Betriebliches Sicherheitsmanagement Reifegradmodelle

Der Reifegrad (Maturity Level) beschreibt den Entwicklungsstand bzw. die Leistungsfähigkeit eines Prozesses, Systems oder einer Organisation zu einem bestimmten Zeitpunkt. Da viele Aspekte des Sicherheitsmanagements – wie Organisationsprozesse oder Sicherheitskultur – schwer quantitativ messbar sind, greifen Reifegradmodelle auf qualitative Stufenmodelle zurück. Ein Reifegradmodell ist typischerweise ein stufenbasiertes Entwicklungsmodell, das bestimmte Merkmalsausprägungen pro Stufe definiert, um so von “unzureichend” bis “vorbildlich” abgestufte Bewertungen vornehmen zu können. Jede Stufe ist meist mit Kriterien oder Indikatoren hinterlegt, die erfüllt sein müssen, um diesen Reifegrad zu erreichen. Der ermittelte Reifegrad repräsentiert somit den organisatorischen Entwicklungsstand des Sicherheitsmanagements im Bewertungszeitpunkt.

Warum sind Reifegradmodelle im Sicherheitsmanagement nützlich? In der Unternehmenspraxis besteht oft der Bedarf, den Status des eigenen Sicherheitsmanagements greifbar zu machen und gegenüber Zielen oder Best Practices einzuordnen. Ein Reifegradmodell hilft dabei, Komplexität zu reduzieren und den Ist-Zustand in einer einfachen Skala darzustellen. Dadurch lassen sich unter anderem folgende Fragen beantworten: “Was funktioniert gut in unserem Sicherheitsmanagement? Wo stehen wir im Vergleich zu anderen Unternehmen? Welche Verbesserungen sind vorrangig nötig? Wie gut sind unsere Mitarbeiter geschult? Wo bestehen systematische Schwächen?”. Die Anwendung eines Reifegradmodells ermöglicht also eine strukturierte Standortbestimmung („Wo stehen wir?“) sowie die Ableitung von Zielzuständen und Verbesserungsmaßnahmen („Wo wollen wir hin und was müssen wir dafür tun?“). Ein gemessener Reifegrad kann zudem als Benchmark dienen – sowohl intern über verschiedene Unternehmensbereiche hinweg als auch extern im Vergleich mit anderen Organisationen.

Die Bedeutung des Reifegrads liegt auch darin, dass er einen kontinuierlichen Verbesserungsprozess anstößt. Indem Lücken zwischen dem aktuellen Reifegrad und einem angestrebten höheren Niveau identifiziert werden, lassen sich konkrete Maßnahmenpläne formulieren. Reifegradmodelle stellen somit Instrumente des Qualitätsmanagements dar: Primär dienen sie als Mittel, die Stärken und Schwächen einer Organisation objektiv zu analysieren und Verbesserungen zu ermöglichen. Sekundär können formale Reifegradbewertungen – z. B. Zertifizierungen oder Auditnachweise – auch als anerkannte Auszeichnung in der Industrie gelten. So ist es in einigen Bereichen (z. B. der Softwareentwicklung oder IT-Sicherheit) üblich, dass Unternehmen mit einem hohen Reifegrad werben bzw. von Geschäftspartnern einen gewissen Reifegrad verlangen. Ein Beispiel hierfür ist die Bewertung der Reife von Sicherheitsprozessen als Qualifikationskriterium bei der Lieferantenauswahl in der Automobilindustrie.

Im spezifischen Kontext organisatorischer Sicherheit (Corporate Security) bedeutet die Anwendung von Reifegradmodellen, dass man den Managementprozess der Sicherheit selbst in Stufen unterteilt.

• Sicherheitspolitik und Governance: Gibt es eine definierte Sicherheitsstrategie, Richtlinien und klar verankerte Verantwortlichkeiten im Unternehmen?

• Risikomanagement: Wie systematisch werden Sicherheitsrisiken identifiziert, analysiert und behandelt? Existieren regelmäßige Gefährdungsbeurteilungen und Aktualisierungen?

• Operative Sicherheitsprozesse: Sind Prozesse wie Zutrittskontrolle, Incident Response, Notfallorganisation dokumentiert, etabliert und eingeübt? Wie werden Sicherheitsmaßnahmen im Tagesgeschäft umgesetzt und überwacht?

• Ressourcen & Kompetenzen: Stehen ausreichend geschultes Personal und technische Ressourcen zur Verfügung? Gibt es Sensibilisierungsprogramme und Schulungen (Security Awareness) für Mitarbeiter?

