organisationsänderungen) vom FM in Zusammenarbeit mit allen Stakeholdern durchgegangen werden. Passen die Zonen noch? Gibt es neue Schutzbedarfe (etwa neue sensible Abteilung im Gebäude)? Technisch-organisatorische Veränderungen (neue IoT-Geräte, Home-Office-Regelungen etc.) müssen reflektiert werden. Hier lohnt es sich, einen “lebenden” Sicherheitsmasterplan zu führen.

• Ganzheitliche Risiko-Workshops einführen: Organisieren Sie bereichsübergreifende Workshops, in denen verschiedene Szenarien durchgespielt werden – von Cyberangriff über Gebäudebrand bis Blackout. In solchen Runden (mit FM, IT, Produktion, Geschäftsleitung, ggf. Behördenvertreter) kommen oft Lücken zutage und man entwickelt ein gemeinsames Verständnis. Das Ergebnis sollten konkrete Verbesserungsmaßnahmen sein, die priorisiert und nachverfolgt werden. Solche Workshops fördern auch die Vernetzung der Akteure (im Krisenfall kennt man sich dann schon).

• Synergien von Safety und Security nutzen: Verzahnen Sie Arbeitssicherheits- und Objektschutzmaßnahmen, wo es geht. Beispielsweise kann man Evakuierungsübungen mit gleichzeitiger Überprüfung der Einbruchmeldeanlagen verbinden (Alarmierungskette testen). Oder Schulungen kombinieren (z. B. Feuerlösch-Übung mit Schulung zum Verhalten bei Amoklauf – beides Notfallsituationen, wo Reaktion zählt). Doppelstrukturen vermeiden spart Ressourcen und vermittelt Mitarbeitern kohärent, dass Sicherheit ein Gesamtkonzept ist.

• Technologie gezielt und sicher einsetzen: Prüfen Sie neue Sicherheitstechnologien (KI-Video, Drohnendetektion, etc.) zunächst in Pilotprojekten, bevor flächendeckende Implementierung erfolgt. Binden Sie IT früh ein, um Security-by-Design zu garantieren (z. B. keine Kamera, die nur unsichere Cloud hat). Wenn technisch sinnvoll, bevorzugen Sie integrierte Systeme: Ein Gefahrenmanagement-System, das Einbruch, Brand, Zutritt vereint, gibt einen besseren Lageüberblick als Insellösungen. Achten Sie dabei streng auf Zugriffsschutz und Berechtigungskonzepte für diese Leit-Systeme, da ein kompromittiertes zentrales System fatal wäre.

• Resilienzpläne erstellen: Unabhängig von gesetzlicher Pflicht empfiehlt es sich, für das eigene Objekt einen Resilienzplan zu erarbeiten. Was passiert bei langanhaltendem Stromausfall? Wie werden Mitarbeiter informiert, wenn IT und Telefon ausfallen? Gibt es Notfallkits (z. B. Taschenlampen, Notgenerator)? Der Resilienzplan sollte nicht nur geschrieben, sondern mit kleinen Übungen validiert werden (z. B. Probeweises Umschalten auf Inselbetrieb, Simulation einer IT-Störung für 1 Tag). So wird das FM-Team auch psychologisch vorbereitet, im Ernstfall ruhig zu bleiben. Resilience by Design sollte zum Leitmotiv bei Modernisierungen werden: Wenn eine Anlage erneuert wird, gleich überlegen, wie man Redundanz oder Robustheit erhöhen kann.

• Netzwerk bilden und Benchmarks nutzen: Sicherheits-FM ist kein Konkurrenzthema – Austausch mit Peers aus anderen Unternehmen bringt Lerneffekte. Treten Sie z. B. Arbeitskreisen bei (GEFMA-Arbeitskreis Sicherheit, BHE-Fachgruppen etc.) oder kooperieren Sie lokal mit anderen Facility Managern großer Objekte (z. B. regelmäßiger Runder Tisch der FM in einem Industriegebiet). Auch Zusammenarbeit mit Behörden in Friedenszeiten (z. B. Einladen des Feuerwehrchefs zu einer Begehung) schafft im Vorfeld Verständnis füreinander. Nutzen Sie Kennzahlen (Benchmarking: z. B. Sicherheitskosten pro m², Vorfallsquote je 100 MA), um die eigene Performance einzuordnen und kontinuierlich zu verbessern.

• Sicherheitsbewusstsein der Führung fördern: Last but not least – stellen Sie sicher, dass die oberste Leitung den Stellenwert der Sicherheit anerkennt. Dies gelingt durch transparentes Reporting von Chancen und Risiken. Zeigen Sie nicht nur Probleme auf, sondern auch Erfolge: z. B. “Durch präventive Wartung wurden X Störungen vermieden” oder “Unsere Unfallrate ist unter Branchendurchschnitt dank Programm Y”. Wenn Investitionen nötig sind, argumentieren Sie mit Risikominimierung und Compliance. Nutzen Sie ESG-Reporting als Hebel, wie oben erwähnt. Eine informierte und überzeugte Geschäftsführung wird die Sicherheitskultur von oben stützen.

Abschließend lässt sich festhalten, dass die Unternehmenssicherheit im Facility Management immer in Bewegung ist. Neue Technologien, neue Gefahren und neue Anforderungen entstehen fortlaufend. Für technisierte Großimmobilien in Deutschland heißt das, dass Wandel die Konstante ist – Sicherheitskonzepte müssen agil sein, FM-Organisationen lernfähig und vernetzt. Die Habilitationsschrift hat aufgezeigt, wie ein ganzheitlicher, proaktiver Ansatz aussehen kann. Wenn Facility Management als integraler Bestandteil der Unternehmenssicherheit verstanden und gelebt wird, können Unternehmen ihre Gebäude nicht nur effizient und nachhaltig, sondern vor allem auch sicher und resilient in die Zukunft führen.