Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

ISO/IEC 38500

Facility Management: Security » Sicherheit » Normen » ISO/IEC 38500 IT und Daten

ISO/IEC 38500 ‑ Leitlinien für Governance von IT‑Systemen im Sicherheits‑ und Facility‑Management zur verantwortungsvollen Steuerung von Informationstechnik

Bedeutung der ISO/IEC 38500 im Facility Management

ISO/IEC 38500 ist die internationale Norm für die Governance von Informationstechnik (IT) in Organisationen. Sie richtet sich insbesondere an Leitungsorgane (z.B. Geschäftsführung, Vorstand) und deren Berater und definiert Leitprinzipien für einen effektiven, effizienten und akzeptablen IT-Einsatz. Die Norm beschreibt IT-Governance als Teilbereich der Corporate Governance und gilt für alle Organisationen (Unternehmen, Behörden, Non-Profits) unabhängig von Größe und IT-Umfang. Ziel ist es, durch verbindliche Grundsätze und eine einheitliche Terminologie das Vertrauen von Stakeholdern in die IT-Nutzung zu stärken und Führungsgremien eine Orientierung bei IT-Entscheidungen zu geben. So sollen etwa Verantwortlichkeiten für IT-Angebote und –Nachfrage im Hinblick auf Unternehmensziele geklärt und „Nachhaltigkeit und Kontinuität der Geschäftstätigkeit“ sichergestellt werden. Die seit 2024 vorliegende Revision erweitert die Prinzipien um Aspekte wie ethisches Verhalten und nachhaltige Ressourcennutzung, um IT-Einsatz unter ökologischen und sozialen Gesichtspunkten zu lenken.

ISO/IEC 38500 liefert den übergreifenden Rahmen, in dem alle diese Managementsysteme verankert sind. Sie fordert eine klare Rollenverteilung und eine Leitlinie, damit technische Standards (z.B. ISO 27001 für IT-Sicherheit, ISO 41001 für FM-Prozesse) tatsächlich wirksam umgesetzt werden. Gleichzeitig ermöglichen solche Normenprüfungen nach ISO/IEC 38500 einen kohärenten Systemverbund (z.B. integrierte Audits). Auf diese Weise unterstützt ISO/IEC 38500 Facility Manager und Führungskräfte dabei, Sicherheits-, Energie- und Kontinuitätsinitiativen ganzheitlich in die Unternehmenssteuerung einzubetten.

Strukturierte IT-Führung mit ISO/IEC 38500

Relevanz für das Facility Management – Führungskräfte und strategische Ausrichtung

Diagramm zur strategischen Steuerung im Facility Management basierend auf der Norm ISO/IEC 38500 und ihren Anwendungsbereichen.

Facility Management (FM) integriert Menschen, Orte und Prozesse im Unternehmen, um die Qualität der Arbeitsumgebung und die Produktivität des Kerngeschäfts zu verbessern. In modernen Arbeitswelten spielen IT-Systeme (z.B. Gebäudeautomationssysteme, IoT-Sensorik, CAFM-Tools) eine zentrale Rolle. ISO/IEC 38500 hilft Führungskräften im FM, diese IT-gestützten Facility-Prozesse strategisch zu steuern: Sie liefert Rahmenprinzipien, mit denen Entscheider sicherstellen, dass IT-Projekte im FM den Unternehmenszielen dienen und Risiken angemessen adressiert werden. Die Norm betont ausdrücklich, dass Leitungsorgane Anleitung für die Praxis der IT-Governance bereitstellen sollen. In der FM-Praxis bedeutet dies etwa, klare Verantwortungen für IT-gestützte Sicherheits- und Überwachungsanlagen zu definieren, IT-Investitionen (z.B. in Smart-Building-Technologie) auf Wirtschaftlichkeit zu prüfen und einen ethisch-rechtlichen Rahmen (Datenschutz, Compliance) festzulegen. Durch die Etablierung solcher Governance-Strukturen unterstützt ISO/IEC 38500 die strategische Ausrichtung von Sicherheits- und Governance-Initiativen im gesamten Facility-Bereich.

Verbindung physischer Sicherheit, Informationssicherheit und IT-Governance

Facility Management berührt sowohl physische Sicherheit (Schutz von Personen und Gebäuden) als auch Informationssicherheit (Schutz von Daten und IT-Systemen). Diese Dimensionen sind eng verknüpft: ISO/IEC 27001 etwa fordert mit Annex A.11 explizit sichere physische Bereiche, um unbefugten Zugang zu Informationsverarbeitungseinrichtungen zu verhindern. Damit werden klassische Facility-Maßnahmen (Zutrittskontrolle, Videoüberwachung) zur Säule der Informationssicherheit. Experten betonen jedoch, dass man Gebäudeautomation ganzheitlich betrachten muss: „Cybersecurity in building management isn’t just an IT issue – it’s crucial for ensuring our buildings are safe, efficient, and resilient“. In der Praxis müssen FM-Teams eng mit IT-Abteilungen zusammenarbeiten, um Gebäudeautomationssysteme, Energiemanagement und Netzwerke gegen Cyberangriffe abzusichern. ISO/IEC 38500 ergänzt dies, indem sie auf Führungsebene fordert, die Silos zwischen IT, operativer Technik (Operational Technology, OT) und physischer Sicherheit aufzulösen. So kann z.B. durch ein ganzheitliches Governance-Modell sichergestellt werden, dass sowohl Zutrittskontrollsysteme als auch digitale Brandschutz- und Alarmanlagen unter einer einheitlichen Sicherheitsstrategie stehen.