• Überwachung & Verbesserung: Werden Sicherheitskennzahlen erhoben (z. B. Anzahl Zwischenfälle, Audit-Compliance-Quote) und ausgewertet? Finden interne oder externe Audits statt, und folgt daraus eine systematische Verbesserung (Plan-Do-Check-Act-Zyklus)?

• Sicherheitskultur: Inwieweit ist Sicherheit als Wert in der Unternehmenskultur verankert? Zeigen Führungskräfte Commitment, und verhalten sich Mitarbeiter sicherheitsbewusst auch über formale Vorgaben hinaus?

Diese Kategorien können je nach Modell variieren, zeigen aber, dass Sicherheitsmanagement mehrdimensional betrachtet werden muss. Ein Reifegradmodell zwingt dazu, für jede relevante Dimension zu definieren, wie “unreif” vs. “hoch entwickelt” aussieht. Beispielsweise wäre in einer niedrigen Reifegradstufe Risikomanagement eventuell “ad hoc, intuitiv, kaum dokumentiert”, während in einer hohen Stufe “etabliert, mit formalen Methoden, regelmäßiger Aktualisierung und Verknüpfung zur Strategie” beschrieben wird.

Zusammenfassend ermöglichen Reifegradmodelle im Sicherheitskontext: Transparenz, Vergleichbarkeit (über Zeit oder zwischen Einheiten) und steuerungsrelevante Erkenntnisse. Sie helfen, Sicherheitsmanagement vom Diffusen ins Konkrete zu überführen – ein entscheidender Schritt, um Sicherheit gezielt zu managen und zu verbessern.

In der Literatur und Praxis existiert eine Vielzahl an Reifegradmodellen, die teils allgemein (branchenübergreifend) und teils domänenspezifisch (für bestimmte Fachgebiete wie IT oder Facility Management) ausgeprägt sind.

• Capability Maturity Model Integration (CMMI): Ursprünglich aus dem Softwareentwicklungsbereich stammend, hat sich CMMI als generisches Prozess-Reifegradmodell etabliert. CMMI ist eigentlich eine ganze Familie von Referenzmodellen, anwendbar auf verschiedene Bereiche (Software, Dienstleistung, etc.). Ein CMMI-Modell definiert 5 Reifegradstufen, auf denen sich Organisationen entwickeln können: Initial, Managed, Defined, Quantitatively Managed und Optimizing. Auf jeder Stufe sind sog. Key Process Areas (Schlüsselprozessbereiche) mit spezifischen Zielen und Praktiken definiert. Die Grundidee: Prozesse einer Organisation werden von chaotisch/unvorhersehbar (Level 1) schrittweise zu gesteuert und gemessen (Level 4) bis hin zu kontinuierlich verbessert (Level 5) weiterentwickelt. Obwohl CMMI nicht speziell für Sicherheitsmanagement entworfen wurde, kann es darauf übertragen werden. So hat z. B. Kraiss & Partner das SIMARA-Reifegradmodell vorgestellt, das auf CMMI basiert und für das Sicherheitsmanagement modifiziert wurde. Dieses Modell nutzt ebenfalls fünf Stufen und ordnet den Leveln konkrete Merkmale des Sicherheitsmanagements zu (z. B. Level 1 = Initial: keine definierten Sicherheitsprozesse, reaktives Handeln; Level 3 = Defined: Sicherheitsmanagement-System ist definiert und unternehmensweit umgesetzt; Level 5 = Optimizing: Sicherheitsmanagement wird kontinuierlich durch Feedback und Innovation verbessert). CMMI-ähnliche Modelle betonen stark die Prozessperspektive und eignen sich, um Prozessreife im Sicherheitsmanagement zu bewerten. Sie setzen voraus, dass Sicherheitsprozesse beschrieben und messbar gemacht werden. In der Praxis gelten offizielle CMMI-basierte Reifegradbewertungen (z. B. ein Zertifikat CMMI Level 3) als Zeichen eines fortgeschrittenen Prozessmanagements – auch im Sicherheitsbereich.

