Staatliche Sicherheitsarchitektur in der Unternehmenssicherheit

Die Zusammenarbeit von Behörden und Unternehmen in Sicherheitsfragen ist wesentlich durch gesetzliche Zuständigkeiten und Pflichten bestimmt. Im föderalen System Deutschlands verteilen das Grundgesetz und die einfachen Gesetze die Aufgaben auf Bund, Länder und Kommunen. Dieser Abschnitt beleuchtet die wichtigsten rechtlichen Grundlagen, die für die staatliche Sicherheitsarchitektur und ihre Anknüpfungspunkte zur Unternehmenssicherheit relevant sind.

Das Grundgesetz (GG) als deutsche Verfassung legt den Rahmen für die Sicherheitsarchitektur fest.

• Art. 30 GG: Die Ausübung der staatlichen Befugnisse und die Erfüllung der staatlichen Aufgaben ist Sache der Länder, soweit das GG keine andere Regelung trifft. Die innere Sicherheit – insbesondere Polizeiwesen und Gefahrenabwehr – fällt somit grundsätzlich in die Zuständigkeit der Länder.

• Art. 73 GG: Der Bund hat in bestimmten Bereichen die ausschließliche Gesetzgebung, darunter im Bereich der Verteidigung und des Zivilschutzes. Daraus leitet sich z.B. die Gesetzgebungskompetenz für den Zivilschutz (Schutz der Bevölkerung im Verteidigungsfall) ab, die in Friedenszeiten durch das BBK organisatorisch wahrgenommen wird. Für die normale Gefahrenabwehr (Katastrophenschutz) haben hingegen die Länder das Gesetzgebungsrecht.

• Art. 35 GG: Diese Vorschrift regelt die Amtshilfe und Katastrophenhilfe. Nach Art. 35 Abs. 1 GG leisten sich alle Behörden gegenseitig Rechts- und Amtshilfe. Besonders wichtig sind Abs. 2 und 3: Im Katastrophenfall kann ein Land die Polizeikräfte anderer Länder sowie Einrichtungen anderer Verwaltungen (inkl. Bundespolizei und Streitkräfte) zur Hilfe anfordern. Bei einer überregionalen Katastrophe oder einem schweren Unglücksfall kann die Bundesregierung, wenn die Situation es erfordert, die Bundespolizei und Streitkräfte einsetzen, um die Lage zu bewältigen (sog. Katastrophennotstand, Art. 35 Abs. 3 GG). Art. 35 GG bildet die verfassungsrechtliche Grundlage dafür, dass im Extremfall alle verfügbaren Kräfte – auch über Ländergrenzen hinweg – zur Gefahrenabwehr herangezogen werden dürfen. Für Unternehmen relevant ist, dass sie im Katastrophenfall auf diese breite staatliche Unterstützung zählen können, im Umkehrschluss aber auch verpflichtet sein können, den Anweisungen der Einsatzleitung Folge zu leisten (z.B. Evakuierungen, Freihalten von Zufahrten, Bereitstellung von Infrastruktur).

• Art. 87a und 87b GG: Diese regeln den Einsatz der Bundeswehr im Innern. Grundsätzlich ist die Bundeswehr für die äußere Sicherheit zuständig; ein Einsatz im Inland ist nur unter engen Voraussetzungen erlaubt (z.B. Amtshilfe bei Naturkatastrophen gemäß Art. 35 GG, oder innerer Notstand gemäß Art. 87a Abs. 4 GG). Für die Unternehmenssicherheit spielt dies selten eine direkte Rolle, außer in Extremsituationen (etwa Schutz militärischer oder kritischer Objekte bei Terrorlagen).

Es bestätigt das Verfassungsrecht die föderale Struktur: Die Länder sind primär für die innere Sicherheit verantwortlich, der Bund unterstützt und übernimmt spezielle Bereiche. Unternehmen agieren somit meist im Kontext landesrechtlicher Regelungen (Polizei- und Ordnungsrecht des jeweiligen Bundeslandes), während Bundesrecht vor allem in bereichsspezifischen Aspekten (z.B. IT-Sicherheit, Zivilschutz, Geheimschutz) zum Tragen kommt.

Jedes Bundesland verfügt über eigene Polizeigesetze (teils „Polizeigesetz“, teils „Sicherheits- und Ordnungsgesetz“ genannt) sowie oft separate Gesetze für die allgemeinen Ordnungsbehörden. Diese Gesetze konkretisieren den Auftrag aus Art. Polizei und Ordnungsbehörden: nämlich Gefahren für die öffentliche Sicherheit oder Ordnung abzuwehren.

• Befugnisse der Polizei zur Gefahrenabwehr, z.B. Identitätsfeststellung, Platzverweis, Gewahrsamnahme, Durchsuchungen, präventive Überwachungsmaßnahmen. Diese Befugnisse setzen immer eine konkrete Gefahr voraus, die definiert ist als eine Sachlage, die bei ungehindertem Ablauf mit hinreichender Wahrscheinlichkeit zu einem Schaden für die öffentliche Sicherheit/Ordnung führt.

• Allgemeine Generalklausel: Die Polizei kann bei gegenwärtigen Gefahren geeignete Maßnahmen treffen, auch wenn im Gesetz kein spezieller Paragraph passt. Dies ermöglicht flexibles Handeln in neuen oder außergewöhnlichen Lagen, was im Unternehmenskontext z.B. bei neuartigen Bedrohungen (wie Drohnenüberflug über Firmengelände, unbekannte Cyberbedrohungen für Anlagen) relevant sein kann.

• Besondere Vorschriften: Etwa zum Schutz von Veranstaltungen, zum Umgang mit Waffen und Sprengstoff, zur Zusammenarbeit mit anderen Behörden. In vielen Ländern gibt es auch Regelungen zur Inanspruchnahme von nicht-staatlichen Kräften – z.B. die Möglichkeit, Private zur Hilfeleistung zu verpflichten oder Absicherungsmaßnahmen von Verantwortlichen (Betreibern) einzufordern, wenn eine Gefahr von deren Bereich ausgeht.

Für Unternehmen besonders bedeutsam sind die Pflichten aus dem Ordnungsrecht: Die Landes-Ordnungsbehördengesetze regeln, dass auch die allgemeinen Ordnungsbehörden Gefahren abwehren können. Sie können Verfügungen erlassen, z.B. zur Sicherung eines Grundstücks, zur Beseitigung gefährlicher Zustände in Betrieben oder zur Verhinderung unzulässiger Veranstaltungen. So könnte ein Ordnungsamt etwa anordnen, dass ein Unternehmen mit gefährlichen Stoffen zusätzliche Schutzvorkehrungen trifft, wenn sonst eine Gefahr für die Allgemeinheit besteht.

Wichtig ist das Prinzip des Verhaltens- und Zustandsstörers: Adressat polizeilicher oder ordnungsbehördlicher Maßnahmen ist in der Regel derjenige, der die Gefahr verursacht (Verhaltensstörer), oder der Eigentümer bzw. Betreiber der Sache, von der die Gefahr ausgeht (Zustandsstörer). Das bedeutet: Ist auf dem Betriebsgelände eines Unternehmens eine Gefahrenquelle (z.B. ein beschädigter Tank, der Giftstoffe austreten lässt), kann die Behörde anordnen, dass das Unternehmen als Betreiber die Gefahr beseitigt – notfalls mit Zwangsmitteln. Diese Betreiberverantwortung ist im Polizei- und Ordnungsrecht fest verankert und deckt sich mit zivilrechtlichen Haftungsgrundsätzen.

Es stellen die Polizei- und Ordnungsrechtsgesetze der Länder den rechtlichen Rahmen für den täglichen Gefahrenabwehr-Umgang mit Unternehmen. Sie begründen Eingriffsbefugnisse der Behörden, aber auch Schutzpflichten und Duldungspflichten der Unternehmen. Im Normalfall agieren Unternehmen und Polizei/Ordnungsamt kooperativ – etwa bei Sicherheitsaudits oder Beratungsgesprächen, die auf freiwilliger Basis stattfinden –, doch im Ernstfall können die Behörden auf Basis dieser Gesetze auch einseitige Maßnahmen gegenüber Unternehmen ergreifen, um Gefahren abzuwenden.

Die zunehmende Bedeutung der Cyber- und Informationssicherheit spiegelt sich in spezialgesetzlichen Regelungen auf Bundesebene wider. Zentrale Norm ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG). Dieses Gesetz regelt die Aufgaben und Befugnisse des BSI als nationaler Cyber-Sicherheitsbehörde.

• Pflichten für Betreiber Kritischer Infrastrukturen (KRITIS): Das BSI-Gesetz definiert Kritische Infrastrukturen in verschiedenen Sektoren (Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanzwesen, Transport, etc.) und legt fest, dass deren Betreiber bestimmte Mindestvorkehrungen zur IT-Sicherheit treffen müssen. §8a BSIG fordert „angemessene organisatorische und technische Sicherheitsmaßnahmen“ nach dem Stand der Technik. Seit 2021 wird ausdrücklich auch die Einrichtung von Systemen zur Angriffserkennung verlangt. Betreiber müssen alle zwei Jahre die Umsetzung der Sicherheitsmaßnahmen durch Audits oder Prüfungen nachweisen.

• Meldepflichten bei IT-Vorfällen: Gemäß §8b Abs. 4 BSIG sind KRITIS-Betreiber verpflichtet, erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI zu melden. Diese Meldepflicht soll dazu dienen, dass das BSI als zentrale Meldestelle einen Überblick über die Cyber-Sicherheitslage gewinnt und andere Stellen warnen oder unterstützen kann. Verstöße gegen die Meldepflicht sind bußgeldbewehrt; das IT-SiG 2.0 hat die Bußgelder deutlich erhöht, um den Druck auf Einhaltung zu steigern.

• Unternehmen im besonderen öffentlichen Interesse (UBI): Das IT-SiG 2.0 führte den Begriff UBI ein – Unternehmen, die nicht KRITIS sind, aber trotzdem von erheblicher Bedeutung für Staat und Gesellschaft (z.B. sehr große Unternehmen oder solche mit Alleinstellungsmerkmalen). Auch diese unterliegen nun gewissen Sicherheitsanforderungen und Meldepflichten.

• Befugnisse des BSI: Das BSI darf Sicherheitslücken in IT-Systemen feststellen und auch Tests (z.B. Penetrationstests) bei KRITIS-Betreibern durchführen oder anordnen. Zudem kann das BSI Warnungen vor Sicherheitsproblemen öffentlich aussprechen. Das Gesetz ermächtigt das BSI, als zentrale Stelle zu agieren, z.B. bei der Abwehr von Schadsoftware (wie im Falle von Botnetzen) oder bei der Warnung vor unsicheren Produkten (etwa unsichere Smart-Home-Geräte).

Für Unternehmen – insbesondere solche mit kritischer Infrastruktur – hat das BSI-Gesetz direkte Auswirkungen: Sie müssen in IT-Sicherheit investieren, organisatorische Strukturen (z.B. ein Informationssicherheits-Managementsystem nach ISO 27001, siehe Abschnitt 8) etablieren, Vorfälle melden und eng mit dem BSI kooperieren. Das BSI bietet im Gegenzug Unterstützung, Beratung und Warnmeldungen. So hat es z.B. die Allianz für Cyber-Sicherheit gegründet, ein Netzwerk, dem Tausende Unternehmen angehören, um Informationen zu Bedrohungen auszutauschen.

Ergänzend zum BSI-Gesetz existieren sektorale Vorschriften. Viele Branchen wurden im Zuge des IT-Sicherheitsgesetzes angepasst – z.B. das Energiewirtschaftsgesetz (EnWG), das Telekommunikationsgesetz (TKG) und andere. Diese enthalten branchenspezifische Sicherheitsanforderungen und verweisen auf das BSI als Aufsichtsbehörde.

Aktuell (Stand 2025) steht zudem die Umsetzung der EU-Richtlinie NIS2 in deutsches Recht bevor, was eine Ausweitung der Pflichten auf noch mehr Unternehmen und deutlich verschärfte Sanktionsrahmen vorsieht. Auch ein mögliches KRITIS-Dachgesetz ist in Diskussion, das über die reine IT-Sicherheit hinaus auch die physische Sicherheit und Resilienz kritischer Anlagen regeln würde und engere Meldewege (ggf. ans BBK) einführen könnte.

Ein spezieller Aspekt staatlicher Sicherheitsvorsorge ist der personelle Geheim- und Sabotageschutz, geregelt durch das Sicherheitsüberprüfungsgesetz (SÜG) des Bundes und entsprechende Landesgesetze. Das SÜG kommt immer dann zur Anwendung, wenn Personen Zugang zu Verschlusssachen in hohen Geheimhaltungsgraden haben sollen oder in sicherheitsempfindlichen Stellen tätig werden, z.B. in lebens- oder verteidigungswichtigen Einrichtungen.

Für Unternehmen ist dies relevant, wenn sie entweder als Auftragnehmer für die öffentliche Hand in geheimhaltungsbedürftigen Projekten arbeiten (z.B. Rüstungsindustrie, IT-Dienstleister der Regierung) oder kritische Infrastrukturen betreiben, die als sicherheitsempfindliche Stellen eingestuft sind. Beispielsweise kann ein Energieversorger, der ein großes Stromnetz steuert, als „lebenswichtige Einrichtung“ gelten – dann müssen Schlüsselpersonen im Unternehmen eine Sicherheitsüberprüfung (Ü1, Ü2 oder Ü3 je nach Sensibilität) durchlaufen. Dabei werden ihre Zuverlässigkeit, Loyalität und eventuelle Sicherheitsrisiken (Verschuldung, Kontakte zu extremistischen Organisationen etc.) vom Verfassungsschutz überprüft.