Branchenspezifische Anwendung in kritischen Infrastrukturen

In KRITIS-Bereichen (z.B. Gesundheitswesen, Energie, Industrie, Verkehr, Immobilien) ist FM besonders heikel, da Sicherheits- und Ausfallsicherheit lebenswichtig sind. Krankenhäuser etwa gelten in Deutschland als kritische Infrastruktur, in denen neben funktionierendem Gebäudebetrieb auch strenge IT- und Datensicherheitsvorgaben gelten. So müssen Betreiber großer Kliniken regelmäßig nachweisen, dass sie Informations- und Gebäudesicherheit „nach dem Stand der Technik“ umsetzen. In Industrieanlagen verschmelzen physische und digitale Risiken (Stichwort Industrie 4.0/SCADA); hier bieten etwa die IEC-62443-Normen für industrielle Cybersecurity ergänzende Leitlinien. In der Immobilienwirtschaft gelten große Büro- oder Wohnkomplexe zunehmend als kritische Infrastruktur: Schon „die Einstufung von Gebäuden als KRITIS“ hebt hervor, dass dort verstärkte Sicherheits- und Cybermaßnahmen notwendig sind. ISO/IEC 38500 kann in all diesen Branchen als übergeordnete Leitlinie dienen, um sicherzustellen, dass IT- und Sicherheitsstrategien mit den branchenspezifischen Anforderungen (z.B. Kontinuitätsplanung im Krankenhaus, Alarmsysteme in Rechenzentren) abgestimmt sind.

Integration mit anderen Normen – Synergien und Unterschiede

ISO/IEC 38500 bildet den Governance-Rahmen, während spezialisierte Normen konkrete Managementsysteme definieren. Beispielsweise beschreibt ISO/IEC 27001 ein Informationssicherheits-Managementsystem (ISMS): Es legt Anforderungen fest, damit ein ISMS die Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch ein Risikomanagement-Prozess schützt. Die ISO/IEC 38500-Standards ergänzen dies auf strategischer Ebene, indem sie die Leitungsorgane anleiten, überhaupt eine angemessene Sicherheits- und Risikopolitik zu beschließen. ISO 41001 hingegen definiert Anforderungen an ein Facility-Management-System, um FM-Prozesse effizient zu gestalten. Sie fördert Stakeholder-Orientierung und Prozessoptimierung im FM. ISO/IEC 38500 überschneidet sich hier insofern, als beide Normen Führungsverantwortung und Ressourceneinsatz thematisieren – etwa die bedarfsgerechte Bereitstellung von FM- und IT-Services. ISO 22301 beschreibt ein Business-Continuity-Managementsystem (BCMS) für die Aufrechterhaltung des Geschäftsbetriebs bei Krisen. Damit sichert es die Verfügbarkeit kritischer FM-Leistungen (Notstrom, Evakuierung etc.), während ISO/IEC 38500 vorschreibt, dass die Geschäftsleitung Resilienz- und Kontinuitätsziele in der IT-Governance verankert. ISO 50001 legt ein Energiemanagement-System fest, mit dem Organisationen ihre Energieeffizienz kontinuierlich verbessern.

Facility Manager nutzen ISO 50001, um Energie- und Betriebskosten zu senken; zugleich ist Nachhaltigkeit inzwischen ein Governance-Prinzip in ISO/IEC 38500, so dass energiebezogene Entscheidungen auch in das IT-Steuerungsmodell einfließen:

Norm

Fokus und Kernthemen

Synergien mit ISO/IEC 38500

ISO/IEC 38500

Governance von IT: Leitprinzipien für Führungsgremien zur effektiven, effizienten und akzeptablen IT-Nutzung. Festlegung von Verantwortlichkeiten und Entscheidungsrahmen.

Rahmenstandard für alle IT-Aktivitäten; legt Ziele (Vertrauen, Stakeholder-Orientierung) fest.

ISO/IEC 27001

Informationssicherheits-Managementsystem (ISMS): Anforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Risikobasierter Kontrollkatalog (Annex A).

Ergänzt die Governance-Ebene: Wo ISO/IEC 38500 Ziele und Rollen vorgibt, liefert ISO/IEC 27001 konkrete Maßnahmen (z.B. Zugangskontrollen, Kryptographie) zur Umsetzung der Informationssicherheit.

ISO 41001

Facility-Management-System: Anforderungen an die Planung, Bereitstellung und Überwachung von FM-Leistungen. Fokus auf Effizienz, Nachhaltigkeit und Stakeholder-Zufriedenheit.

Komplementär in der strategischen Ausrichtung: FM- und IT-Ziele müssen abgestimmt sein. Beide Normen verlangen ein übergeordnetes Führungs-Engagement, z.B. Ressourcenoptimierung und Risikobetrachtung in Gebäude- und IT-Betrieb.

ISO 22301

Business-Continuity-Management-System: Anforderungen, damit eine Organisation auch bei Krisen (z.B. Naturkatastrophen, Cyberangriffen) handlungsfähig bleibt.

Sicherheitsschnittstelle: IT-Governance nach ISO/IEC 38500 muss Kontinuitätsaspekte einbeziehen (Notfall-IT, Backup-Systeme), die in ISO 22301 definiert sind. Beide Normen propagieren Risikobewusstsein und Notfallplanung.

ISO 50001

Energiemanagement-System: Anforderungen zur nachhaltigen Verbesserung der Energieeffizienz und -performance. Fokus auf CO₂-Reduktion und Kostensenkung.

Thematisch überlappend: Energieeinsparungen und Umweltverantwortung sind auch Governance-Themen (z.B. Nachhaltigkeitsprinzip). Facility Management setzt ISO 50001 um, während ISO/IEC 38500 fordert, Umweltschutzaspekte in die IT-Strategie zu integrieren.