• ISO/IEC 15504 (SPICE): Das SPICE-Framework (Software Process Improvement and Capability dEtermination) ist ein internationales Normmodell zur Prozessbewertung, das ebenfalls ein stufengestütztes Konzept verfolgt. Anders als CMMI unterscheidet SPICE formal zwischen Prozessfähigkeitsstufen (Capability Levels) für einzelne Prozesse und Organisationsreifegraden (Maturity Levels) für die Gesamtsicht. Die gängig zitierte Skala von SPICE umfasst 6 Stufen (Level 0 bis 5): 0 – Unvollständig (Prozess nicht vorhanden oder erfüllt seinen Zweck nicht) bis 5 – Optimierend (Prozess wird kontinuierlich verbessert und an Geschäftsziele angepasst). Dazwischen liegen Stufen wie 1 – Durchgeführt (Prozess durchgeführt, aber evtl. unorganisiert), 2 – Gemanagt (Prozess wird geplant und überwacht), 3 – Etabliert/Definiert (standardisierter Prozess ist organisationsweit eingeführt), 4 – Vorhersagbar (Prozess wird gemessen und kontrolliert). Diese Terminologie deckt sich weitgehend mit CMMI, unterscheidet sich aber in einigen Nuancen. Für das Sicherheitsmanagement kann SPICE beispielsweise in Form des Automotive SPICE Anwendung finden, wo auch Funktionale Sicherheit und Cybersecurity-Prozesse in der Fahrzeugentwicklung nach Reifegraden bewertet werden. Allgemein ist SPICE hilfreich, wenn man einzelne Prozesse der Sicherheit (z. B. Vulnerability Management, Notfallplanung) gezielt analysieren und verbessern will, da es pro Prozess spezifische Fähigkeitsattribute definiert. Als Gesamtmodell für Unternehmenssicherheit ist es weniger gebräuchlich, liefert aber wertvolle Konzepte (etwa die Unterscheidung von Prozessreife auf Mikro-Ebene vs. Organisationsreife auf Makro-Ebene).

• Systems Security Engineering CMM (SSE-CMM / ISO/IEC 21827): Speziell für den Bereich Systemsicherheit (z. B. im IT- und Militärbereich) wurde das SSE-CMM entwickelt. Dieses Modell konzentriert sich auf die Prozesse, die erforderlich sind, um IT-Sicherheit zu erreichen, und definiert ebenfalls 5 Reifegradstufen. SSE-CMM betrachtet den gesamten Lebenszyklus sicherer Systeme und Produkte – von der Anforderungsanalyse über Entwicklung bis zum Betrieb – unter dem Aspekt definierter Sicherheitsprozesse. Für jede der 5 Stufen (die mit CMMI vergleichbar sind) beschreibt SSE-CMM spezifische Sicherheits-Engineering-Prozesse und Praktiken. Im Gegensatz zu allgemeinen Modellen ist SSE-CMM sehr technisch orientiert und adressiert beispielsweise die Reife von Kryptographie-Management, Sicherheitsarchitektur-Design, Sicherheitsüberprüfung etc. Dieses Modell ist in kritischen Infrastrukturen oder hochregulierten Bereichen relevant, wo IT-Sicherheitsprozesse stark formalisiert werden müssen. Im Facility Management könnte SSE-CMM indirekt Nutzen bringen, wenn man z. B. die Reife der technischen IT-Security in Gebäudesystemen oder von Zutrittskontrollsystemen bewerten möchte. Allerdings ist SSE-CMM weniger auf organisatorische Aspekte wie Sicherheitskultur oder Governance fokussiert.

• NIST Frameworks und Assessment-Modelle: Das US National Institute of Standards and Technology (NIST) hat mehrere Rahmenwerke publiziert, die Reifegrade im Sicherheitskontext enthalten. Ein Beispiel aus früheren Jahren ist das Federal Information Technology Security Assessment Framework (FITSAF), das fünf Level definierte. Diese fünf Level reichten von Level 1: Dokumentierte Richtlinie über Level 3: Implementierung bis Level 5: Vollständig integriertes, getestetes Sicherheitsprogramm. Hier steht also im Mittelpunkt, wie weit eine Organisation ihre Sicherheitsrichtlinien implementiert und verankert hat – beginnend bei bloßer Policies auf dem Papier bis hin zur vollständig gelebten Sicherheit. Aktuell bekannter ist das NIST Cybersecurity Framework (CSF), das zwar keine nummerierten Reifegradsstufen vorgibt, aber sogenannte Implementation Tiers (Teilimplementierungsgrade) kennt. Diese Tiers (Partial, Risk-Informed, Repeatable, Adaptive) kann man als eine Art Reifestufen interpretieren, die ausdrücken, inwiefern Cybersecurity-Risikomanagement in die Organisationsprozesse integriert ist. NIST-Modelle sind oft praktisch orientiert und werden als Self-Assessment-Tool verwendet. Für betriebliches Sicherheitsmanagement, das sowohl IT- wie physische Sicherheit umfasst, können NIST-Konzepte einen ganzheitlichen Ansatz fördern, weil sie neben technischen Kontrollen auch Themen wie Risikomanagement, Kommunikation und Business Continuity berücksichtigen.