Das Sicherheitsüberprüfungsverfahren beinhaltet unter anderem das Ausfüllen einer umfangreichen Sicherheitserklärung, Abfragen beim Bundeskriminalamt und Verfassungsschutz und je nach Überprüfungsstufe auch personenbezogene Auskünfte aus dem Umfeld der Person. Ziel ist es, sicherheitsrelevante Erkenntnisse frühzeitig zu gewinnen, um zu verhindern, dass Personen mit Geheimzugang ein Risiko (etwa als Spion oder Saboteur) darstellen.

Unternehmen, die in solchen Bereichen tätig sind, haben die Pflicht, nur entsprechend überprüftes Personal einzusetzen und Vorkehrungen des materiellen Geheimschutzes einzuhalten (z.B. sichere Aufbewahrung von Geheimunterlagen, Zugangskontrollen). Das SÜG bildet somit eine rechtliche Schnittstelle zwischen staatlicher Sicherheitsarchitektur und privater Wirtschaft: Der Staat dehnt seinen Schutz auf sensible Unternehmensbereiche aus, indem er dort die Vertrauenswürdigkeit des Personals sicherstellt. Für das Unternehmen bedeutet dies administrative Mehrarbeit und Eingriffe in die Personalprozesse – zugleich aber auch Zugang zu Projekten, die ohne Sicherheitsüberprüfung nicht bearbeitet werden dürften.

Wie in Abschnitt 1.6 dargestellt, obliegt der Katastrophenschutz den Ländern. Die Landeskatastrophenschutzgesetze regeln die Organisation der Behörden und legen Pflichten fest, z.B. die Alarm- und Einsatzpläne der Landkreise, die Heranziehung von Personen oder Unternehmen zur Hilfeleistung (z.B. Bereitstellung von Fahrzeugen oder Räumlichkeiten im Katastrophenfall) und die Mitwirkung der Hilfsorganisationen (DRK, ASB, JUH, MHD, DLRG etc.). Unternehmen können hier indirekt betroffen sein, etwa durch Meldepflichten bei bestimmten Gefahrstoffen oder Störfällen (die meisten Landesgesetze zum Katastrophenschutz verweisen jedoch auf Bundesvorschriften wie das Bundes-Immissionsschutzgesetz oder das Störfallrecht für solche Meldewege).

Auf Bundesebene regelt das bereits erwähnte Zivilschutz- und Katastrophenhilfegesetz (ZSKG) die Kooperation. Es definiert die Aufgaben des BBK und insbesondere die Zusammenarbeit von Bund und Ländern im Falle eines Zivilschutz- oder großen Katastrophenereignisses.

• das GMLZ beim BBK, das als Knotenpunkt für länderübergreifende Lagebilder fungiert,

• den Gemeinsamen Ausschuss für Bevölkerungsschutz (ein Gremium von Bund-Länder-Vertretern),

• die rechtliche Grundlage, damit Bundesanstalten wie THW oder Bundeswehr im Inland Hilfsleistungen erbringen dürfen.

Ein wichtiges Element ist auch der Schutz Kritischer Infrastrukturen im Katastrophenfall. Hier arbeiten BBK und BSI zusammen: Das BBK adressiert mehr die physische Resilienz (Notfallplanung, Backup-Systeme, Notfalltreibstoffreserven etc.), während das BSI wie erwähnt die IT-Resilienz abdeckt. Diese Verzahnung wurde gesetzlich in Ansätzen festgeschrieben, etwa durch Einbindung des BSI in den Nationalen Risikoanalysen des BBK.

• Gesetz über die Bundespolizei (BPolG) und Bundeskriminalamtgesetz (BKAG): Erstes regelt Aufgaben und Befugnisse der Bundespolizei (z.B. Schutz von Bahn- und Flugverkehr, Grenzschutz), letzteres die Befugnisse des BKA insbesondere bei Terrorabwehr. Für Unternehmen relevant, wenn z.B. die Bundespolizei Objektschutz an gefährdeten Stellen übernimmt (etwa an Flughäfen in Zusammenarbeit mit Flughafenbetreibern) oder das BKA bei einer übergreifenden Bedrohungslage in einem Unternehmen ermittelt.

• Arbeitsschutz- und Arbeitssicherheitsgesetze: Etwa das Arbeitsschutzgesetz, die Betriebssicherheitsverordnung, welche zwar primär dem Schutz der Beschäftigten dienen, aber Sicherheitsstandards (z.B. Brandschutz, Explosionsschutz in Anlagen) festlegen, die in die allgemeine Sicherheit einzahlen.

• Datenschutzgesetze (z.B. Bundesdatenschutzgesetz und DSGVO): Diese limitieren z.B. die Videoüberwachung auf Firmengeländen oder die Verarbeitung von Mitarbeiterdaten zu Sicherheitszwecken. Sie bilden somit den Rahmen, innerhalb dessen betriebliche Sicherheitsmaßnahmen rechtmäßig bleiben müssen – dies tangiert etwa die Gestaltung von Zutrittskontrollen oder IT-Überwachungsmaßnahmen.

• Waffengesetz und Bewachungsverordnung: Relevanz bei Unternehmen mit eigenem Werkschutz, die ggf. Schusswaffen führen dürfen (unter engen Voraussetzungen) oder allgemein für Sicherheitsdienstleister. Das regelt indirekt, wie weit private Sicherheitskräfte im Vergleich zur Polizei ausgestattet sein dürfen.

Durch dieses dichte Geflecht an Rechtsnormen entsteht eine verbindliche Grundlage für Sicherheitsmaßnahmen: Unternehmen müssen zahlreiche Vorgaben einhalten (Normbefolgungspflichten), während Behörden klare Handlungsaufträge und Eingriffsbefugnisse haben. Das Zusammenwirken von Staat und Wirtschaft im Sicherheitsbereich ist somit nicht dem Belieben überlassen, sondern rechtlich kanalisiert, was Transparenz und Berechenbarkeit schafft.

Eine effektive Sicherheitsvorsorge und Gefahrenabwehr erfordert die Kooperation zwischen staatlichen Stellen und der privaten Wirtschaft. Weder der Staat allein noch die Unternehmen allein könnten komplexe Risiko- und Bedrohungslagen vollständig bewältigen – es bedarf eines abgestimmten Zusammenwirkens, oft beschrieben unter dem Schlagwort „Public-Private Partnership“ (PPP) im Sicherheitsbereich. In Deutschland haben sich in den letzten Jahrzehnten diverse Kooperationsformen etabliert. Im Folgenden werden zentrale Bereiche der Zusammenarbeit dargestellt: Prävention und Beratung, Gefahrenabwehr und Krisenmanagement sowie institutionalisierte Partnerschaften.

Viele Gefahren lassen sich durch vorausschauende Maßnahmen verhindern oder abmildern.

• Kriminalprävention der Polizei: In allen Bundesländern gibt es polizeiliche Beratungsstellen, teils angesiedelt bei den Kriminalpolizeilichen Beratungsstellen oder Präventionskommissariaten, die Unternehmen zum objektbezogenen Schutz beraten. Etwa zum Einbruchschutz in Firmengebäuden, zur Sicherung von Werttransporten oder zu Maßnahmen gegen Wirtschaftskriminalität (wie Betrug). Kampagnen wie „K-Einbruch“ oder Informationen der polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) bieten Broschüren und Checklisten, die auch für Betriebe angepasst sind.

• Beratung durch Verfassungsschutz und BKA (Wirtschaftsschutz): Wie in Abschnitt 1.2 erwähnt, gibt es gezielte Angebote des Verfassungsschutzes für Unternehmen, z.B. Vorträge zur Spionageabwehr, Hinweise auf aktuelle Gefährdungen (siehe etwa regelmäßig vom BfV herausgegebene Sicherheitshinweise für die Wirtschaft) und individuelle Beratungen für Firmen mit erhöhtem Risiko (Rüstungsunternehmen, R&D-intensive Betriebe, kritische Infrastruktur). Auch das Bundeskriminalamt trägt im Bereich Cybercrime durch die Zentrale Ansprechstelle Cybercrime (ZAC) zur Beratung von Wirtschaftsunternehmen bei und arbeitet mit Branchen zusammen, um Frühwarninformationen auszutauschen.

• BSI-Unterstützung: Das Bundesamt für Sicherheit in der Informationstechnik bietet mit der Allianz für Cyber-Sicherheit eine Plattform, auf der Unternehmen Informationen zu Cyberbedrohungen, Sicherheitsstandards und Best Practices erhalten. Zudem veröffentlicht das BSI branchenspezifische Warnmeldungen (z.B. bei akuten Angriffswellen mittels bestimmter Schadsoftware) und stellt Sicherheitskataloge (IT-Grundschutz-Kompendium) kostenfrei bereit. Für Kritische Infrastrukturen betreibt es zusammen mit den Betreibern das UP KRITIS (Umsetzungsplan KRITIS), ein öffentlich-privates Partnerschaftsforum, in dem Szenarien durchgespielt, Anforderungen konkretisiert und Vorfälle vertraulich besprochen werden.

• Feuerwehren und Brandschutzdienststellen: In der Prävention haben Feuerwehrbehörden bzw. die örtlichen Bauaufsichten eine beratende Funktion, wenn Unternehmen Neubauten oder Umbauten planen. Bereits im Baugenehmigungsverfahren wird ein Brandschutzkonzept gefordert, das mit der Behörde abgestimmt sein muss. Später führen Feuerwehr und Gewerbeaufsicht oft Brandschauen in größeren Betrieben durch, um präventiv auf Gefahren hinzuweisen (z.B. ob Fluchtwege frei sind, Löschmittel vorhanden, Übungen durchgeführt werden). Diese Dialoge helfen Unternehmen, Sicherheitsmängel früh zu erkennen und abzustellen.

In all diesen Fällen gilt: Die Beratungsangebote sind in der Regel freiwillig und kooperativ. Unternehmen profitieren von dem Wissen der Sicherheitsbehörden und können so ihre Schutzmaßnahmen auf aktuelle Gefahrenlagen ausrichten. Ein Beispiel für erfolgreiche Prävention ist die Zusammenarbeit bei Objektsicherheitsberatungen: Vor bedeutenden Veranstaltungen oder in exponierten Liegenschaften (etwa ein Forschungszentrum mit Protestpotenzial) holt sich der Betreiber Rat bei der Polizei zu Zugangskontrollen und Notfallplänen – im Interesse beider Seiten, um Eskalationen vorzubeugen.

Wenn es zu akuten Gefahren oder Notfällen kommt, müssen staatliche Stellen und Unternehmen eng zusammenwirken, um Schäden zu begrenzen.

• Alarmierung und Notrufe: Betriebe haben oft interne Notfallmeldesysteme (Brandmeldeanlagen, Notruftelefone). Diese sind bei kritischen Ereignissen mit den öffentlichen Leitstellen verbunden – zum Beispiel ist es üblich, dass Brandmeldeanlagen unmittelbar einen Alarm bei der Feuerwehr auslösen, die dann ausrückt. Ebenso werden in vielen Industrieparks interne Werksschutz-Leitstellen beim Notruf 112 in die Kommunikation einbezogen, damit sie erste Hilfe leisten können, bis staatliche Kräfte eintreffen. Diese Verzahnung stellt sicher, dass Zeitverluste vermieden werden.

• Einsatzleitung vor Ort: Tritt ein Schadensfall auf dem Gelände eines Unternehmens ein (z.B. Großbrand, Chemieunfall, Amoklauf), wird die behördliche Einsatzleitung in der Regel eng mit den Kenntnissen der Betriebsverantwortlichen zusammenarbeiten. Unternehmensvertreter (Sicherheitsingenieure, Werkleiter) treten dann als Ansprechpersonen im Stab auf und liefern Informationen über Gebäudepläne, Gefahrenstoffe, technische Anlagen etc. Mancherorts sind solche Schnittstellen formalisiert, z.B. durch einen Unternehmensvertreter im örtlichen Krisenstab. So können Maßnahmen wie Evakuierungen oder Abschaltungen koordinierter erfolgen.

• Unterstützung durch Unternehmen: Umgekehrt leisten Unternehmen auch Hilfestellung für Behörden. Ein Beispiel ist der Einsatz von Betriebsfeuerwehren: Bei einem Großbrand in einem Chemiewerk wird die Werkfeuerwehr zuerst aktiv und arbeitet später unter der Gesamteinsatzleitung der öffentlichen Feuerwehr weiter. Ihre Ortskenntnis und speziellen Mittel (z.B. werksinterne Löschmittel) sind für den Einsatzerfolg wichtig. Ebenso können Firmen technische Ressourcen bereitstellen – von schweren Geräten (Bagger, Kräne) zur Trümmerbeseitigung bis zu Betriebsärzten und Sanitätern zur Unterstützung des Rettungsdienstes. Rechtlich erfolgt dies teilweise auf Basis von Amtshilfeersuchen oder im Katastrophenfall durch Anordnung (nach Landeskatastrophenschutzrecht können Unternehmen zur Hilfeleistung herangezogen werden, was jedoch meist einvernehmlich abläuft).