• Branchenspezifische Sicherheits-Reifegradmodelle: Neben den generalistischen Modellen haben sich in verschiedenen Branchen eigene Modelle entwickelt. Ein Beispiel ist das Security Maturity Model nach (Literaturquelle [94] bei Müller 2005), das nur drei Ebenen umfasst, deren höchste als “evolutionäre Stufe” bezeichnet wird. Solch ein dreistufiges Modell könnte etwa Stufe 1 = Grundlegend (Basissicherheit vorhanden), Stufe 2 = Fortgeschritten (proaktive Sicherheitsmaßnahmen) und Stufe 3 = Exzellent/Evolutionär (Sicherheit wird laufend neu erfunden als Wettbewerbsfaktor) beinhalten. Auch im Bereich Informationssicherheit existieren Reifegradmodelle, z. B. das ISM³ (Information Security Management Maturity Model) oder Reifegradbewertungen nach ISO 27001, die von einigen Beratungen angeboten werden (häufig analog zu CMMI mit 5 Stufen). Für das Facility Management selbst – fokussiert auf Sicherheitsaspekte – gibt es in der Literatur u. a. den Ansatz von Müller (2005): das Occupational Health, Safety and Security Management Maturity Model (OHSSMM). Dieses Modell integriert Arbeits- und Gesundheitsschutz (Occupational Health & Safety) mit Security-Aspekten und orientiert sich an der sogenannten Sicherheitspyramide. Letztere besagt, vereinfacht, dass es eine Hierarchie von Sicherheitsmaßnahmen gibt (beginnend bei technischen Basismaßnahmen bis hin zur Verankerung von Sicherheit in Kultur und Management). Müllers OHSSMM leitet daraus verschiedene Reifegradstufen ab – vermutlich wieder in einer fünfstufigen Skala – die sowohl den Arbeitsschutz wie die Unternehmenssicherheit bewerten. Dieser integrative Ansatz ist insbesondere für Industrieunternehmen interessant, da dort Arbeitssicherheit und Anlagensicherheit oft Hand in Hand gehen (z. B. Überlappung von Arbeitsschutz und Werkschutz).

Tabelle 1: Vergleich ausgewählter Reifegradmodelle im Sicherheitsmanagement.

Diese Gegenüberstellung macht deutlich, dass es kein universelles Modell gibt, das allen Zwecken gleichermaßen gerecht wird. Allgemeine Modelle wie CMMI und SPICE sind sehr umfassend, erfordern jedoch einiges an Aufwand und Expertise bei der Anwendung. Domänenspezifische Modelle sind oft zugeschnitten auf bestimmte Bedürfnisse (z. B. SSE-CMM auf IT-Security Engineering), lassen dafür aber andere Aspekte außen vor (z. B. Kultur oder non-IT-Bereiche). Einfache Stufenmodelle mit nur 3 Leveln sind leicht vermittelbar, können aber der komplexen Realität eines großen Unternehmens nur eingeschränkt Rechnung tragen. In der Praxis ist es daher üblich, dassc Organisationen ein existierendes Modell als Grundlage nehmen und anpassen oder aus mehreren Vorlagen ein eigenes hybrides Reifegradmodell entwickeln, das genau auf ihren Geltungsbereich zugeschnitten ist. Wichtig bei jedem Modell ist die Klarheit der Definitionen pro Stufe und die Validität der Bewertungskriterien, damit die Reifegradbestimmung zuverlässig und nachvollziehbar ist.

Wie lässt sich ein Reifegradmodell nun praktisch in einer Organisation anwenden, insbesondere in einer industriellen Umgebung wie einem Produktionsbetrieb oder im Anlagenmanagement?

• Festlegen von Umfang und Ziel der Analyse: Zunächst muss geklärt werden, welche Bereiche des Sicherheitsmanagements untersucht werden sollen und mit welcher Tiefe. In einem Industriebetrieb könnte der Fokus z. B. auf Werksicherheit (Objektschutz, Werkschutzmaßnahmen), Anlagensicherheit (technische Anlagen und Prozesssicherheit), IT-/OT-Sicherheit (Schutz von Informationssystemen und Produktions-IT) sowie Arbeitssicherheit liegen. Es ist wichtig, die Analysebereiche, die spezifischen Anforderungen und die gewünschte Analysetiefe festzulegen. Ein Quick-Scan könnte eine grobe Ersteinschätzung liefern, während eine Vollanalyse ins Detail jeder Fabrikhalle und jedes Sicherheitsprozesses geht. Hierzu gehört auch die Entscheidung, ob man ein etabliertes Referenzmodell (wie oben beschrieben) zu Grunde legt oder ein firmenspezifisches Modell verwendet – meist wird es eine Mischung sein, wobei vorhandene Modelle als Grundlage dienen und individuell angepasst werden.

• Durchführung der Bewertung: Die eigentliche Reifegradanalyse erfolgt in mehreren Schritten. Typischerweise werden Informationen mittels Dokumentensichtung, strukturierter Interviews mit Verantwortlichen, Begehungen vor Ort und ggf. Stichproben-Tests erhoben. Beispielsweise könnte man im Werk A die Sicherheitsdokumentation (Sicherheitskonzept, Richtlinien, Schulungspläne etc.) durchsehen, Interviews mit dem Sicherheitsbeauftragten und einigen Mitarbeitern führen, die Anlage inspizieren (Zustand der Zugangskontrollen, Kameraüberwachung, Alarmanlagen testen) und so ein möglichst vollständiges Bild gewinnen. Die gesammelten Daten werden strukturiert aufbereitet und mit vordefinierten Kriterien verglichen. In dieser Phase ist es sinnvoll, bereits ein Scoring-System vorzubereiten – etwa in Form von Fragen oder Aussagen, die mit Punktwerten versehen sind. Beispiel: “Existiert ein dokumentierter Notfallplan, der regelmäßig getestet wird?” – könnte eine Ja/Nein/Teilweise-Bewertung mit Scoring bekommen. Durch Checklisten und statistische Auswertung der Antworten kann man einen konsistenten Bewertungsprozess sicherstellen. In der Industrie ist es außerdem ratsam, verschiedene Standorte oder Betriebsteile separat zu betrachten, da das Sicherheitsniveau in einem alten Werk evtl. anders ist als in einem neuen Hochtechnologiestandort. Das Ergebnis dieser Erhebungsphase ist eine Fülle von Daten über den aktuellen Sicherheits-„Output” in verschiedenen Bereichen.

• Auswertung und Reifegrad-Zuordnung: Nun folgt die Interpretation der gesammelten Informationen. Meist geschieht dies in Form von Workshops mit den relevanten Stakeholdern (Sicherheitsmanager, Anlagenleiter, FM-Verantwortliche, ggf. externe Berater). Man präsentiert die Befunde, diskutiert Ursachen für Schwachstellen und ordnet jedem betrachteten Bereich einen Reifegrad zu. Wichtig ist dabei die Transparenz, wie die Bewertung zustande kommt – das heißt, die zuvor festgelegten Kriterien müssen offen gelegt werden, damit die Ergebnisse akzeptiert werden. Am Ende entsteht ein Reifegradprofil der Organisation: z. B. Sicherheitsstrategie = Stufe 2 (von 5), Physische Sicherheit = Stufe 3, IT-Security = Stufe 2, Kultur/Schulung = Stufe 1 usw. Oft wird dies grafisch aufbereitet (etwa als Radar-Chart oder Ampeldarstellung), um Stärken und Schwächen auf einen Blick erkennbar zu machen. Ein zentraler Bestandteil dieser Phase ist auch die Identifizierung von Handlungsfeldern: Welche Gaps trennen den Ist-Reifegrad vom Soll? Beispielsweise könnte festgestellt werden, dass zwar Zugangskontrollen technisch gut umgesetzt sind (hoher Reifegrad in “technische Maßnahmen”), jedoch das Risikomanagement schwach ausgeprägt ist (niedriger Reifegrad, da keine formalen Risikoanalysen stattfinden). Daraus würde das Handlungsfeld “Einführung systematisches Risikomanagement” entstehen. Typischer Output dieses Schritts ist ein Maßnahmenkatalog, in dem die Kernmaßnahmen zur Verbesserung je Handlungsfeld beschrieben sind. Zum Beispiel: “Erstellen eines umfassenden Risiko-Registers für Werk A bis Q4, inkl. Schulung von 5 Mitarbeitern in Methodik XY.”