• Gemeinsame Übungen: Ein wichtiger Aspekt der Gefahrenabwehr-Kooperation sind regelmäßige Notfallübungen, an denen sowohl Behörden als auch die betriebliche Seite teilnehmen. Beispielsweise müssen Störfallbetriebe (gemäß Störfall-Verordnung) alle paar Jahre eine Vollübung mit externer Beteiligung abhalten – hier spielen Feuerwehr, Polizei und Katastrophenschutz den Ernstfall durch zusammen mit der Betriebsleitung. Solche Übungen stärken die gegenseitige Kenntnis und decken Lücken auf. Auch in Nicht-Störfall-Betrieben werden Evakuierungsübungen unter Aufsicht der Feuerwehr vorgenommen, um sicherzustellen, dass im Alarmfall alles reibungslos klappt.

Es zeigt sich, dass in der akuten Gefahrenabwehr Unternehmenssicherheit und staatliche Sicherheit ineinandergreifen müssen. Das Unternehmen kennt seine Anlagen und Risiken am besten, der Staat bringt die professionellen Einsatzkräfte und rechtliche Autorität mit. Nur durch abgestimmtes Handeln – das im Idealfall bereits in Friedenszeiten geplant wurde – lässt sich eine Krise effizient bewältigen.

Über die einzelne Gefahrenabwehr hinaus haben Staat und Wirtschaft ein gemeinsames Interesse an der Aufrechterhaltung kritischer Funktionen im Krisenfall. Dies wurde in den vergangenen Jahren etwa bei der Pandemie oder Stromausfall-Szenarien evident.

• Krisenstäbe und Lagezentren: Bei übergreifenden Krisen (Pandemie, flächendeckender Stromausfall, Hochwasser) richten Behörden Krisenstäbe ein. Immer öfter werden Unternehmen in solche Stabsstrukturen eingebunden, zumindest beratend. Zum Beispiel unterhielten viele Landkreise in der COVID-19-Pandemie Wirtschaftskontaktstellen im Krisenstab, um die Versorgungslage (Supermärkte, Logistik) im Blick zu behalten. In manchen Bereichen, wie der Stromversorgung, gibt es festgelegte Kommunikationswege: Energieversorger entsenden Liaison-Offiziere in die Lagezentren der Länder oder des BBK, sobald eine kritische Unterbrechung droht. Das 2024 neu eingerichtete Lagezentrum Bevölkerungsschutz in Rheinland-Pfalz etwa fungiert als zentraler Knoten und steht in direkter Verbindung mit kommunalen Stellen und dem GMLZ des Bundes – und verarbeitet Informationen auch von Infrastrukturbetreibern, um ein Gesamtbild zu erstellen.

• Public-Private-Partnerships (PPP) in der Sicherheit: Es existieren formalisierte PPP-Modelle. Ein Beispiel ist der Kooperationsvertrag zwischen Polizei und privaten Sicherheitsdiensten, der in mehreren Ländern abgeschlossen wurde, etwa 2018 in Brandenburg zwischen Landespolizei und dem Bundesverband der Sicherheitswirtschaft. Hier wird geregelt, wie private Wachleute die Polizei unterstützen können – z.B. melden sie Auffälligkeiten im öffentlichen Raum und dürfen im Rahmen der Jedermannsrechte vorläufig festnehmen, bis die Polizei eintrifft. Dadurch entsteht eine entlastende Wirkung für die Polizei bei einfachen Aufgaben, während die Kernbefugnisse (Durchsuchungen, Beschlagnahmen etc.) weiterhin beim Staat bleiben. Solche Partnerschaften erfordern klare Absprachen und werden teils kontrovers diskutiert, um das staatliche Gewaltmonopol nicht zu verwässern. Dennoch haben sie sich in bestimmten Bereichen bewährt – z.B. in der Luftsicherheit (Flughafen-Screening durch private, aber beliehene Unternehmen) oder bei Streifendiensten in Einkaufszentren in Kooperation mit der Polizei.

• Initiative Wirtschaftsschutz: Bereits erwähnt, handelt es sich um eine Initiative auf Bundesebene, die „Staat und Wirtschaft“ zusammenbringt. Hier arbeiten BKA, BfV, BND, BSI und das BMI mit Wirtschaftsverbänden (etwa dem BDI, DIHK und Handwerk) zusammen, um Strategien für den Schutz vor Spionage, Sabotage und Terrorismus zu entwickeln. Konkrete Ergebnisse sind z.B. Leitfäden für Unternehmen, Sensibilisierungskampagnen und ein verstetigter Austausch von Lageinformationen. Dadurch sollen Unternehmen frühzeitig vor Gefahren gewarnt werden und der Staat umgekehrt ein besseres Lagebild über die Bedrohungen in der Wirtschaft erhalten.

• Notfallplanung und Kontinuität: Auf betrieblicher Seite implementieren viele große Unternehmen Business Continuity Management (BCM), um ihre Betriebsfähigkeit in Krisen zu erhalten. Hierbei fließen auch Anforderungen oder Empfehlungen staatlicherseits ein – z.B. die Empfehlung des BBK, für 14 Tage autarke Notversorgung (bei Strom, Wasser) vorbereitet zu sein, was auch für Betriebe gilt. In kritischen Sektoren gibt es Meldewege: Ein Krankenhaus muss etwa bei Ausfall der Notstromversorgung sofort die Aufsichtsbehörde informieren, die dann Katastrophenschutz alarmieren kann, um Patienten zu verlegen.

Die Summe dieser Aktivitäten zeigt, dass sich in den letzten Jahren ein Netzwerk der Sicherheit herausgebildet hat, in dem staatliche und private Akteure partnerschaftlich agieren, um Krisen vorzubeugen oder zu meistern. Ein Grundprinzip lautet: Sicherheit ist gesamtgesellschaftlich – Staat und Wirtschaft teilen sich Verantwortung und Wissen, um gemeinsam resilienter zu sein. Für Unternehmen bedeutet das einerseits, Zugang zu wichtigen Informationen und staatlicher Unterstützung zu haben, andererseits aber auch, in Krisenzeiten einen Beitrag zur Allgemeinheit leisten zu müssen (z.B. Infrastruktur bereitstellen, Notdienste aufrechterhalten).

Unternehmen sind nicht nur Objekt staatlicher Schutzbemühungen, sondern auch aktive Gestalter von Sicherheit. Gesetzliche Vorschriften und gesamtgesellschaftliche Erwartungen haben dazu geführt, dass Firmen – besonders Betreiber kritischer oder großer Einrichtungen – umfassende Sicherheitsverantwortung tragen. In diesem Kapitel werden die Pflichten und Beiträge von Unternehmen in der Sicherheitsarchitektur beleuchtet, darunter Betreiberpflichten, Meldepflichten, die Einbindung in KRITIS-Programme und die Durchführung von Sicherheitsaudits.

Als Betreiber einer Anlage oder Immobilie trägt ein Unternehmen eine umfangreiche Verantwortung für die Sicherheit dieses Objekts und der sich darin aufhaltenden Personen. Die Betreiberverantwortung wird definiert als Summe aller Pflichten, die den Betreiber einer Anlage aufgrund gesetzlicher Vorgaben treffen.

• Bauliche Sicherheit: Einhaltung von Bauordnungsrecht und technischen Normen (z.B. Brandschutzvorschriften, Statik, Blitzschutz).

• Anlagensicherheit: Sicherer Betrieb von technischen Anlagen gemäß spezifischen Regelwerken (etwa Druckbehälter, Aufzüge, Elektrotechnik nach DGUV oder VDE-Vorschriften).

• Arbeitssicherheit: Umsetzung des Arbeitsschutzgesetzes, Unterweisung der Mitarbeiter, Bereitstellung von Schutzausrüstung, Gefährdungsbeurteilungen etc.

• Umweltsicherheit: Maßnahmen nach Bundes-Immissionsschutzgesetz oder Wasserhaushaltsgesetz, um Störfälle und Emissionen zu vermeiden.

Verletzt ein Unternehmen diese Pflichten, drohen zivilrechtliche Haftung (Schadenersatz bei Unfällen) und öffentlich-rechtliche Sanktionen (Bußgelder, Betriebsuntersagungen). Daher ist Compliance im Facility Management essentiell. In vielen größeren Organisationen gibt es eigene Compliance- oder Sicherheitsbeauftragte, die überwachen, dass alle Betreiberpflichten erfüllt werden, z.B. regelmäßige Wartungen, Prüfungen durch Sachverständige (TÜV) und Schulungen des Personals.

Ein prägnantes Beispiel der Betreiberverantwortung ist die Pflicht, im Gebäude Flucht- und Rettungswege jederzeit frei zu halten und beschildert zu haben. Vernachlässigt ein Betreiber dies, kann er im Ernstfall (z.B. Panik, Rauchentwicklung) zur Verantwortung gezogen werden. Ordnungsbehörden können bei schweren Verstößen auch Nutzungsverbote oder Schließungen verhängen, bis Mängel beseitigt sind.

Betreiberpflichten sind oft verstreut in verschiedenen Rechtsbereichen. Daher werden in der Praxis Rechtskataster erstellt, die für eine bestimmte Liegenschaft alle einschlägigen Vorschriften zusammenführen. Das Konzept der Betreiberverantwortung zeigt, dass Sicherheit auf Unternehmensseite nicht nur freiwillige Kür ist, sondern verpflichtende Aufgabe – ein Unternehmen handelt quasi als „verlängerter Arm“ der Gefahrenabwehr, indem es im eigenen Bereich Risiken minimiert.

Eine zentrale Aufgabe von Unternehmen in der Sicherheitsarchitektur ist die Meldung von sicherheitsrelevanten Ereignissen an staatliche Stellen. Dadurch können Behörden schnell reagieren, die Öffentlichkeit warnen oder Hilfe leisten.

• Störfall-Meldepflicht (12. BImSchV): Betriebe, die unter die Störfall-Verordnung fallen (z.B. Chemiewerke, große Lager gefährlicher Stoffe), müssen ernste Störfälle unverzüglich der zuständigen Behörde anzeigen. Die Behörde entscheidet dann, ob die Bevölkerung gewarnt wird oder Katastrophenschutz ausgelöst wird.

• Meldepflicht nach BSIG (§8b): Wie bereits ausgeführt, müssen Betreiber Kritischer Infrastrukturen IT-Störungen, die zu Ausfällen oder Beeinträchtigungen führen, dem BSI melden. Dies umfasst z.B. erfolgreiche Cyberangriffe, aber auch andere erhebliche IT-Betriebsstörungen. Das BSI fungiert hier als zentrale Meldestelle und kann auf Basis der Meldungen anderen KRITIS-Betreibern Informationen zur Lage bereitstellen.

• Meldepflichten in spezifischen Branchen: Etwa im Gesundheitswesen (Krankenhäuser müssen bestimmte Infektionsausbrüche melden), im Finanzsektor (Meldung größerer IT-Pannen an BaFin), im Telekommunikationsbereich (Provider melden Netzstörungen an die Bundesnetzagentur). Oft sind diese Pflichten wiederum mit dem BSI verknüpft (z.B. TKG sieht Meldepflicht an BNetzA und BSI vor bei erheblichen Ausfällen).

• Alarmierung der Einsatzkräfte: Keine „Pflicht“ im engeren Sinne, aber Erwartung: Unternehmen sollen bei Notfällen unverzüglich die Feuerwehr/Rettungsdienst rufen. Unterlassene Notrufe können strafrechtlich relevant sein (unterlassene Hilfeleistung). In manchen Branchen, z.B. in der Personenbeförderung, gibt es explizite Vorschriften, innerhalb welcher Frist Unfälle zu melden sind.

Darüber hinaus haben Unternehmen Pflichten zur Informationsweitergabe an Behörden auch in präventiver Hinsicht. So verlangt das Sicherheitsüberprüfungsgesetz, dass Unternehmen, die sicherheitsempfindliche Tätigkeiten haben, dem Verfassungsschutz entsprechende Personen zur Überprüfung melden. Oder im Rahmen der Initiative Wirtschaftsschutz werden Unternehmen ermutigt, Auffälligkeiten (z.B. Anwerbeversuche fremder Nachrichtendienste) dem BfV mitzuteilen – dies ist rechtlich freiwillig, aber sicherheitspraktisch gewünscht.

Die Einhaltung von Meldepflichten ist für die Unternehmen nicht nur eine gesetzliche Obliegenheit, sondern dient auch ihrem eigenen Interesse: Durch rasches Einbinden staatlicher Stellen können Schäden begrenzt und Hilfe mobilisiert werden. Beispielsweise erhöht eine sofortige Störfallmeldung die Chancen, dass die Bevölkerung rechtzeitig gewarnt wird und das Unternehmen nicht in völlige Image-Schieflage gerät.

Unternehmen, die als Kritische Infrastruktur (KRITIS) gelten, nehmen eine Sonderrolle ein. Die deutsche KRITIS-Strategie sieht solche Betriebe als Teil der nationalen Sicherheitsvorsorge an.

• Selbstschutz verstärken: KRITIS-Unternehmen müssen erweiterte Sicherheitsvorkehrungen treffen. Neben IT-Sicherheit nach BSIG zählen dazu auch physische Sicherheitsmaßnahmen (Zaun, Zugangskontrolle, redundante Systeme). Branchen haben hierzu oft eigene Standards entwickelt (z.B. den Branchenstandard Wasser/Abwasser oder Energie). Viele KRITIS-Firmen führen interne Krisenstäbe und Notfallteams, die rund um die Uhr einsatzfähig sind.

• Zusammenarbeit mit Staat: KRITIS-Betreiber werden eng in staatliche Strukturen eingebunden. Beispiel: Im Energiemangel-Lagebild der öffentlichen Hand sind Netzbetreiber vertreten, oder im Cyber-Abwehrzentrum des Bundes tauschen Vertreter kritischer Unternehmen Informationen mit BSI, BKA etc. aus. Der Nationale Cyber-Sicherheitsrat der Bundesregierung, ein hochrangiges Gremium, hat Vertreter der Wirtschaft an Bord, um gemeinsam Strategien zu beraten.

Die Einbindung ist nicht immer formell gesetzlich erzwungen, sondern erfolgt oft durch Vereinbarungen und Gremienarbeit. Doch das IT-Sicherheitsgesetz 2.0 hat die Verbindlichkeit erhöht: KRITIS-Betreiber müssen Kontaktstellen benennen (24/7 erreichbar) und an behördlichen Übungen teilnehmen, wenn angeordnet. Künftig (mit NIS2) wird die Zahl der einbezogenen Unternehmen noch steigen (z.B. Sektoren wie Abwasser, öffentliche Verwaltung, Zulieferer von KRITIS).

Für ein KRITIS-Unternehmen bedeutet diese Rolle Chance und Verpflichtung zugleich: Es bekommt sicherheitsrelevante Frühwarnungen und Unterstützung (z.B. liefert das BSI bei konkreten Cyber-Hinweisen proaktiv Infos an Betreiber, bevor etwas passiert), steht aber auch unter erhöhter Beobachtung. Bei Versäumnissen – etwa wenn ein Energieversorger seine Anlagen unzureichend schützt und es zu Blackouts kommt – droht nicht nur regulatorischer Ärger, sondern auch erheblicher öffentlicher Druck. Daher haben viele KRITIS-Unternehmen ihre Sicherheitsabteilungen stark ausgebaut und pflegen einen intensiven Kontakt zu den Behörden (z.B. regelmäßige Jour-fixe mit Landeskriminalämtern oder Verfassungsschutz).

Neben den gesetzlichen Pflichten engagieren sich viele Unternehmen freiwillig über das Mindestmaß hinaus, um Sicherheitsstandards zu erfüllen. Dies geschieht teils aus eigenem Interesse (Schutz von Assets) und teils, um Anforderungen von Kunden, Versicherungen oder Aufsichtsbehörden zu genügen.

• Sicherheitsaudits: Unternehmen lassen regelmäßig Audits durchführen – entweder intern (durch Compliance- und Revisionsabteilungen) oder extern (durch Beratungsfirmen, TÜV o.ä.). Solche Audits überprüfen, ob die Sicherheitsrichtlinien eingehalten werden, ob physische Barrieren funktionieren, ob die Notfallpläne aktuell sind etc. In KRITIS-Bereichen sind zweijährliche Audits sogar vorgeschrieben, die dann oft vom TÜV oder BSI-anerkannten Prüfern gemacht werden.

• ISO-Zertifizierungen: Insbesondere die ISO/IEC 27001 (Informationssicherheits-Management) ist verbreitet. Viele Unternehmen – auch außerhalb KRITIS – zertifizieren ihr Informationssicherheits-Managementsystem, um Kunden und Partnern ihre Professionalität nachzuweisen (siehe Abschnitt 8.2). Auch ISO 22301 (Business Continuity) oder ISO 45001 (Arbeitssicherheit) werden angewendet.

• Versicherungsauflagen: Versicherer, gerade im Bereich Industriesachversicherung, verlangen bestimmte Schutzmaßnahmen (VdS-anerkannte Brandmeldeanlage, Einhaltung von VdS-Richtlinien für Sprinkler etc.). Unternehmen setzen diese um, um Versicherungsschutz zu erhalten oder Prämien zu senken. Indirekt tragen so auch Versicherungswirtschaft und Standardisierungsstellen zur Sicherheitsarchitektur bei, indem sie privatwirtschaftliche Anreize für Sicherheitsinvestitionen schaffen.

• Betriebliche Alarmorganisation: Viele Betriebe unterhalten eigene Alarmzentralen oder Verträge mit Notruf- und Service-Leitstellen (NSL). Kommt es z.B. zu einem Einbruchalarm, läuft dieser bei einem privaten Sicherheitsdienst auf, der dann entweder eigene Kräfte schickt oder die Polizei alarmiert. Diese verzahnte Alarmkette entlastet die Polizei (nicht jeder Alarm geht direkt zur 110, sondern wird vorgefiltert) und bietet dem Betrieb schnellere Intervention. Entsprechende Normen (DIN EN 50518 für Alarmempfangsstellen) stellen sicher, dass diese privaten Stellen zuverlässig arbeiten.

• Schulung und Sensibilisierung: Unternehmen tragen auch durch Mitarbeiterschulungen zur Gesamtprävention bei. Sicherheitsbewusstes Verhalten (kein „Tailgating“ durchs Werkstor, Melden von verdächtigen Beobachtungen, Cybersecurity-Awareness) wird gefördert. Manche Großunternehmen organisieren Sicherheitstage mit Beteiligung von Polizei oder Feuerwehr, um das Personal für Notfälle fit zu machen.

Diese freiwilligen oder halbfreiwilligen Maßnahmen ergänzen die staatlichen Vorgaben. In der Summe entsteht ein doppelter Boden: Staatliche Kontrolle fängt grobe Lücken ab, aber die Qualität betrieblicher Sicherheit hängt stark vom eigenen Engagement ab. Unternehmen, die hier proaktiv handeln, werden im Ernstfall resilienter sein und auch in der Kooperation mit Behörden besser abschneiden (weil z.B. Unterlagen bereitliegen, Ansprechpartner geschult sind etc.). Die öffentliche Hand begrüßt und unterstützt solche Eigeninitiativen, denn sie verringern das allgemeine Risiko.

Facility Management (FM) umfasst den ganzheitlichen Betrieb und die Bewirtschaftung von Gebäuden und Liegenschaften. Sicherheitsaspekte sind dabei integraler Bestandteil der Betreiberverantwortung im FM. Im Folgenden wird beleuchtet, wie die staatliche Sicherheitsarchitektur und die genannten Pflichten konkret das Facility Management in Unternehmen beeinflussen – von der Sicherheitsplanung über die Betreiberpflichten bis zur Interaktion mit Behörden und Umsetzung regulatorischer Anforderungen.

• Erstellung und fortlaufende Aktualisierung von Sicherheitskonzepten für Gebäude. Ein Sicherheitskonzept definiert Schutzziele (z.B. Schutz von Menschenleben, Verhinderung von Sabotage, Schutz vor Einbruch) und die Kombination von Maßnahmen (baulich, technisch, organisatorisch) zu deren Erreichung. Für größere Objekte wird dies häufig dokumentiert und auch mit Stakeholdern (Eigentümer, Versicherer, Behörden) abgestimmt.

• Implementierung von Sicherheitsinfrastruktur: Zugangskontrollsysteme, Videoüberwachung, Alarmanlagen, Brandmeldetechnik, Evakuierungslautsprecher – all dies fällt in den Aufgabenbereich des FM, oft in enger Zusammenarbeit mit Spezialisten (Sicherheitsingenieure, Brandschutzbeauftragte). Die Auswahl der Technik richtet sich nach Normen (siehe Abschnitt 8.3) und dem jeweiligen Gefährdungsrisiko.

• Aufbau einer Sicherheitsorganisation: Festlegung von Verantwortlichkeiten (Wer ist Security Manager? Wer Gebäudeverantwortlicher? Gibt es einen 24/7 Wachdienst?), Erstellung von Dienstanweisungen für den Wachdienst oder Empfang, Notfallhandbücher für verschiedene Szenarien (Brand, Bombendrohung, IT-Ausfall). Hier fließen auch Vorgaben der Behörden ein, z.B. muss ein Brandschutzbeauftragter ernannt sein bei bestimmten Gebäudegrößen laut Industriebaurichtlinie.

Die Sicherheitsplanung orientiert sich stark an den gesetzlichen Anforderungen und behördlichen Empfehlungen, die in vorherigen Kapiteln erläutert wurden. Ein FM-Leiter muss z.B. wissen, welche Brandschutzordnung nach DIN 14096 auszuhängen ist und welche Übungen gemäß ArbStättV durchzuführen sind. Somit wird der FM-Bereich zum Operateur für die Einhaltung der Sicherheitsvorschriften im Gebäude.

Die theoretische Betreiberverantwortung (siehe 4.1) muss im Facility Management praktisch gemanagt werden.

• Regelmäßige Prüfungen und Wartungen: FM organisiert turnusmäßige Kontrollen – z.B. jährliche Prüfung der Brandschutzeinrichtungen, alle 4 Jahre TÜV-Prüfung an Aufzügen, turnusgemäße Überprüfung von elektrischen Anlagen (DGUV Vorschrift 3). Ein Versäumnis hier kann im Schadensfall zur Haftung des Betreibers führen. Viele FM-Abteilungen nutzen CAFM-Systeme (Computer Aided Facility Management), um Fristen zu überwachen und Nachweise zu dokumentieren.

• Gefährdungsbeurteilungen: Zusammen mit Fachkräften für Arbeitssicherheit führt das FM Gefährdungsbeurteilungen für Arbeitsplätze und Anlagen durch. Dabei werden Sicherheitsrisiken identifiziert und Maßnahmen festgelegt (z.B. zusätzliche Absturzsicherungen, Markierungen, Unterweisungen). Diese Unterlagen können von Aufsichtsbehörden eingefordert werden.

• Dokumentation und Nachweis: Im Fall eines Unfalls oder einer behördlichen Kontrolle muss das Unternehmen nachweisen, seinen Pflichten nachgekommen zu sein. FM sorgt daher für eine lückenlose Dokumentation – Prüfbücher der Feuerwehr, Berichte von Sicherheitsbegehungen, Wartungsverträge etc. liegen bereit. Ein geflügeltes Wort in der Branche lautet: „Document or die“ – was nicht dokumentiert ist, gilt im Zweifel als nicht getan.

• Sicherheitskultur fördern: FM steht auch in engem Kontakt mit den Mitarbeitern und Nutzern des Gebäudes. Durch Unterweisungen (z.B. jährliche Brandschutzunterweisung aller Mitarbeiter, Räumungsübungen) trägt es zur Sicherheitskultur bei. Hier wird oft in Zusammenarbeit mit Behörden Material verwendet (Feuerwehrbroschüren, Polizei-Infoblätter über Diebstahlprävention am Arbeitsplatz etc.).

Ein praktisches Beispiel: In einem Bürogebäude wird vom FM eine jährliche Räumungsübung organisiert. Dabei wird der Feueralarm ausgelöst, die Belegschaft verlässt geordnet das Gebäude und versammelt sich am Sammelplatz, während vorher definierte Evakuierungshelfer (meist Mitarbeiter mit Zusatzaufgabe) alle Räume kontrollieren. Die Feuerwehr kann optional als Beobachter eingeladen werden. Solche Übungen stellen sicher, dass im Ernstfall (den niemand hofft) die Abläufe klappen und erfüllen zugleich die Forderungen der Versicherung oder der Aufsicht.

Facility Manager fungieren oft als Schnittstelle zu Behörden.

• Genehmigungen und Abnahmen: Bei Neubau oder Umbau von Objekten kommuniziert FM mit Bauaufsicht und Feuerwehr (Brandschutzabnahme). Vor Eröffnung eines Gebäudes wird das Sicherheitskonzept von Behörden geprüft.

• Regelaufsicht: Feuerwehr und Gewerbeamt führen Begehungen durch. Der FM-Leiter begleitet diese, beantwortet Fragen, zeigt Dokumente vor und setzt ggf. Auflagen um. Beispiel: Das Gewerbeamt moniert bei einer Kontrolle, dass Notausgangsschilder unzureichend beleuchtet sind – FM muss dies beheben.

• Ereigniskommunikation: Tritt ein sicherheitsrelevantes Ereignis ein (Einbruch, Umweltunfall, Datenleck), meldet FM dies an die zuständige Behörde (Polizei, Umweltamt, BSI). In der Folge bleibt man in Kontakt: FM stellt ggf. Geländepläne für polizeiliche Ermittler bereit oder informiert die Umweltbehörde über getroffene Gegenmaßnahmen.

• Netzwerke und Runden: In vielen Städten gibt es Arbeitskreise Sicherheit oder regelmäßige Treffen großer Betriebe mit Polizei/Feuerwehr (oft durch die IHK oder Kommunen organisiert). FM-Vertreter nehmen daran teil, um Infos zu bekommen (etwa über aktuelle Einbruchserien) und eigene Belange zu adressieren (z.B. Verkehrsführung für Rettungswege).