• Umsetzung und Monitoring: Die Reifegradanalyse soll kein Selbstzweck sein – sie entfaltet ihren Wert erst, wenn die identifizierten Verbesserungsmaßnahmen umgesetzt werden. Daher gehört zur Anwendung des Modells auch, dass man im Anschluss Verantwortlichkeiten und Fristen für die Maßnahmen festlegt und die Umsetzung verfolgt. Hier zeigt sich ein Vorteil quantifizierter Reifegrade: Sie erlauben später eine Erfolgskontrolle. Wenn nach einem Jahr dieselbe Bewertung (oder ein Follow-up-Assessment mit Fokus auf Schwachstellen) durchgeführt wird, sollte idealerweise ein Anstieg der Reifegradstufe in den angegangenen Bereichen erkennbar sein. Somit kann man den Fortschritt messen und auch intern kommunizieren („Wir haben uns von Reifegrad 2 auf 3 in Notfallmanagement verbessert, dank Einführung regelmäßiger Übungen und Auditierungen.”).

• Industrieunternehmen (z. B. produzierende Betriebe) haben oft einen hohen Anteil an technischen Anlagen und Operational Technology (OT). Die OT-Security (Sicherheit von Steuerungssystemen, Maschinen, Sensorik/Aktorik) hat in den letzten Jahren stark an Bedeutung gewonnen und hinkte lange der IT-Security hinterher. Ein Reifegradmodell muss daher für IT- und OT-Sicherheitsprozesse angewendet werden können. In der Praxis zeigt sich, dass das Sicherheitsniveau im OT-Bereich oft heterogen und fragmentiert ist – manche Maschinenparks sind gut geschützt, andere nicht. Die Reifegradanalyse sollte diese Unterschiede aufdecken, was bedeutet: ggf. separate Betrachtung pro Anlage/Abteilung und dann Aggregation.

• Regulatorische Anforderungen spielen in vielen Industrien eine große Rolle (z. B. in Chemie, Energie, kritische Infrastrukturen). Standards wie IEC 62443 (für industrielle Automatisierungssysteme), ISO 27001 oder branchenspezifische Regeln (z. B. VDI-Richtlinien in Deutschland) definieren Mindestanforderungen an Sicherheitsmaßnahmen. Im Reifegradmodell kann man diese Mindeststandards als Grundvoraussetzung (Level 1) einbauen. Höhere Reifestufen bedeuten dann, dass man über das Minimum hinausgeht. Dadurch vermeidet man, dass ein Unternehmen sich fälschlich als “Reifegrad 3” feiert, obwohl es vielleicht gesetzliche Pflichten (die wir als Level 1 annehmen) noch gar nicht erfüllt. Gerade bei Compliance-getriebenen Themen muss das Modell also entsprechend kalibriert sein.

• In produzierenden Unternehmen gibt es oft eine gewachsene Sicherheitskultur im Bereich Arbeitsschutz (etwa durch Arbeitssicherheitsausschüsse, Safety Walks etc.). Dieses Bewusstsein kann genutzt werden, um auch das Security-Bewusstsein zu erhöhen. Ein Reifegradmodell, das Safety und Security kombiniert, kann hier Synergien heben. Beispielsweise könnte man bei Begehungen sowohl auf klassische Arbeitsschutzthemen (PSA, Ordnung, Brandschutz) als auch auf Security (Zutritt, Datensicherheit an Maschinen) achten und beides gemeinsam bewerten. Die Müller’sche OHSSM-Methodik weist genau in diese Richtung. Für Anlagenmanagement (z. B. Kraftwerke, Fabriken) ist eine integrierte Sicht sinnvoll: höchste Reife ist erreicht, wenn Arbeitssicherheit, Anlagensicherheit und Informationssicherheit nahtlos verzahnt sind und gleichrangig gemanagt werden.

• Benchmarking: Industrieunternehmen sind interessiert daran, wie ihr Sicherheitsniveau im Vergleich zum Branchen-Durchschnitt ist (etwa: “Sind wir besser aufgestellt als vergleichbare Werke der Konkurrenz?”). Ein Reifegradmodell ermöglicht prinzipiell ein Benchmarking, allerdings nur, wenn das gleiche Modell von mehreren verwendet wird oder es anerkannte Vergleichswerte gibt. In der Praxis haben jedoch verschiedene Firmen unterschiedliche Ansätze. Es kann daher hilfreich sein, auf veröffentlichte Studien zurückzugreifen (z. B. ein Branchenreport, der sagt “Im Schnitt liegen Unternehmen der Branche X bei Reifegrad 3 von 5 in IT-Security”). Solche Daten kann man heranziehen, um die eigene Bewertung einzuordnen. Wenn solche Daten fehlen, kann man zumindest internes Benchmarking zwischen verschiedenen Werken des eigenen Unternehmens machen, was z. B. einen gesunden Wettbewerb um Verbesserungen anregen kann.