Die Kommunikation mit Behörden sollte idealerweise proaktiv sein. Ein offenes, kooperatives Verhältnis kann helfen, bei einem Problem pragmatische Lösungen zu finden, anstatt sofort in Ordnungsverfügungen zu münden. Zudem können Behörden wertvolle Tipps geben, worauf sie besonderen Wert legen – z.B. kann die Feuerwehr bei einer Vor-Ort-Besichtigung Ratschläge zur Aufstellfläche für Drehleitern geben, die der Facility Manager dann in der Bewirtschaftung berücksichtigt.

Gerade im Kontext Kritischer Infrastrukturen oder sensibler Einrichtungen (z.B. Forschungszentren) werden teils behördliche Sicherheitsberater abgestellt, die in regelmäßigen Abständen das Gespräch mit dem Facility Management suchen. Beispielsweise haben einige Landeskriminalämter ein Programm, bei dem sie „Sicherheitspartnerschaften“ mit großen Unternehmen eingehen und fest zugeordnete Kontaktbeamte für Fragen der Unternehmenssicherheit bereitstellen. Das FM profitiert hier von schnellen Kommunikationswegen etwa bei Bedrohungslagen (Bombendrohung, Erpressung, Sabotageverdacht).

• Auflagen aus Genehmigungen: Ein Industrieunternehmen bekommt eine Betriebsgenehmigung mit der Auflage, eine Werkfeuerwehr zu unterhalten oder alle Tankanlagen mit Leckage-Sensoren zu versehen. Das FM muss dies organisatorisch und finanziell einplanen.

• Standards aus behördlichen Richtlinien: Beispiel Brandschutz: Viele Bundesländer geben Technische Baubestimmungen heraus, die bestimmte DIN-Normen (z.B. zu Sprinkleranlagen) für verbindlich erklären. FM muss sicherstellen, dass alle Neubauten diese Normen einhalten. Ebenso veröffentlichen z.B. Polizei und Versicherer Richtlinien für Einbruchmeldeanlagen. Hält sich ein Unternehmen daran – oft als „anerkanntes Regelwerk“ bezeichnet – gilt eine Anlage als zuverlässig. FM orientiert sich also an diesen quasi-offiziellen Standards.

• Erfüllung von Melde- und Nachweispflichten: Wenn das Gesetz vorsieht, dass z.B. ein Notfallplan bei der Katastrophenschutzbehörde einzureichen ist (in manchen Ländern verlangt für bestimmte Betriebe), so ist FM verantwortlich, diesen Plan zu erstellen und fristgerecht einzureichen. Oder KRITIS-Betreiber müssen dem BSI eine Kontaktstelle melden – diese Aufgabe fällt i.d.R. dem Sicherheits- oder Facility-Verantwortlichen zu.

• Behördliche Sicherheitsüberprüfungen: Manche Objekte werden regelmäßig von Behörden inspiziert (z.B. atomrechtlich genehmigte Anlagen, größere Versammlungsstätten). Hier muss FM die Koordination übernehmen: Termine vereinbaren, Mängelprotokolle entgegennehmen und Mängelbeseitigung managen.

Letztlich fungiert das Facility Management als Umsetzer staatlicher Sicherheitsanforderungen auf privatem Grund. Es übersetzt Gesetz und Bescheid in praktische Maßnahmen am Gebäude. Das erfordert neben technischem Wissen auch ein Verständnis für Verwaltungsvorgänge und Recht – was den interdisziplinären Charakter des FM hervorhebt.

Sicherheit in Unternehmen ist kein monolithischer Block, sondern setzt sich aus verschiedenen Fachdisziplinen zusammen: Brandschutz, Evakuierungsmanagement, technische Überwachungssysteme, Zugangsregelungen, Objektschutz und IT-Sicherheit. In all diesen Bereichen gibt es Schnittstellen zwischen dem Unternehmen und externen, meist staatlichen Stellen. Ein effektives Schnittstellenmanagement sorgt dafür, dass Übergänge reibungslos funktionieren, Redundanzen vermieden und Synergien genutzt werden. Im Folgenden werden die wichtigsten Schnittstellenfelder und ihre Besonderheiten erläutert.

• Baulicher Brandschutz: Vorgaben zur Feuerwiderstandsdauer von Wänden, Brandabschnitte, Löschwasserversorgung etc. werden in Bauanträgen mit der Behörde abgestimmt. Der FM stellt sicher, dass diese Strukturen erhalten bleiben (z.B. keine unzulässigen Öffnungen in Brandwänden) und dass Brandschutzdokumentationen (Feuerwehrpläne) aktuell sind. Feuerwehrpläne werden gemeinsam mit der Feuerwehr erstellt und hinterlegt, damit Einsatzkräfte im Brandfall sofort Gebäudeinformationen haben.

• Anlagentechnischer Brandschutz: Brandmeldeanlagen, Sprinkleranlagen und Rauchabzugsanlagen sind in vielen Gebäuden Pflicht. Sie müssen nach DIN und VdS-Richtlinien errichtet und ständig betriebsbereit gehalten werden. Ein weit verbreitetes Prinzip ist die Aufschaltung von Brandmeldeanlagen auf die Feuerwehr: Im Alarmfall sendet die Anlage ein Signal direkt an die Feuerwehr-Leitstelle, die dann ggf. ausrückt. Hierfür gibt es Verträge zwischen dem Unternehmen und der Feuerwehr (bzw. Kommune), in denen die technischen Standards und Gebühren geregelt sind. Das FM sorgt dafür, dass die Anlage den BOS-Übertragungsrichtlinien entspricht, damit diese kritische Schnittstelle zuverlässig funktioniert.

• Organisatorischer Brandschutz: Evakuierungshelfer, Brandschutzhelfer im Unternehmen arbeiten im Ereignisfall mit der Feuerwehr zusammen. Sie weisen z.B. dem Einsatzleiter die Örtlichkeiten und informieren über vermisste Personen. Diese betrieblichen Helfer werden oft von der Feuerwehr geschult (es gibt Seminare der Feuerwehren oder IHK dazu). Damit existiert ein persönliches Netzwerk: Der örtliche Brandschutzerzieher der Feuerwehr kennt die Brandschutzhelfer großer Betriebe persönlich, was Vertrauen schafft.

• Nachbereitung: Nach einem Brandereignis findet oft eine gemeinsame Analyse statt. Feuerwehr und Unternehmensleitung besprechen, was gut lief und was verbessert werden kann (z.B. hat der interne Rauchabzug planmäßig funktioniert? War die Feuerwehrzufahrt frei?). Diese Learnings fließen dann ins Update des Brandschutzkonzepts ein.

Es ist die Schnittstelle Brandschutz-Feuerwehr sehr formalisert und erprobt. Sie beruht auf Normen, vertraglichen Regelungen und regelmäßigem Austausch (Übungen, Begehungen). Für das Unternehmen ist es erfolgskritisch, diese Partnerschaft zu pflegen, da im Ernstfall Sekunden zählen und Missverständnisse oder technische Ausfälle vermieden werden müssen.

Bei größeren Gefahren oder Katastrophen kommt es zur Evakuierung von Gebäuden oder ganzen Arealen.

• Evakuierung einzelner Gebäude: Wie erwähnt, hat jedes Gebäude einen Räumungsplan. Die Entscheidung zur Räumung kann intern fallen (z.B. nach Auslösen des Feueralarms durch die Anlage) oder von außen angeordnet werden (Polizei ordnet Bombendrohungs-Räumung an). Wichtig ist, dass interne und externe Kommunikation abgestimmt sind: Der interne Notfallstab sollte in Kontakt mit der Einsatzleitung stehen, um z.B. zu bestätigen, dass alle Personen draußen sind, oder um Hilfestellung zu bekommen (etwa Busse durch die Stadt für die Evakuierten bereitstellen zu lassen).

• Großräumige Evakuierungen: Etwa bei einer Flut oder Kampfmittelentschärfung kann eine gesamte Betriebsstätte mit Umfeld geräumt werden. Hier greifen kommunale Pläne: Die Katastrophenschutzbehörde richtet Sammelstellen ein, organisiert Transport und Unterkunft. Unternehmen müssen ggf. eigene Einrichtungen abschalten, sichern und die Abwesenheit ihrer Mitarbeiter organisieren. Teilweise werden Unternehmen auch eingebunden, um Evakuierungsräume zur Verfügung zu stellen (z.B. eine Messehalle als Notunterkunft).

• Informationsmanagement: Moderne Warnsysteme (z.B. MoWaS mit Cell Broadcast, Apps wie NINA) alarmieren die Bevölkerung. Unternehmen sollten sicherstellen, dass diese Warnungen auch intern beachtet werden. Manch großes Unternehmen hat ein eigenes Krisenwarnsystem (z.B. SMS an alle Mitarbeiter), das aber mit den behördlichen Warnmeldungen synchronisiert werden muss, um keine widersprüchlichen Infos zu verbreiten.

Die Zusammenarbeit bei Evakuierungen erfordert Vertrauen: Mitarbeiter verlassen sich darauf, dass die Ansagen – ob vom eigenen Betrieb oder der Polizei – kohärent und begründet sind. Nach der Ahrtalflut 2021 wurden Defizite bei Warnung und Evakuierung deutlich. Als Folge wurde die Warninfrastruktur verbessert (u.a. Wiederinbetriebnahme von Sirenen und Einführung von Cell Broadcast). Unternehmen tun gut daran, sich in diese öffentlichen Warnkonzepte einzuklinken, z.B. indem sie Sirenensignale in ihren Liegenschaften bekannt machen und Alarmpläne darauf abstimmen.

Gefahrenmeldeanlagen wie Einbruchmelde- und Überfallmeldeanlagen bilden die technische Schnittstelle zum Sicherheitsnotruf.

• Alarmempfangsstellen (AES): Viele Unternehmen haben Verträge mit Sicherheitsdiensten, deren Leitstellen 24/7 besetzt sind. Wenn z.B. nachts ein Einbruchsensor im Lager auslöst, bekommt die AES dies und schickt einen Alarmverfolger oder informiert die Polizei, je nach Vereinbarung. Die DIN EN 50518 legt Standards für solche Leitstellen fest, damit sie zuverlässig arbeiten. Die Polizei arbeitet mit diesen Leitstellen zusammen; oft gibt es feste Meldewege, damit Fehlalarme gefiltert werden. Unternehmen müssen ihre Anlagen so planen, dass sie falsche Alarme minimieren (denn zu häufige Fehlalarme können dazu führen, dass die Polizei eine Gebühr erhebt oder im schlimmsten Fall nicht mehr kommt).

• Überfallalarme: In Banken oder gefährdeten Einrichtungen gibt es stille Alarmknöpfe. Diese gehen in der Regel direkt zur Polizei. Die Schnelligkeit und Vertraulichkeit dieser Schnittstelle ist kritisch – FM stellt sicher, dass solche Anlagen funktionieren und regelmäßig mit der Polizei getestet werden (Testalarme außerhalb der Öffnungszeiten).

• Videofernüberwachung: Moderne Gefahrenmeldeanlagen sind oft mit Video verknüpft. Ein Sicherheitsdienst oder polizeiliche Leitstelle kann im Alarmfall auf Livebilder zugreifen, um die Lage einzuschätzen. Hierfür ist Datenschutz (Zulässigkeit der Übertragung) abzuklären, aber technisch verbessert es die Zusammenarbeit enorm, da Fehlalarme erkannt oder Täterbeschreibungen sofort erfasst werden können.

Sowohl für Polizei als auch Unternehmen ist das Alarmmanagement ein heikler Punkt: Zu wenig Meldung gefährdet Sicherheit, zu viel Fehlalarm belastet Ressourcen. Deshalb haben sich in vielen Regionen Polizei-Sicherheitsunternehmen-Stammtische etabliert, um Standards zu diskutieren (beispielsweise wie die Intervention nach einem Einbruchalarm ablaufen soll: wer fährt zuerst hin, wie wird die Polizei eingewiesen etc.). Normativ regelt u.a. die VdS (Verband der Sachversicherer) einiges – z.B. VdS-Richtlinien zur Aufschaltung und Interventionsfristen.

Der Objektschutz eines Unternehmensgeländes (Schutz vor Eindringen Unbefugter, Diebstahl, Spionage) wird primär vom Unternehmen bzw. beauftragten Sicherheitsdiensten geleistet.

• Werkschutz vs. Polizei: Werkschutzmitarbeiter haben keine Polizeibefugnisse außer den allgemeinen Jedermannsrechten. Dennoch übernehmen sie quasi-polizeiliche Aufgaben auf Privatgelände (Kontrolle von Ausweisen, Durchsetzung des Hausrechts). Im Notfall rufen sie die Polizei. Wichtig ist eine klare Abgrenzung: PPP-Modelle erlauben in manchen Fällen, dass private Sicherheitskräfte im öffentlichen Raum unterstützend agieren, aber auf dem Betriebsgelände sind sie ohnehin Herr der Lage (Hausrechtsinhaber). Kommt es dort zu einer Straftat, muss die Polizei hinzugezogen werden, sobald staatliche Maßnahmen nötig sind (z.B. Strafanzeige, Verhaftung eines Täters).

• Kooperation im öffentlichen Raum: Hat ein Unternehmen einen ausgedehnten Standort (Campus, Werkssiedlung) mit öffentlichen Straßen darin, entsteht Mischzuständigkeit. Hier können Vereinbarungen geschlossen werden, dass der Werkschutz auch in öffentlich zugänglichen Bereichen ein Auge mit drauf hat und Auffälligkeiten sofort der Polizei meldet – eine Sicherheits-Partnerschaft im Kleinen.

• Zutrittskontrolltechnik & Ausweise: Bei Staatsbesuchen oder hochrangigen politischen Veranstaltungen auf Firmengelände (z.B. Tagungen) wird oft temporär die Zutrittskontrolle zwischen Unternehmen und Polizei verzahnt. Die Firmenausweise allein genügen dann nicht; die Polizei macht Hintergrund-Checks der Teilnehmer und erstellt ggf. zusätzliche Berechtigungen. Dieses Schnittstellen-Thema trat z.B. beim G20-Gipfel 2017 in Hamburg auf, als Logistikfirmen im Hafen ihre Mitarbeiterlisten vorab dem BKA geben mussten.

• Notruf und Intervention: Objektschutz schließt auch den Schutz gegen Sabotage oder Anschläge ein. Die Unternehmen erstellen hier Pläne, aber im Gefahrenfall (z.B. Sichtung eines verdächtigen Gegenstands auf dem Gelände) übernimmt die Polizei die Führung. Üblicherweise üben Polizei und Firmen solche Szenarien gemeinsam (siehe etwa Bombendrohung-Evakuierung). Gute Praxis: In sensiblen Betrieben liegen bei der Polizei Objektakten vor, die alle wichtigen Infos (Lagepläne, Ansprechpartner, Gefahrgut) enthalten – gepflegt vom Unternehmen und dem polizeilichen Staatsschutz.

Ein Sonderfall: Objektschutz durch staatliche Kräfte. Bei besonders gefährdeten Objekten (Militäranlagen, jüdische Einrichtungen, aber auch manche KRITIS-Betriebe in Hochrisikolagen) kann die Polizei oder sogar Bundeswehr temporär Objektschutz stellen. Dann werden Posten vor Ort installiert. Für das Unternehmen heißt das, mit diesen Kräften eng abzustimmen (Zugang, gemeinsame Streifen mit Werkschutz). Ein aktuelles Beispiel sind etwa Energieanlagen, die bei erhöhter Terrorwarnstufe von der Polizei verstärkt bestreift werden – in Absprache mit den Betreibern.

Die IT-Sicherheit in Unternehmen war lange als rein interne Domäne angesehen.

• CERTs und BSI-Kontakte: Viele größere Unternehmen haben eigene Computer Emergency Response Teams (CERT), die bei IT-Vorfällen agieren. Das nationale CERT-Bund beim BSI kooperiert mit diesen und tauscht Indikatoren aus. Bei großen Cyberangriffen (etwa WannaCry 2017) erhielten Firmen vom BSI Warnmails und Handlungsanweisungen. Umgekehrt melden Firmen Funde von neuer Malware an das BSI. Diese Echtzeitkommunikation ist zu einer eingespielten Schnittstelle geworden, vor allem in KRITIS-Sektoren.

• Polizeiliche Cyber-Ermittlungsstellen: Wenn ein Unternehmen Opfer eines Hacks oder Erpressung (Ransomware) wird, schaltet es die Polizei ein (meist die Zentrale Cybercrime-Ansprechstelle des LKA). Dort werden dann Strafverfahren geführt. Die Zusammenarbeit ist hier delikat, da das Unternehmen einerseits Aufklärung will, andererseits sensible Daten betroffen sein können. Deshalb arbeiten viele Firmen mit spezialisierten Cyber-Beratungen, die wiederum mit den Behörden kooperieren. Staatliche Seite bemüht sich, Unternehmen die Anzeige von Cybercrime zu erleichtern (z.B. Online-Meldeportale, anonymisierte Beratungen), damit das Dunkelfeld kleiner wird.

• Gemeinsame Lagezentren: Im Nationalen Cyber-Abwehrzentrum, angesiedelt beim BSI, sitzen Vertreter verschiedener Behörden (BSI, BKA, BND, Verfassungsschutz) zusammen. Es dient primär dem Informationsaustausch. Unternehmen sind dort nicht fest vertreten, aber sie liefern Input indirekt: z.B. über Branchen-CERTs oder über das Cyber-Sicherheitsrat-Gremium, in dem Wirtschaft vertreten ist. Auf Landesebene entstehen teils Cyber-Allianzen (z.B. Allianz für Cyber-Sicherheit NRW mit Unternehmen und Verfassungsschutz).

• Schutz kritischer IT-Komponenten: Nach BSIG müssen KRITIS-Unternehmen bei Beschaffung kritischer Technik (z.B. für Energieanlagen) das BSI einbeziehen (§9b BSIG – Meldung kritischer Komponenten). Das ist eine neue Schnittstelle: Der Staat prüft mit, ob z.B. ein ausländischer Lieferant sicherheitlich Bedenken aufwirft. Hier findet also auf regulatorischer Ebene ein Zusammenwirken bei der Lieferketten-Sicherheit statt.

In Summe hat die IT-Sicherheit die ehemals vorhandene Kluft zwischen staatlicher und Unternehmenssphäre überwunden. Angriffe im Cyberspace treffen oft gleichzeitig Staat und Privatwirtschaft, daher gibt es mittlerweile eine Schicksalsgemeinschaft: Man tauscht Warnungen, koordiniert Reaktionen (etwa gemeinsam Standard-Patches verteilen) und lernt aus Vorfällen. Unternehmen haben erkannt, dass sie ohne Informationen von Behörden blind wären gegenüber manchen Bedrohungen (z.B. staatlich gelenkte Hackerangriffe), während Behörden auf die Fachkenntnis und Detektionsfähigkeiten der Unternehmen angewiesen sind, um überhaupt Einblick ins Angriffsgeschehen zu haben.

Sicherheit im Unternehmenskontext wird nicht nur durch Gesetze und Behördenvorgaben bestimmt, sondern auch durch ein Geflecht von Normen, Standards und Best Practices. Diese bieten Orientierung und Hilfestellung, um Sicherheitsmanagement systematisch aufzubauen. In diesem Kapitel werden einige der wichtigsten Normen und Standards vorgestellt, die in Deutschland für betriebliche Sicherheit – insbesondere im Facility Management – relevant sind, darunter der BSI-Grundschutz, ISO/IEC 27001, ausgewählte DIN-Normen sowie Empfehlungen von Behörden.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Framework zur Informationssicherheit, das seit den 1990er Jahren entwickelt wurde. Er umfasst Standards, Kataloge von Sicherheitsmaßnahmen und Methoden zur Erstellung eines Informationssicherheits-Managementsystems (ISMS).

Kern des IT-Grundschutzes sind die BSI-Standards 200-1 bis 200-3 sowie das jährlich aktualisierte IT-Grundschutz-Kompendium, welches eine umfangreiche Sammlung von Bausteinen (Themen wie Netzwerk, Client, Rechenzentrum, Personal, Notfallmanagement etc.) enthält. Jeder Baustein listet Gefährdungen und empfohlene Maßnahmen auf, gestaffelt in Basis-, Standard- und höherwertige Maßnahmen. Unternehmen können anhand dieser Bausteine ein Sicherheitskonzept aufbauen, das als Best Practice anerkannt ist.

Der IT-Grundschutz hat in Deutschland eine ähnliche Rolle wie international die ISO 27001, allerdings mit einem pragmatischeren, vordefinierten Maßnahmenkatalog. Tatsächlich gibt es die Möglichkeit einer ISO 27001-Zertifizierung auf Basis von IT-Grundschutz. Dabei wird geprüft, ob die Grundschutzmaßnahmen implementiert sind und das ISMS den Anforderungen genügt. Viele Bundesbehörden und auch einige Unternehmen haben diese Zertifizierung erlangt.

Für das Facility Management ist der IT-Grundschutz relevant, weil er auch physische Aspekte der IT-Sicherheit betrachtet – z.B. der Baustein INF.1 „Allgemeines Gebäude“ oder INF.2 „Serverraum/Rechenzentrum“ behandeln Klimatisierung, Stromversorgung, Schutz gegen Einbruch in IT-Bereichen etc. So weist das BSI z.B. auf die Norm DIN EN 62305 (Blitzschutz) als obligatorisch für Gebäude mit IT-Installationen hin. Damit fließen technische Normen direkt über den Grundschutz als Empfehlung in die betriebliche Praxis ein.

Es dient der BSI-Grundschutz als umfangreicher Leitfaden, um nichts Wichtiges zu vergessen und den Stand der Technik zu berücksichtigen. Unternehmen, die dem Grundschutz folgen, profitieren von der Erfahrung der BSI-Experten und bewegen sich auf einem Niveau, das auch von Prüfern oder Versicherern als angemessen betrachtet wird.

Die ISO/IEC 27001 ist eine international anerkannte Norm, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) stellt. Sie verfolgt einen prozessorientierten Ansatz: Planung, Implementierung, Überwachung und kontinuierliche Verbesserung der Informationssicherheit im Unternehmen.

• Risikomanagement: Das Unternehmen muss Assets und Risiken identifizieren und auf Basis dessen angemessene Sicherheitsmaßnahmen wählen. Anders als beim BSI-Grundschutz schreibt ISO 27001 keine konkreten Maßnahmen vor, sondern fordert, dass man einen systematischen Prozess hat.

• Anhang A der Norm listet 114 Kontrollen (Sicherheitsmaßnahmen) als Empfehlungskatalog, z.B. Maßnahmen zu Zugangskontrolle, Kryptografie, physischer Sicherheit, Personal Security usw. Diese sind jedoch relativ allgemein gehalten.

• Dokumentationsanforderungen: Policy, Scope, Risikoanalyse, Statement of Applicability (Übersicht, welche Kontrollen angewendet werden), Berichte von internen Audits, Management-Bewertungen – die Norm verlangt einige dokumentierte Informationen, um Nachweis der Umsetzung zu erbringen.

Die ISO 27001 wurde in Deutschland als DIN ISO/IEC 27001 übernommen. Sie ist in vielen Branchen ein De-facto-Standard, um Vertrauen zu schaffen. Beispielsweise verlangen manche Auftraggeber (etwa in der Automobilindustrie) von ihren Dienstleistern eine ISO-27001-Zertifizierung, bevor diese Zugang zu sensiblen Daten erhalten.

Im Kontext der staatlichen Sicherheit spielt ISO 27001 ebenfalls eine Rolle: Die KRITIS-Regulierung erlaubt es, dass Betreiber mit ISO/27001-Zertifizierung (plus branchenspezifischen Standards) den Nachweis ihrer Maßnahmen erbringen. Auch das BSI selbst zertifiziert Behörden nach ISO 27001 auf Basis IT-Grundschutz – die Symbiose wurde bereits erwähnt.

Für das Facility Management rückt ISO 27001 besonders dann ins Blickfeld, wenn gebäudetechnische Systeme IT-gestützt sind (Stichwort Smart Building, Gebäudeleittechnik). Diese Systeme sollten ins ISMS einbezogen werden. Beispielsweise wären die Server, die Zutrittskontrolle oder Videoüberwachung steuern, als kritische Assets zu identifizieren und gegen Cyberangriffe abzusichern. Hier fließen Normen zusammen: die IT-Sicherheitsnorm (ISO 27001) und die gebäudespezifischen Normen (für Zutrittssysteme etc., siehe nächster Abschnitt).

In Deutschland existiert eine Fülle von DIN-Normen (bzw. DIN-EN oder DIN-VDE-Normen) im Bereich der Sicherheitstechnik und des Facility Managements.

• DIN EN 1627 (Einbruchhemmende Bauteile): Klassifiziert Fenster, Türen, Rollläden in Widerstandsklassen (RC1 bis RC6) und definiert Prüfverfahren. Für FM bedeutet das: Beim Bau oder der Nachrüstung wählt man z.B. Fenster der Klasse RC3 für ein Verwaltungsgebäude mit mittlerem Schutzbedarf. Polizeiliche Beratungen empfehlen oft, bestimmte RC-Klassen nicht zu unterschreiten.

• DIN VDE 0833 (Gefahrenmeldeanlagen): Mehrere Teile, welche Planung, Einbau und Betrieb von Einbruch- und Brandmeldeanlagen regeln. Sie stellen sicher, dass Alarme zuverlässig erkannt und gemeldet werden. FM muss bei der Errichtung solcher Anlagen auf Fachfirmen setzen, die nach VDE 0833 installieren, um im Ernstfall anerkannt funktionierende Systeme zu haben.

• DIN EN 50518 (Alarmempfangsstellen): Legt Anforderungen an Leitstellen fest, die Alarme empfangen. Für Unternehmen relevant, wenn sie einen Wachdienst beauftragen – man sollte fragen, ob dessen Leitstelle nach 50518 zertifiziert ist, da dies ein Qualitätsmerkmal ist.

• DIN 77200 (Sicherheitsdienstleistungen): Diese Norm spezifiziert Qualitätsstandards für private Sicherheitsdienste. Es werden Anforderungen an Organisation, Personal (z.B. Qualifizierung, Zuverlässigkeitsüberprüfung) und Prozesse gestellt. Unternehmen, die Security-Aufgaben auslagern, schreiben oft in Verträgen die Einhaltung von DIN 77200 vor, um eine gewisse Mindestqualität zu sichern.