Insgesamt gilt: Die Anwendung von Reifegradmodellen in der Industrie sollte systematisch, aber pragmatisch erfolgen. Systematisch heißt, nach einem klaren Vorgehen und mit belastbaren Kriterien (wie oben skizziert). Pragmatisch heißt, immer im Blick zu behalten, was für den konkreten Betrieb sinnvoll ist – ein Modell ist kein Selbstzweck. Es kann notwendig sein, das gewählte Modell während der Anwendung leicht anzupassen, wenn man merkt, dass bestimmte Kriterien nicht passen oder wichtige Besonderheiten fehlen. Solange diese Anpassungen dokumentiert und begründet sind, tut dies der Aussagekraft keinen Abbruch. Entscheidend ist, dass am Ende konkrete Erkenntnisse vorliegen, die der Organisation helfen, das Sicherheitsmanagement zielgerichtet zu verbessern.

Basierend auf den vorangegangenen Analysen soll nun ein konzeptionelles Reifegradmodell vorgestellt werden, das speziell auf das betriebliche Sicherheitsmanagement im Kontext Facility Management zugeschnitten ist.

• Grundstruktur des Modells: Das Modell sieht fünf Reifegradstufen vor – analog zu vielen bewährten Modellen (CMMI, ISO 15504 etc.), da sich diese Anzahl als ausreichend differenziert und dennoch handhabbar erwiesen hat. Die Stufen werden hier in deutscher Bezeichnung angegeben: Stufe 1: Initial/Ad-hoc, Stufe 2: Wiederholbar/Gemanagt, Stufe 3: Definiert, Stufe 4: Gesteuert/Messbar, Stufe 5: Optimiert/Exzellent.

Eigenes Reifegradmodell für betriebliches Sicherheitsmanagement – Beschreibung der fünf vorgeschlagenen Stufen.

Das obige Modell versucht, klar abgegrenzte Entwicklungsstufen zu formulieren. Zwischen Stufe 1 und 5 liegt ein fundamentaler Unterschied: von keinem formalen System hin zu einem ständig lernenden System. Die Zwischenschritte machen typische Reife-Sprünge deutlich: Von ad-hoc zu wiederholbar (Stabilisierung grundlegender Prozesse), von wiederholbar zu definiert (Standardisierung und Formalisierung), von definiert zu messbar (Einführung von Steuerungsgrößen), von messbar zu optimiert (lernende Organisation). Diese Logik lehnt sich an bestehende Modelle an, ist aber inhaltlich auf Sicherheitsmanagement gemünzt.

Bewertungsbereiche und Kriterien: Um das Modell anwendbar zu machen, werden Kernbereiche definiert, in denen jeweils ein Teil-Reifegrad ermittelt wird.

• Sicherheitsstrategie & Organisation: Existenz einer Sicherheitsleitlinie, Management-Commitment, Einbindung in Unternehmensstrategie, definierte Rollen (z. B. Sicherheitsmanager, Krisenteam).

• Risikomanagement & Compliance: Systematik der Risikoerkennung und -bewertung, Maßnahmenableitung, Erfüllung von gesetzlichen und normativen Vorgaben (z. B. Arbeitsschutzgesetz, Datenschutz, branchenspezifische Sicherheitsauflagen).

• Operative Sicherheitsprozesse: Konkrete Prozesse wie Zugangskontrolle, Perimeterschutz, Objektrundgänge, Alarm- und Notfallmanagement, Vorfallmanagement, Notfallpläne. Wie sind diese definiert, getestet und gelebt?

• Technische Sicherheitsausstattung: Stand der Technik bei baulich-technischen Maßnahmen (z. B. Überwachungstechnik, Zutrittssysteme, Feuerwehrperipherie), Zustand der Anlagen (Wartung, Tests), Integration von IT-Sicherheit (Schutz von Gebäudemanagementsystemen, Netzwerksicherheit in Smart Buildings).