• DIN 14675 (Sprachalarmanlagen): Regelt Planung, Einbau und Betrieb von elektroakustischen Notfallwarnanlagen (Beschallung für Sprachdurchsagen im Brandfall). In Versammlungsstätten sind solche Anlagen Pflicht. Das FM trägt die Verantwortung, dass sie normgerecht installiert und regelmäßig gewartet werden.

• DIN EN 62305 (Blitzschutz): Schon erwähnt, diese Normenreihe behandelt Blitzschutzsysteme umfassend. Gebäude mit bestimmten Nutzungen (z.B. explosionsgefährdete Anlagen, Krankenhäuser, Rechenzentren) brauchen Blitzschutz nach dieser Norm. Blitzschutzprüfungen müssen alle 2-4 Jahre erfolgen, was in Betreiberpflichtenlisten auftaucht.

Neben DIN gibt es VdS-Richtlinien (z.B. VdS 2095 für Sprinkleranlagen) und technische Regeln der DGUV (Deutsche Gesetzliche Unfallversicherung) für Arbeitssicherheit, die ebenfalls verbindlich oder de-facto-verbindlich sind.

Im Facility Management dienen diese Normen und Standards als Planungs- und Betriebsgrundlage. Sie sind oft in Rechtsvorschriften verankert (z.B. Bauordnung fordert „anerkannte Regeln der Technik“ im Brandschutz – was auf DIN/VdS verweist). Auch Versicherer fordern Nachweis der Normkonformität, bevor sie Risiken zeichnen.

Die konsequente Anwendung von Normen im Sicherheitsbereich führt dazu, dass Anlagen kompatibel und verlässlich arbeiten. Beispielsweise garantiert die Normenreihe DIN EN 54 (für Brandmelder) eine bestimmte Qualität – würden Firmen hier minderwertige, nicht normierte Geräte einsetzen, könnte die Feuerwehr zögern, ob dem Alarm zu trauen ist. Normen schaffen also Vertrauen und Einheitlichkeit, was besonders bei Schnittstellen (z.B. Feuerwehranzeigetableau für Brandmeldeanlagen nach DIN 14675) wichtig ist.

• B3S (Branchenspezifische Sicherheitsstandards): Gemäß BSIG können Branchen eigene Sicherheitsstandards erarbeiten, die vom BSI anerkannt werden. Diese B3S existieren z.B. für Energie, Wasser, Gesundheit (Krankenhäuser) etc.. Sie enthalten praxisnahe Empfehlungen, wie die gesetzlichen Anforderungen erfüllt werden können. KRITIS-Betreiber nutzen diese intensiv.

• Polizeiliche Empfehlungskataloge: Die Kriminalpolizei gibt Broschüren heraus, z.B. „Sicherungsrichtlinien für Betreiber von Geldautomaten“ oder „Empfehlungen für Bewachungsunternehmen beim Schutz von Flüchtlingsunterkünften“. Solche Dokumente sind nicht bindend, aber wenn sich ein Vorfall ereignet, wird oft geprüft, ob der Betreiber sich an gängige Empfehlungen gehalten hat.

• Verfassungsschutz-Berichte und Handlungshinweise: Verfassungsschutzbehörden publizieren z.B. jährlich Berichte zu Wirtschaftsspionage und geben Hinweise, wie man sich schützen kann (z.B. in Gesprächen Vorsicht walten lassen, keine unbekannten USB-Sticks nutzen, bei Geschäftsreisen in bestimmte Länder besondere Vorsicht). Unternehmen können dies in Schulungsmaterial übernehmen.

• BBK Fachempfehlungen: Das Bundesamt BBK und die Innenministerkonferenz erstellen Fachempfehlungen für den Bevölkerungsschutz. Z.B. gibt es Empfehlungen zur Notstromvorsorge, zum betrieblichen Kontinuitätsmanagement oder zur Ausrüstung von Leitstellen. Ein FM kann daraus entnehmen, was die öffentliche Hand als „Stand der Vorbereitung“ sieht und seine eigene Notfallplanung daran spiegeln.

• Technische Sicherheitsrichtlinien (TR) und Standards: Für IT gibt das BSI Technische Richtlinien heraus (z.B. TR-02102 für Kryptographie), die indirekt auch die Wirtschaft nutzt, z.B. um zu wissen, welche Verschlüsselungsverfahren noch als sicher gelten.

• DGUV-Informationen: Von den Unfallversicherungsträgern kommen praxisnahe Infos zu Arbeitssicherheitsthemen – z.B. „Sicherung von Arbeitsstätten gegen unbefugten Zutritt“ – die Aspekte von Objektschutz und Arbeitsschutz verbinden.

Die Nutzung dieser weichen Instrumente zeigt ein vorsorgendes Sicherheitsmanagement. Wer sich nur auf Gesetze beschränkt, erfüllt das Minimum; wer Leitfäden heranzieht, kann Sicherheitsniveau und Compliance erhöhen. Zugleich wälzen Behörden so ihr Expertenwissen aus vielen Fällen in die Breite: Wenn z.B. in der Vergangenheit häufig Diesel-Notstromaggregate ausfielen, veröffentlicht das BBK einen Bericht mit Empfehlungen zur Wartung – Unternehmen, die dies beherzigen, vermeiden vielleicht die gleichen Fehler.

• Sicherheitskonzept für einen Behördenstandort – hier wird deutlich, wie staatliche und betriebliche Sicherheitsstrukturen ineinandergreifen.

• Sicherheitsmanagement in einem KRITIS-Unternehmen – illustriert die besonderen Anforderungen und Kooperationen im Bereich Kritischer Infrastrukturen.

• Absicherung eines Rechenzentrums – zeigt die Verknüpfung von physischer Gebäudesicherheit und IT-Sicherheit im Facility Management.

Diese Beispiele dienen zur Veranschaulichung und sind vereinfachte Darstellungen realer Konstellationen.

Betrachten wir ein fiktives Beispiel: Ein neues Regierungszentrum in einer deutschen Großstadt, in dem mehrere Bundesbehörden gemeinsam untergebracht sind (vergleichbar etwa mit dem Bundesviertel in Bonn).

• Objektschutz durch die Bundespolizei: Aufgrund der Schutzwürdigkeit des Ortes (Bundesministerien) wird der äußere Objektschutz durch eine Einheit der Bundespolizei gestellt. An den Toren und Zufahrten kontrollieren Bundespolizisten rund um die Uhr die Zugangsberechtigungen. Sie führen stichprobenartig Fahrzeuginspektionen durch und patrouillieren auf dem Gelände. Der Einsatz der Bundespolizei erfolgt auf Grundlage des Bundespolizeigesetzes und in Absprache mit dem BMI.

• Werkschutz/Sicherheitsdienst: Parallel dazu hat das Facility Management einen privaten Sicherheitsdienst beauftragt, der im Inneren der Gebäude tätig ist – z.B. Aufsicht am Empfang, Besucheranmeldungen, Schließdienst. Dieser Sicherheitsdienst arbeitet eng mit der Bundespolizei zusammen: Es gibt klare Meldewege, wann die private Security die Bundespolizei hinzuzieht (z.B. bei festgestellten Straftaten oder wenn ein Besucher aggressiv wird).

• Zutrittskontrollsystem: Alle Bediensteten besitzen elektronische Ausweise. Das Zutrittssystem wurde nach BSI-Empfehlungen ausgewählt (sicheres RFID-Verfahren) und ist so konzipiert, dass bei erhöhtem Alarmstatus (z.B. Terrorwarnstufe) alle Türen automatisch verriegelbar sind. Die Konfiguration erfolgte in Abstimmung mit der Bundespolizei und dem BSI (letzteres hinsichtlich IT-Sicherheit des Systems).

• Technische Perimeter-Sicherheit: Um das Gelände verläuft ein hochsicherer Zaun mit Detektionskabeln und Kameras. Diese sind an eine Leitstelle angeschlossen. Die Leitstelle wird 24/7 von Bundespolizisten besetzt, unterstützt von Monitorpersonal des privaten Sicherheitsdiensts. Bei einem Alarm (z.B. Zaunüberkletterung) sieht der Bundespolizist auf der Wärmebildkamera den Vorfall und entscheidet, ob eine Intervention (Streife hin) erfolgt.

• Brandschutz & Notfälle: Die Gebäude sind mit modernster Brandschutztechnik ausgestattet (Rauchansaugsysteme, flächendeckende Sprinkler). Es gibt eine eigene Werkfeuerwehr am Standort, die vom technischen Gebäudebetreiber (Facility-Unternehmen) organisiert wird – allerdings besteht sie größtenteils aus Mitarbeitern mit Doppelfunktion und hauptamtlichen Feuerwehrexperten. Diese Werkfeuerwehr kann Erstlöschmaßnahmen einleiten, während die städtische Feuerwehr auf Anforderung anrückt. Regelmäßige Übungen finden gemeinsam statt, was vom städtischen Brandschutzamt überwacht wird.

• Geheimschutz und Zugang: In den Ministerien gibt es Bereiche der Geheimhaltungsstufe VS-Vertraulich und höher. Diese sind baulich abgetrennt (Security Areas). Der Zugang wird über besondere Mechanismen (z.B. biometrische Scanner) geregelt. Das Sicherheitskonzept hier stammt vom Bundesamt für Verfassungsschutz, das die Anforderungen vorgibt (gemäß Geheimschutzordnung). FM und der integrale Planer mussten diese Anforderungen (z.B. Alarmanlage nach Technischer Richtlinie VS) umsetzen und vom BfV abnehmen lassen.

• Notfall- und Krisenmanagement: Im Behördenzentrum existiert ein gemeinsamer Krisenstab-Raum. Sollte es eine Bedrohung geben (z.B. Sprengsatzdrohung, bewaffneter Eindringling), versammeln sich hier Vertreter aller ansässigen Behörden unter Leitung des Hausleiters und eines Polizeivertreters. Man hat dieses Szenario geprobt (Stabsrahmenübung zusammen mit der Landespolizei). Das Konzept orientiert sich an den Empfehlungen des BBK für Behördennotfallplanung.

Dieses Beispiel zeigt: An einem sensiblen Standort überlappen sich staatlicher Schutz und Facility Management. Bundespolizei und private Security arbeiten Hand in Hand, Normen des Geheim- und Brandschutzes bestimmen bauliche und technische Ausstattung, und behördliche Abläufe (Krisenstab) greifen im Ereignisfall mit betrieblichen Strukturen ineinander. Die Komplexität ist hoch, aber notwendig, um ein Maximum an Sicherheit zu erreichen. Eine Schwachstelle an einer Schnittstelle könnte das gesamte Konzept gefährden – daher wurde viel Wert auf klare Zuständigkeiten, Redundanz (z.B. doppelte Leitstelle) und gemeinsame Übungen gelegt.

Das zweite Beispiel dreht sich um einen überregionalen Energieversorger (Stromnetzbetreiber), der als Kritische Infrastruktur gilt. Dieser Betreiber muss nicht nur sein eigenes Unternehmen schützen, sondern trägt Verantwortung für die Aufrechterhaltung der Stromversorgung – ein Ausfall hätte landesweite Auswirkungen.

• ISMS nach ISO 27001/BSI-Grundschutz: Der Versorger hat ein zertifiziertes Informationssicherheits-Managementsystem eingeführt. Ein Chief Information Security Officer (CISO) leitet das Team, das alle Standorte auf IT-Risiken prüft, Policies erstellt und Audits vornimmt. Dieses ISMS wurde auch dem BSI angezeigt (Pflicht nach BSIG) und das Unternehmen meldet jährlich den Stand der Umsetzung (§8a BSIG-Nachweis).

• Netzleitstelle und Nationales IT-Lagezentrum: Die zentrale Netzleitstelle des Unternehmens überwacht das Stromnetz. Sie steht in ständigem Kontakt mit dem branchenübergreifenden Stromnetz-Sicherheitsmanagement und dem Nationalen IT-Lagezentrum des BSI. Wenn z.B. großflächig IT-Ausfälle bei Netzbetreibern auftreten (wie in der Ukraine 2015 bei einem Cyberangriff), würde das BSI im Lagezentrum Alarm schlagen und die Netzbetreiber (darunter unser Unternehmen) würden ihre Krisenstäbe hochfahren.

• Physischer Schutz der Anlagen: Die wichtigsten Umspannwerke und Rechenzentren des Versorgers sind als besonders schutzwürdig eingestuft. Sie werden durch externe Sicherheitsdienste bewacht. Die Landespolizei hat die Objekte ebenfalls im Blick – einige sind sogar in der polizeilichen Alarmplanung priorisiert (d.h. bei bestimmten Lagen, z.B. Terrorwarnung, fahren Polizeistreifen dort verstärkt vorbei). In der örtlichen Polizei-Führungsstelle liegt jeweils ein Objektplan mit Notfallinfos (z.B. dass dort Hochspannung anliegt, welche Personen kontaktiert werden müssen).

• Notfallplanung und Blackout-Vorsorge: Das Unternehmen hat umfangreiche Notfallpläne entwickelt, z.B. für den Fall eines Blackouts. Diese Pläne sind mit der öffentlichen Hand abgestimmt (beispielsweise mit den Katastrophenschutzstäben der Länder). So weiß der staatliche Krisenstab, welche Notstromanlagen der Netzbetreiber hat und wie lange, wo das Unternehmen Hilfestellung braucht (etwa Begleitschutz für Reparaturtrupps durch die Polizei in instabiler Lage).

• Public-Private Gremien: Der Versorger ist Mitglied in der AG KRITIS und im Cyber-Abwehrzentrum vertreten (hier über den Branchenverband). Man entsendet Experten zu den regelmäßigen Treffen mit BSI und Verfassungsschutz, wo Bedrohungsinformationen geteilt werden. Konkret führte dies z.B. dazu, dass das Unternehmen seine Kontrollsysteme nach Hinweisen des BSI gegen eine neu entdeckte Malware härtete, noch bevor diese es angriff.

• Unternehmenssicherheit und Wirtschaftsschutz: Neben der IT hat der Betreiber auch eine klassische Unternehmenssicherheit-Abteilung (Physical Security). Diese kümmert sich um Mitarbeitersicherheit, Spionageabwehr (Stromnetzpläne sind hochsensible Daten) und koordiniert mit Verfassungsschutz. So wurden z.B. alle Mitarbeiter, die in kritischen Bereichen arbeiten, durch den Verfassungsschutz auf Sabotagerisiken überprüft (SÜG-Überprüfung Ü2). Außerdem hält die Abteilung engen Kontakt zur Landeskriminalamt-Staatsschutzabteilung für den Fall von Bedrohungen durch Extremisten (z.B. Drohbriefe von militanten Gruppen).

• Audits durch BSI und Regulierer: Der Versorger muss sich regelmäßig Prüfungen unterziehen – das BSI oder beauftragte Prüfer führen vor Ort Assessments durch, schauen Logfiles an, befragen Verantwortliche. Auch die Bundesnetzagentur (als sektorieller Regulierer) interessiert sich für Versorgungssicherheit. Diese Überprüfungen erzeugen einen ständigen Verbesserungsprozess.

Dieses Fallbeispiel zeigt, dass ein KRITIS-Unternehmen in ein dichtes Netz aus Kontrollen und Kooperationen eingebunden ist. Das eigene Sicherheitsmanagement muss sehr professionell sein, quasi auf gleichem Niveau wie staatliche Stellen, damit der Austausch auf Augenhöhe stattfinden kann. Gleichzeitig profitiert das Unternehmen von staatlichem Schutz: Bei größeren Gefährdungen würde die Polizei nicht zögern, Objektschutz zu geben, und das BSI liefert wertvolle Frühwarnungen. Ohne diese enge Verzahnung wäre die Resilienz der Stromversorgung deutlich geringer.

Das dritte Beispiel betrifft ein Rechenzentrum eines mittelständischen IT-Dienstleisters, das sowohl eigene Daten beherbergt als auch Housing für Kunden anbietet. Rechenzentren sind oftmals Teil der Kritischen Infrastruktur (wenn sie z.B. Cloud-Dienste für Krankenhäuser oder Behörden hosten) oder zumindest ein besonders schützenswerter Unternehmensbereich.

• Bauliche Sicherheit: Das Rechenzentrum ist in einem unscheinbaren Industriegebäude untergebracht. Es wurde mit Widerstandsklasse RC4 Türen und Fenstergittern nach RC4 ausgestattet, um Einbruchsversuche abzuwenden. Die Wände erfüllen Feuerwiderstand F90, es gibt einen durchgehenden Blitzschutz (DIN EN 62305) samt Überspannungsschutz auf allen Leitungen. Ein Zugang ist nur durch eine Schleuse mit Vereinzelungsanlage möglich.

• Zutrittskontrolle und Überwachung: Zutritt erhalten nur berechtigte Mitarbeiter und Kunden (für deren Racks) via Zwei-Faktor (Karte + PIN, teils auch biometrisch). Alle Zugriffe werden protokolliert. 24/7 ist Personal vor Ort; daneben hängen Kameras in allen Gängen, die zu einer NSL (Notruf-Service-Leitstelle) geschaltet sind. Die NSL erfüllt DIN EN 50518, Alarme (z.B. wenn jemand unbefugt eine Racktür öffnet) werden von dort an den Wachdienst vor Ort und bei konkretem Verdacht an die Polizei gemeldet.

• Brandschutz: In den Serverräumen sind Brandfrüherkennungssysteme (Ansaugrauchmelder) installiert, verknüpft mit einer Argon-Löschanlage. Bereits ab Entstehung kleinster Rauchmengen wird Alarm geschlagen. Die Löschanlage hat eine Verzögerung, damit im Zweifel Personal oder Feuerwehr eingreifen kann, bevor IT-Anlagen durch Gasabschaltung beeinträchtigt werden. Die Feuerwehr des Bezirks kennt das Objekt und hat es in die Alarm- und Ausrückeordnung als Objekt mit automatischer Meldung aufgenommen – d.h. ein Vollalarm der Anlage führt direkt zu einem Feuerwehreinsatz. Außerdem hat das RZ-Management mit der Feuerwehr vereinbart, regelmäßig gemeinsame Tests der Löschanlage durchzuführen (ohne Gasabwurf) und das Vorgehen im Ernstfall zu besprechen, da Serverräume spezielle Herausforderungen (z.B. Hitze, Elektrik) darstellen.

• Strom- und Kühlungs-Notfallpläne: Es gibt redundante USV (unterbrechungsfreie Stromversorgung) und Dieselgeneratoren. Diese wurden in Absprache mit dem Umweltamt und der Feuerwehr ausgelegt (Tanksicherheit, Abgase). Für länger andauernde Stromausfälle besteht eine Vereinbarung mit einem Tanklieferanten, der dem BBK-Notfallrat angehört, sodass prioritäre Diesel-Lieferung erfolgt. Das Szenario „72 Stunden Blackout“ ist im Krisenhandbuch durchgespielt und mit der Kommune abgestimmt – z.B. ist vereinbart, dass im äußersten Fall (wenn Diesel knapp) das RZ prioritäre Belieferung erhält, weil es kritische Daten für die Stadt hostet.

• Cyber-Abwehr: Der IT-Teil ist nach ISO 27001 zertifiziert. Ein internes CERT überwacht die Netzwerke auf Angriffe. Es besteht Anbindung ans CERT-Bund für aktuellen Austausch. Bei festgestellten Angriffen (z.B. DDoS auf einen Kundenserver) wird das BSI informiert, sofern es kritisch erscheint, und man erarbeitet gemeinsam Gegenmaßnahmen. In einem Fall eines neuartigen Angriffs hat das BSI das RZ sogar vorgewarnt aufgrund von Erkenntnissen aus einem anderen Opfer – so konnte man rechtzeitig Firewalls updaten. Umgekehrt hat das RZ dem BSI einmal eine bis dato unbekannte Malware eingesandt, die im Honeypot gefunden wurde, was zur Warnung an andere führte.

• Externe Audits: Kunden, insbesondere öffentliche Auftraggeber, auditieren das RZ regelmäßig. Darunter war auch das Landesamt für Sicherheit in der Informationstechnik, das quasi im Auftrag einer Behörde testete, ob das RZ die Anforderungen für den Betrieb von Regierungsdaten erfüllt. Dabei wurden sowohl physische Sicherheit (Zutritt, Wachdienstqualifikation nach DIN 77200) als auch technische Maßnahmen (Netzsegmentierung, Backup-Konzept) geprüft. Das RZ konnte mit Verweis auf Normenkonformität und dokumentierte Verfahren die Auditoren überzeugen.

Dieses Rechenzentrum-Beispiel illustriert, wie integriert moderne Sicherheit sein muss: Physische und digitale Sicherheit greifen ineinander (z.B. Zugang nur mit IT-Freigabe, Cyberangriffe erfordern physische Resilienz der Stromversorgung). Die Betreiber arbeiten mit vielfältigen Stellen zusammen – von Feuerwehr über BSI bis Kunden-Auditoren. Für das Facility Management im RZ heißt das, sowohl technisches Verständnis (für Strom, Klima, Brandschutz) als auch die Sprache der Informationssicherheit sprechen zu können. Behördenanforderungen (z.B. Datenschutz, falls personenbezogene Daten gehostet werden) fließen ebenfalls hinein, sodass die Compliance-Matrix komplex ist. Nur mit Hilfe von Standards und einer guten Sicherheitskultur kann ein solcher Betrieb erfolgreich laufen.

• Digitalisierung der Gefahrenabwehr: Alle Blaulichtorganisationen investieren in digitale Technologien – von der Nutzung von KI-gestützten Lageinformationssystemen bis zu vernetzten Leitstellen. Projekte wie SPELL (semantische Plattform für Leitstellen) sollen Entscheidungsunterstützung durch KI bieten. Für Unternehmen bedeutet das, dass in Zukunft z.B. Notrufe auch per automatisierter Datenübertragung (IoT-Sensor meldet Alarm direkt ans System der Leitstelle) erfolgen könnten. Die Vernetzung von Firmen-Alarmsystemen mit öffentlichen Plattformen könnte Standard werden (ein einfaches Beispiel sind App-basierte Notrufe oder automatische eCall bei Fahrzeugen – analog könnte ein Fabrikgebäude seine Brandmeldung mit Videobild direkt an die Feuerwehr schicken).

• Integrierte Lagezentren und 24/7-Situational Awareness: Rheinland-Pfalz hat mit dem LfBK und seinem neuen Lagezentrum Bevölkerungsschutz ein Modell geschaffen, das sicherlich Schule machen wird. Zentralisierung von Lagebildern über Behörden hinweg und dauerhafte Besetzung schaffen eine höhere Reaktionsgeschwindigkeit. Dies könnte ausgeweitet werden auf gemeinsame Lagezentren von Staat und Wirtschaft bei spezifischen Events – etwa könnte man bei großen Stromausfällen hybride Lagezentren fahren, in denen Netzbetreiber direkt mit am Tisch sitzen. Technisch ist die Herausforderung, heterogene Daten zu integrieren; politisch, die Zuständigkeiten zu klären.

• Schutz Kritischer Infrastrukturen und Resilienz: Hier gibt es eine klare Tendenz zu strengeren Regulierungen. Das IT-Sicherheitsgesetz 2.0 und die kommende NIS2-Richtlinie weiten den Kreis der verpflichteten Unternehmen aus und erhöhen Sanktionsdrohungen. Parallel wird diskutiert, den physischen Schutz stärker zu reglementieren (KRITIS-Dachgesetz). Angesichts von Krieg in Europa (hybride Bedrohungen aus dem Ukraine-Konflikt) hat das Thema Resilienz hochkritischer Bereiche (Energie, Kommunikation, Transport) Top-Priorität bekommen. Unternehmen müssen sich darauf einstellen, noch engmaschiger überwacht zu werden, aber auch mehr Unterstützung zu erfahren – z.B. hat der Bund angekündigt, strategische Reserven (Treibstoff, Medizin) wieder aufzubauen, wovon kritische Unternehmen in Krisen profitieren werden.

• Public-Private-Partnership Weiterentwicklung: Die Debatte um PPP in der Sicherheit ist nicht abgeschlossen. Einerseits zeigt der Fachkräftemangel bei Polizei und Rettung, dass ohne Private mancherorts Lücken entstünden. Andererseits darf das Gewaltmonopol nicht aushöhlen. Denkbar ist, dass es künftig gesetzliche Grundlagen für bestimmte Kooperationen gibt, statt diese im „rechtsfreien Raum“ von Einzelfallverträgen zu belassen. Etwa ein Rahmengesetz für kommunale Ordnungsdienste und deren Zusammenarbeit mit Privaten. Unternehmen der Sicherheitswirtschaft werben für solche Modelle, während Gewerkschaften warnen.

• Neue Technologien und neue Risiken: Die fortschreitende Technologie bringt sowohl Chancen (z.B. Drohnen für Lageerkundung durch Feuerwehr, automatisierte Zugangssysteme mit Gesichtserkennung) als auch neue Risiken (Drohnen können auch als Waffe dienen, KI-Deepfakes als Bedrohung für Authentifizierung). Die Sicherheitsarchitektur muss flexibler werden, Innovationen schneller aufnehmen. Bisher ist man eher reaktiv (erst kommen Drohnen, dann nach Jahren ein Polizeikonzept dazu). Zukünftig will man proaktiver sein: Schon jetzt laufen Pilotprojekte, etwa 5G-Campusnetze für Blaulichtorganisationen oder Blockchain-Lösungen für fälschungssichere Nachweise. Unternehmen, insbesondere im FM-Tech-Bereich, können hier als Partner fungieren – etwa beim Test smarter Gebäudetechnik, die Einsatzkräften Echtzeitdaten liefert (Raumbelegung, Temperatur, Gefahrstofflager – alles in digitaler Gebäudeakte verknüpft für den Feuerwehreinsatz).

• Bewusstsein und Kultur: Schließlich entwickelt sich auch das Sicherheitsbewusstsein weiter. Jüngere Generationen in Unternehmen haben andere Ansprüche an Sicherheit (z.B. Datenschutz-Concerns, wünschen aber auch sichere Arbeitsumgebung). Insgesamt ist zu beobachten, dass die Kultur der Zusammenarbeit besser wird: Weg vom Kirchturmdenken „Polizei vs. Werksschutz“ hin zu „Partners in Prevention“. Initiativen auf Landes- und kommunaler Ebene, die gemeinsame Sicherheitskonferenzen abhalten, werden zum Standard.