• Menschliche Faktoren & Kultur: Qualifikation des Sicherheitspersonals, allgemeine Sicherheits-Schulungen der Mitarbeitenden, Bewusstsein und Einstellung (Sicherheitskultur: Melden von Vorfällen, Einhalten von Regeln).

• Kontrolle & Verbesserung: Vorhandensein von KPIs und Berichten, regelmäßige Audits/Inspektionen, Managementreview der Sicherheit, Kontinuierliche Verbesserungsprozesse (KVP) spezifisch für Sicherheit.

• Stufe 1: Keine einheitlichen Prozesse; Sicherheitsmaßnahmen erfolgen situativ.

• Stufe 3: Es gibt dokumentierte Standard-Prozesse (z. B. Vorgehen beim Feueralarm, Besucheranmeldung), die Mitarbeiter kennen und anwenden; regelmäßige Übungen finden statt.

• Stufe 5: Prozesse werden kontinuierlich anhand von Übungen und echten Ereignissen optimiert; es gibt bereichsübergreifende Abstimmung (z. B. zwischen Werksschutz und IT bei Sicherheitvorfällen).

Analog wären für alle Bereiche solche Reifestufenbeschreibungen auszuarbeiten. Dabei sollte auf bereits existierende Normen und Best Practices zurückgegriffen werden (z. B. könnte man für “Risikomanagement” die Anforderungen von ISO 31000 oder ONR 49000 in die höheren Stufen einfließen lassen). Wichtig: Die Kriterien sollten SMART sein – also spezifisch, messbar (soweit möglich), erreichbar, relevant und terminiert. Messbarkeit im Kontext von “Kultur” ist schwierig, aber hier kann man mit Surrogatgrößen arbeiten (z. B. Anzahl der Meldungen von Sicherheitsbeinaheunfällen als Indikator für gelebte Kultur).

• Bewertungsverfahren: Das neue Modell würde idealerweise als Selbstbewertungstool gestaltet, ggf. ergänzt durch externe Validierung. Beispielsweise könnte ein Unternehmen einen Fragenkatalog mit ~50 Fragen (10 pro Kernbereich) ausfüllen, der dann automatisch die Zuordnung zu einer Reifestufe vornimmt. Die Auswertung könnte graphisch erfolgen und Empfehlungen generieren. Für akademische Zwecke (Lehre) könnte dieses Modell als Fallstudien-Werkzeug dienen: Studierende bewerten fiktive Unternehmenssituationen mit dem Modell. Für die Praxis wäre eine Software-gestützte Umsetzung denkbar, in der z. B. Gewichtungen der Bereiche angepasst werden können je nach Organisationstyp (ein Krankenhaus hätte evtl. anderen Schwerpunkt als ein Produktionsbetrieb).

• Validierung des Modells: In einer Habilitationsschrift würde man dieses konzeptionelle Modell nun anhand von Literatur und ggf. Expertenfeedback validieren. Mögliche Ansätze: Vergleich mit bekannten Rahmenwerken (ist jede wichtige Dimension abgedeckt?), Workshop mit Sicherheitsexperten aus FM zur Plausibilisierung der Kriterien, Pilotanwendung in einem Unternehmen und Abgleich mit subjektiver Experteneinschätzung. Hier in der Konzeption sei angenommen, dass das Modell kohärent ist. Es verspricht Nutzen, weil es: (a) theoretisch fundierte Dimensionen enthält (im Einklang mit Standards und Forschung) und (b) praxisorientierte Stufenbeschreibungen liefert, die für Sicherheitsverantwortliche verständlich und nachvollziehbar sind.

Durch die feingliedrige Betrachtung (mehrere Bereiche getrennt) wird vermieden, eine Organisation pauschal als “Reifegrad 3” abzustempeln – stattdessen kann differenziert werden, in welchem Bereich Nachholbedarf besteht. Dies ist essentiell, denn viele Unternehmen haben ungleiche Reife in verschiedenen Aspekten (z. B. top in physischer Sicherheit, aber schwach in IT-Security oder vice versa). Das Modell bietet somit auch Priorisierungshilfe: Verbesserungsmaßnahmen können auf den Bereich fokussieren, der die geringste Reife aufweist bzw. das größte Risiko darstellt.

Nicht zuletzt ist das vorgestellte Reifegradmodell so ausgelegt, dass es anschlussfähig an bestehende Modelle ist. Wer bereits nach ISO-Normen arbeitet, findet seine Prozesse wieder; wer CMMI kennt, versteht die Logik der Level.